Duuzer 악성코드 분석 보고서
1. 개요
1.1. 분석환경
운영체제 | Windows XP SP3 32bit (한글) |
분석도구 | IDA, PEview, OllyDbg 등 |
1.2. Duuzer 개요
Duuzer는 C&C형 악성코드로, 해커에게 감염PC에 대해 명령어를 통한 원격제어 등 대부분의 권한을 가질 수 있게 한다. 악성코드 Brambul, Joanap과 함께 동작하는 것으로 알려져 있어 본 보고서에 각 악성파일 분석 정보를 함께 담았다. Duuzer의 경우 특히 정교한 파일 제어와 코드분석에 대한 방어 동작이 있어 PC내 특정 데이터를 노린 숙련된 해커가 만든 것으로 보인다.
2. 분석정보
2.1. Duuzer 악성 동작
Duuzer는 32bit 및 64bit 시스템 모두 동작하도록 설계돼있다. 실행 과정에서 VirtualBox와 VMWare를 탐지 동작이 있어 가상환경에서 악성코드 분석을 방해한다고 본다. 또한, 자신의 파일 속성을 정상 실행 파일 속성과 동일하게 수정하여 감염된 PC에서 악성 파일을 쉽게 찾을 수 없게 만든다.
실행이 정상적으로 완료되면 C&C형 악성 동작을 수행하며 그 동작은 아래 표와 같다. Duuzer로 분류된 많은 샘플들이 모두 완전히 동일치는 않지만 그 행위와 방법은 비슷하다.
파일전송 |
드라이브 정보 전송 |
드라이브 정보 전송 |
드라이브 정보 전송 |
PC정보 전송 |
프로세스 생성 |
OS정보 전송 |
프로세스 생성 |
프로세스 모듈 정보 전송 |
프로세스 생성 |
프로세스 정보 전송 |
프로세스 종료 |
모든 프로세스 시간정보 전송 |
프로세스 종료 |
파일 전송 |
프로세스 종료 |
파일 존재 확인 |
파일 다운로드 |
파일 상세정보 전송 |
파일 전송 |
PATH가 파일인지 확인 |
파일 특정부분 전송 |
임시파일 전송 및 삭제 |
새로운 서버 접속 |
파일 백업 및 전송 |
다운로더 |
자가 삭제 |
다운로드 및 파일속성 복제 |
파일 삭제 |
파일속성 수정 |
파일 삭제, 덮어쓰기 |
파일 실행코드 수정 |
… |
파일 시그니처 확인 및 전송 |
파일 특정부분 전송 |
|
파일 시그니처 수정 |
통신 확인 |
|
특정유저 권한 프로세스 생성 |
파일 시그니처 수정 |
|
배치파일 생성 |
… |
|
… |
|
|
[표]Duuzer의 악성 동작 (Backdoor/W32.Duuzer.190976 외 2)
2.2. Brambul 악성 동작
Brambul은 무작위 IP주소에 대하여 SMB프로토콜을 이용해 하드코딩된 ID/PASS를 대입하는 악성동작을 수행한다. “abc123””administrator””database”등 비교적 흔한 문자열들을 사용하여 대입하는데, 공격에 성공했을 경우 해당 PC 공유폴더에 자기 자신을 복제하고 작업스케줄러에 등록하여 전파한다.
[그림]무작위 IP에 대한 공격 패킷
[그림]하드코딩된 ID/PASS
이후 감염PC에 공유폴더를 만들어 하드코딩된 이메일로 감염PC의 사용자 인증 정보를 전송한다. 이메일 주소는 Brambul 변종마다 다르지만 전송시 사용된 로직은 유사하다. 이메일로 유출된 사용자 인증 정보는 해커가 감염PC의 공유폴더에 접근 할 수 있게 하며 Brambul 외에도 추가적인 위협의 여지가 남아 있음을 시사한다.
2.3. Joanap 악성 동작
Joanap은 system32 경로에 scardprv.dll, msscardprv.ax 등을 생성하고, 추적을 피하기 위해 생성 파일들의 시간정보를 랜덤하게 수정한다. 이후 scardprv.dll이 정상 서비스로 보이도록 "SmartCard Protector"라는 이름의 서비스를 등록한다. 일련의 서비스 설치 과정이 끝나면 Joanap의 숙주파일은 자가 삭제된다.
등록된 악성 서비스는 Joanap이 생성한 설정 파일 msscardprv.ax를 읽어들여 C&C동작에 활용한다. 해당 C&C동작 리스트는 아래 표와 같다.
다운로더 |
명령 수행 결과전송 |
프로세스 생성 |
특정폴더 하위 모든 파일 폴더 삭제 |
파일 이동 |
폴더 생성 |
프로세스 종료 |
CMD명령 실행 |
… |
[표]Joanap의 악성 동작
파일상으로는 Duuzer와 다른 악성코드들의 직접적인 연결고리를 찾을 수 없었으나, 함께 동작한다고 알려진 Duuzer는 그 규모에 있어 매우 위협적이다. 특히 무작위 IP에 시도하는 대입 공격은 사용되는 문자열이 매우 쉽고 간단함에도 불구하고 전파가 이루어 졌다는 것을 보아 여전히 많은 사람들이 취약한 비밀번호를 사용하고 있다고 본다.
이를 예방하기 위해선 정기적인 보안 업데이트와 백신 및 실시간 감시 기능을 적극 활용해 안전한 PC사용 습관을 길러야 한다.
[그림]nProtect Anti-Virus/Spyware의 진단 및 치료
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] ver.exe (백신설치 여부 확인) (0) | 2015.11.26 |
---|---|
[악성코드 분석] df.exe (계정정보 탈취) (0) | 2015.11.25 |
[악성코드 분석] dcujl.exe (금융 파밍) (0) | 2015.11.09 |
[악성코드 분석] nasdfgf.exe (사용자 정보유출) (0) | 2015.11.05 |
[악성코드 분석] skype_utility.exe (스카이프 프로필 변경, 스팸 발송) (0) | 2015.11.03 |