분석 정보/악성코드 분석 정보

[주의]윈도우 원격 데스크톱 웜 "Morto" 해외 확산

TACHYON & ISARC 2011. 8. 29. 18:49
1. 개요

 

2011년 8월 28일 경 해외의 보안 블로그를 통하여 윈도우 원격 데스크톱을 통하여 전파될 수 있는 "Morto" 라는 새로운 웜을 소개 하였다. 현재 해당 악성 웜은 윈도우 기반의 워크스테이션과 서버를 모두 다 감염시킬 수 있으며, 다량의 RDP(Remote Desktop Protocol) 포트를 통한 네트워크 트래픽을 유발 시키는 것으로 전해왔다.

※ Windows Remote Desktop worm "Morto" spreading
 
2. 감염 방식 및 감염 증상

해당 악성 웜은 원격 데스크톱 프로토콜(RDP)을 통해 전파될 수 있으며, 쉽게 노출되거나 단순한 조합의 관리자 암호를 이용하여 원격 연결을 시도하게 된다. 위와 같은 과정에서 새로운 시스템을 손상 시키거나, 악의적인 파일을 추가적으로 다운로드 받아 실행할 수 있게 된다. 또한, 지속적인 네트워크 연결을 시도하는 과정에서 특정 포트(3389/TCP)에 대한 과다 트래픽이 발생하게 된다.

"Morto" 악성 웜에 컴퓨터가 감염되면, 먼저 로컬 네트워크를 스캐닝 하여 원격 데스크톱 연결이 가능한 RDP 포트(TCP/3389)가 개방되어 있는지를 스캔하게 된다. 이후, 원격 시스템에 정상적으로 연결이 완료 되면 윈도우 공유기능을 통한 특정 드라이브 경로 접근이 가능하게 되고 이 과정에서 감염 대상 PC에 자신을 복사하게 된다.

현재 위와 같은 악성파일은 다음의 경로에 악의적인 파일을 생성하게 된다.

C:\Windows\Temp\ntshrui.dll
C:\Windows\System32\Sens32.dll
C:\Windows\Offline Web Pages\Cache.txt


생성되어진 "sens32.dll" 파일은 아래와 같이 특정 레지스트리 값에 등록되어 윈도우 시스템 부팅시 서비스 되어 동작 하도록 한다.

[HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
 - 값 이름 : "ServiceDll" 
 - 값 데이터 : "%windir%\temp\ntshrui.dll"

[HKLM\SYSTEM\CurrentControlSet\Services\6to4]
 - 값 이름 : "Description" 
 - 값 데이터 : "0"

[HKLM\SYSTEM\CurrentControlSet\Services\Sens]
 - 값 이름 : "DependOnService"
 - 값 데이터 : "0"

[HKLM\SYSTEM\CurrentControlSet\Services\Sens\Parameters]
 - 값 이름 : "ServiceDll"
 - 값 데이터 : "%windir%\system32\sens32.dll"

악성 웜에 감염되어진 PC는 서브넷 네트워크 상에 존재하며, 아래와 같은 목록으로 로그인 암호를 사용하고 있는 관리자 시스템에 연결을 시도하게 된다.

admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890

3. 예방 조치 방법

이와 같은 악성 웜으로 부터 안전하기 위해서는 다음과 같은 보안 수칙을 준수 하도록 한다.

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 윈도우 로그인 시 사용되어지는 암호는 복잡성을 유지 하도록 한다.
   ※ 암호 복잡성(예)
     a. 길이는 최소한 6자 이상
     b. 다음의 네 가지 범주 중 세 가지를 만족시킬 수 있는 조합
          (영문의 대문자 또는 소문자, 숫자(0~9), 알파벳 이외의 문자(!,$,#,%) 등

3. 사용하지 않는 공유폴더는 공유 해제를 하도록 한다.

4. 개인 방화벽을 사용하거나, 기업용 방화벽 제품을 설치하여 사용 하도록 한다. 

5. 인터넷 브라우저의 보안 설정을 보통 수준 이상으로 설정 하도록 한다.

6. 신뢰할 수 있는 보안 업체에서 제공하는 안티바이러스 백신을 설치하고 최신 Update 를 적용 하도록 한다.

현재 위와같은 변종 악성 웜과 관련하여 nProtect Anti-Virus 제품군에서는 모든 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 보안 위협에 대하여 상시 대응 체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면