본문 바로가기

악성코드 정보

MBR 감염기능의 코인마이너 국내 유포 중 (DarkCloud Bootkit)

안랩 ASEC은 지난 2월 국내외 보안 제품을 무력화 시키고 감염 시스템의 MBR(Master Boot Record)를 변조하는 코인마이너의 유포를 확인하였다. 해외에서 "DarkCloud Bootkit" 으로 이슈된 이 유형의 악성코드는 기존의 암호화폐 채굴형 악성코드와 달리 MBR을 감염시키는 기능을 갖고 있으며  "ZwCreateSection" API에 대한 패치를 통해 일반 사용자가 감염된 MBR코드를 확인할 수 없도록 하는 특징을 갖는다. 안랩 ASEC은 MBR 감염시도 시 행위탐지를 통해 방어를 수행하고 있으며, 확인결과 2019년 3월 20일 전,후로 MBR 감염에 대한 행위탐지 수가 급증한 것을 확인하였다.

안랩 행위기반 탐지 리포트

물론 MBR 감염시도가 모두 "DarkCloud Bootkit" 악성코드에 의한 것으로 볼 수 없으나, 이 시기에 해당 형태의 악성코드가 국내에 집중적으로 유포된 것이 확인되어 사용자의 주의가 필요하다. (3월 22일에 80여건이 확인)

 

"DarkCloud Bootkit" 악성코드 내에 감염 대상 운영체제 정보는 아래의 [표]와 같고 대부분의 운영체제가 감염대상임을 알 수 있다.

OS Version

Operating system

5.1

Windows XP

5.2

Windows XP Professional x64 Edition 

Windows Server 2003

Windows Home Server

6.1

Windows Server 2008 R2

Windows 7

6.2

Windows Server 2012

Windows 8

6.3

Windows 8.1

10.0

Windows 10

 

해당 악성코드에 감염되면 가장 먼저 MBR 영역에 악의적인 쉘 코드(ShellCode)가 덮어 써진다. 아래의 그림에서 섹터 0에 있는 정상 부트 코드를 섹터 1에 복사하고 섹터 0과 섹터 2~54 영역을 쉘 코드로 덮어 쓴다. 붉은색 표시부분이 감염 후 덮어써진 악성코드 부분을 나타내며, 초록색 부분은 감염 전 정상 MBR 코드를 나타낸다.

감염된 MBR 영역
감염된 MBR 코드

재부팅 시, 감염된 PC는 덮어써진 악성 부트코드에 의해 "ZwCreateSection" API가 패치(Patch)되어 실제 사용자가 MBR영역을 확인 하더라도 정상 MBR 부트 코드가 보이게 된다. (은폐기능)

 

ZwCreateSection 패치

실행된 쉘 코드는 외부 사이트로 부터 모네로(XMR) 코인 마이닝 기능이 있는 마이너 파일을 다운로드하여 실행한다. 또한 아래의 내부에 저장된 다양한 백신관련 프로세스들을 강제종료하는 기능을 수행한다. 대부분의 백신 프로그램들이 MBR 부트코드가 실행된 이후에 구동함으로 이러한 공격시도에 의해 종료되는 것을 확인할 수 있다.

 

강제종료 프로세스 목록

avp.exe zhudongfangyu.exe superkiller.exe 360sd.exe 360safe.exe 360rps.exe 360rp.exe sragent.exe QQPCRTP.exe systemaidbox.exe avgnt.exe avengine.exe msmpeng.exe nissrv.exe msseces.exe ccSvcHst.exe ekrn.exe egui.exe nod32krn.exe avgrsa.exe avgui.exe avscan.exe v3svc.exe v3medic.exe Rtvscan.exe avastsvc.exe bdagent.exe mcshield.exe mcsvhost.exe mfefire.exe mfemms.exe dwengine.exe dwarkdaemon.exe vssery.exe avguard.exe K7CrvSvc.exe asdsvc.exe 360tray.exe mbamservice.exe mbamtray.exe mbam.exe qhpisvr.exe quhlpsvc.exe savservice.exe hipsmain.exe hipsdaemon.exe sapissvc.exe scsecsvc.exe avgsvc.exe liveupdate360.exe 360rp qqpctray.exe Mcshield.exe shstat.exe naprdmgr.exe avgui.exe gziface.exe uiSeAgnt.exe dwengine.exe spideragent.exe bdagent.exe smsvchost.exe avastui.exe ksafe.exe

 

악성코드는 업데이트와 유지를 위해 아래의 주소로 접근하는 기능을 수행하며, ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과 아래의 다운로드 주소를 확인할 수 있다. "DarkCloud Bootkit" 악성코드는 "xpdown.dat" 파일 외에 ver.txt, ok/down.html, ok/64.html, ok/vers.html, downs.txt, kill.txt 형태의 파일들을 다운로드 하는 특징을 갖는다.

라피트에서 확인된 네트워크 접속행위

 

감염된 시스템에서는 자사 제품을 실행시 아래와 같이 정상적인 서비스가 불가하다. 또한 사용자가 MBR을 확인할 경우 정상 MBR이 노출되어 MBR 감염사실을 인지하기 어려운 상황이다.

 

감염된 시스템의 증상


V3 제품군에서는 이러한 악성코드에 대해 MBR 영역에 감염 시도 시, 사전에 행위기반 탐지를 하고 수행하고 있으며, 출처가 불분명한 파일에 의해 아래의 차단창이 발생하였을 때 반드시 "실행 안 함" 버튼을 클릭하여 감염시도를 차단해야 한다.

MBR변조 행위 탐지

 

안랩에서는 지속적으로 이런 유형의 악성코드에 대한 모니터링하고 있으며 진단법을 업데이트 하고 있다.

 

[파일진단]

Trojan/Win32.Agent

Malware/Win32.Generic

Trojan/Win32.PowerLocker

 

[행위진단]

Malware/MDP.Manipulate.M196

Malware/MDP.Manipulate.M2200