zxarps.exe 악성코드 분석 보고서
1. 분석 정보
1.1. 유포경로
zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12월 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단독으로 실행되기 보다는 다른 악성코드가 다운받아 실행시키는 것으로 보인다.
1.2. 악성 동작
위 유포지에 업로드 되어 있는 zx.exe파일은 별도의 압축 해제 프로그램이 필요 없는 “실행 가능한 압축파일”이다. zx.exe를 실행하면 “zxarps免杀版” 폴더가 생성되고, 해당 폴더 하위에 아래와 같이 압축 해제된 파일을 확인할 수 있다. 이 중 악성동작을 하는 것은 zxarps.exe파일이며, WinPcap_3_1.exe파일은 zxarps.exe가 동작하는데 필요한 정상 설치 파일이다.
[그림] 압축된 파일
중국에서 만들어진 것으로 보이는 해킹툴 zxarps.exe는 상용 C&C형 해킹툴처럼 감염 PC를 제어하는 등의 동작을 하진 않지만 네트워크에 특화된 악성 동작을 보여준다. 여러 옵션값을 통해 실행을 제어할 수 있으며, 이를 통해 ARP Spoofing, DNS Spoofing, 네트워크 패킷상의 ID/PASS 수집, HTTP 패킷에 iframe삽입 등 감염된 PC가 아닌 동일 네트워크 상의 감염되지 않은 다른 PC들에 대한 악성동작을 수행할 수 있다.
이와 같은 로컬 네트워크에 대한 악성 행위는 MITM(Man In The Middle, 중간자 공격)에 의해 가능해진다. MITM공격은 로컬 네트워크에서 PC간 통신에 사용되는 ARP를 이용한다.
ARP란 Address Resolution Protocol(주소 결정 프로토콜)의 약자로, IP주소와 MAC주소를 대응 시키기 위한 통신 규약이다. 로컬 네트워크에서는 IP가 아닌 MAC 주소를 기반으로 통신하는데, 동일 네트워크의 특정 IP와 통신한 경험이 없을 경우, 해당 IP가 어떤 MAC과 일치하는지 PC는 알 수 없다. 따라서 PC는 ARP통신을 통해 IP주소에 해당하는 MAC주소를 일치시키고 이것을 표(ARP table)로 만들어 관리하며, 이후 로컬 통신은 MAC주소만을 사용한다.
[그림] ARP table의 예
아래 그림과 같은 상황에서, PC1은 인터넷에 접속하기 위해 공유기를 반드시 거쳐야 한다. 다시 말해 외부 네트워크와 통신하기 위해 반드시 거쳐야 하는 관문(게이트웨이)이 공유기라고 할 수 있다. “정상통신” 상황하에 PC1은 외부와 통신하기 위해 게이트웨이(공유기)로만 데이터를 전송한다.
만약 PC2가 zxarps.exe에 감염된다면 “비정상통신”과 같은 상황이 벌어진다. 감염된 PC2는 PC1의 ARP table을 오염시켜 자신의 MAC주소를 게이트웨이의 IP주소와 매칭시킨다. ARP table이 오염된 PC1은 이후 외부와 통신하기 위한 모든 데이터를 PC2로 전송하게 된다. 감염된 PC2는 수신한 패킷으로 악성동작을 수행하고 공유기로 중계해 준다. 이 때문에 PC1에서는 평소와 같이 외부와 통신을 할 수 있고, 따라서 자신의 데이터를 중간에서 누군가 보고 있다는 사실을 알기 어렵다.
[그림] ARP Spoofing에 따른 중간자 공격
zxarps.exe의 위협적인 점은 이처럼 악성동작이 감염된 PC 한 대에 국한되지 않는다는 점이다. MITM상황 하에 동일 네트워크의 다른 비 감염 PC들에 수행할 수 있는 악성동작들은 매우 다양하고, zxarps.exe는 해커가 손쉽게 악성행위를 할 수 있도록 해준다. 아래는 zxarps.exe에 감염된 PC가 동일 네트워크에 있을 때 입을 수 있는 피해를 재현한 예시이다.
[그림] 비 감염 PC로부터 유출된 FTP 계정정보
[그림] 비 감염 PC에서 google.com에 접속한 화면 (DNS Spoofing 공격)
[그림] 비 감염 PC의 HTTP 패킷 유출
2. 결론
이처럼 zxarps.exe의 위협은 감염된 PC 한 대에 그치지 않고, 해당 네트워크 전체에 영향을 끼칠 수 있다. 비단 zxarps.exe의 경우뿐 아니라 카페, 공항 등 누구나 접속할 수 있는 공용 네트워크는 해커들의 손 쉬운 공격 대상이다.
특히 유동인구가 많은 지역에 비밀번호를 설정하지 않은 WIFI를 제공하여 개인정보 수집 및 악성프로그램 설치를 유도하는 것은 과거부터 해커들이 사용해온 고전적인 수법이다. 때문에 검증되지 않은 네트워크는 이용을 최소화 하고, 애초 중요한 정보를 입력하지 않는 등의 주의가 필요하다.
공유기가 널리 보급되며 이러한 형태의 위협은 곳곳에 산재해 있지만 이를 관리해야 한다는 인식은 아직 많이 부족한 실정이다. 대다수의 이용자는 공유기를 구입하고 기본 비밀번호를 바꾸지 않고 쓰고 있다. 이런 비밀번호는 검색만 하면 너무나 쉽게 얻을 수 있고 심지어 커뮤니티를 통해 적극적으로 알려지기까지 한다. 이는 비밀번호가 없는 상황과 같다. 안전한 PC사용을 위해 보안성 높은 비밀번호 관리에 언제나 신경 써야 하겠다.
해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0 모두에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면
[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] atotal3.exe (게임 실행화면 탈취, 파일 생성실행) (0) | 2016.01.06 |
|---|---|
| [악성코드 분석] fgrfev1.1.exe (2) | 2015.12.29 |
| [악성코드 분석] Cribinst.exe (인터넷 뱅킹 파밍) (0) | 2015.12.23 |
| [악성코드 분석] 0f591.exe (0) | 2015.12.22 |
| [악성코드 분석] winhost.exe (0) | 2015.12.16 |