온라인 게임 사용자의 계정정보를 탈취하는 Bootkit

Bootkit이란?
Bootkit은 감염된 PC MBR(Master Boot Record, PC가 부팅하는데 필요한 정보들이 저장된 물리적인 하드 디스크 영역, 512 바이트)을 조작하여 감염된 PC가 부팅 시 다른 악성코드를 생성하도록 해둔 악성코드를 의미한다.


Bootkit 분석정보
이번에 국내 침해 사이트를 통해서 유포되었던 Bootkit의 구조는 아래와 같다.

[그림 1] Bootkit 악성코드 구조 

Bootkit은 감염된 PC MBR영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하도록 해두었다. 아래 [그림 2]참조

[그림 2] Bootkit 악성코드 실행구조

감염된 PC의 원본 MBR 영역을 암호화하는 과정을 살펴보면 아래와 같다.

> 원본 MBR 암호화 작업

00401767   |> /8A0C18      /mov     cl, byte ptr [eax+ebx] ; [eax+ebx]부터 1바이트씩 복사

0040176A   |. |80F1 9C     |xor     cl, 9C ; 9C = 암호화 키

0040176D   |. |880C18      |mov     byte ptr [eax+ebx], cl ; 암호화된 cl로 덮어씀

00401770   |. |40          |inc     eax 

00401771   |. |3D 00020000 |cmp     eax, 200 ; 200 = (Dec)512, 복사된 MBR영역

00401776   |.^7C EF        jl      short 00401767 ; 200이 될 때까지 반복하여 암호화함


위 루틴에 의해서 암호화된 감염된 PC의 원본 MBR은 아래 루틴을 통해서 하드 디스크의 물리적인 섹터 54번에 백업된다.

           [그림 3] 암호화된 원본 MBR을 하드 디스크에 백업하기 위해서 DeviceIoControl() 호출

[그림 3]에서 맨 처음 8바이트는 암호화된 원본 MBR이 백업될 섹터 위치와 섹터 수를 의미한다.

  0x000000036 = (Dec) 54, 섹터 위치

 • 0x000000001 = (Dec) 1, 섹터 수 

Bootkit 치료

[그림 4] 전용백신을 사용한 Bootkit 진단 및 치료

* Halcbot 전용백신 다운로드

지금까지 국내 침해 사이트를 통해서 유포되었던 Bootkit의 특징 및 치료방법에 대해서 간단하게 살펴보았다.

이번 Bootkit의 사례에서 보았듯이 악성코드는 자신의 생존시간을 높이고 목적을 달성하기 위해서 다양한 방법을 사용하여 백신으로부터 치료를 어렵도록 하는 추세이기 때문에 악성코드 감염예방과 피해를 최소화 하기 위해서는 아래 사항을 반드시 준수해야 한다.
 

1. 윈도우 및 Adobe Flash Player 보안 업데이트 적용

2. 백신은 항상 최신으로 유지 및 주기적으로 검사

3. 웹 서핑 시 함부로 파일 다운로드 및 실행금지

4. 수상한 메일 및 쪽지 수신 시 열람하지 말고 삭제

 

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments