C&C 동작의 악성코드 분석 보고서
1. 개요
PC나 시스템을 자유자제로 조작하고 감시하는 것은 해킹의 궁극적인 목적이다. 만약 사용자가 자신이 해킹 공격을 당하고 있다는 사실을 인지하지 못한다면 공격의 기간도 길어질 것이고, 피해의 심각성은 커질것이다.
윈도우 필수 프로세스에 인젝션되어 동작하는 악성코드들은 겉으론 보이지 않기 때문에 일반사용자가 쉽게 찾아내기 힘들다. 또한 C&C 악성동작을 겸비하고 있는 악성코드에 감염된 PC라면 추후 공격에 사용될 가능성이 크다.
악성코드 Trojan.GenericKD.3003712 (factuur2390.exe) 를 분석하며 PC에서 동작하고 있을지 모르는 C&C 악성코드의 위험성에 대해 설명하고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | factuur2390.exe |
파일크기 | 369,664 Byte |
진단명 | Trojan-Spy/W32.ZBot.369664.AS |
악성동작 | C&C 동작 및 DDoS공격 |
네트워크 | 192.**.***.41 |
2-2. 유포 경로
factuur2390.exe 악성코드는 g****u**.co.kr/bbs/factuur2390.exe 주소를 통해 유포되고 있었다. 웹 페이지의 bbs 폴더는 일반적으로 자료를 보관하는데 이용되며, 특히 웹 페이지 제작 및 관리를 위한 CMS(Contents Management System)를 사용하여 만든 사이트에 기본적으로 사용되고 있다.
factuur2390.exe 악성코드의 경우 해당 악성코드의 변종이 다른 여러 웹 사이트에서 동시에 발견 되는 특징이 있었다. 변종 악성파일들은 “Schadeformulier_A26000121747.doc.exe”, “JPEG - img545789-545798_schade_fotos_auto_januari_2016-jpeg.exe” 등의 이름으로 유포되고 있었으며 factuur2390.exe와 동일하게 동작 한다. 또한 유사한 악성파일들이 가짜 파일명과 아이콘으로 위장하여 사용자의 클릭을 유도한다.
[그림] 여러사이트에서 유포되고 있는 변종 악성코드
[그림] 다른 종류 파일의 아이콘과 확장자 명으로 위장한 악성코드
2-3. 실행 과정
악성파일은 실행 시 가장 먼저 사용자의 Outlook 메일정보를 백업한다. 백업 파일은 현재 Outlook과 연동 된 계정의 모든 메일 정보를 저장한다.
다음으로 악성코드는 exeplorer.exe 프로세스에 인젝션되어 원격지 악성서버 s****23****er.**/c_**4/file.php 와 통신한다. 이 후 C&C 명령에 따라 추가적인 악성동작이 가능하나, 현재 명령을 받아 동작하지는 않는다. 다만, 아직 원격지와의 연결이 가능하기 때문에 세심한 주의가 필요하다.
[그림] explorer.exe를 통해 악성 주소지와 통신 대기
3. 악성 동작
3-1. MS Outlook 메일 백업
사용자의 Outlook 계정을 백업하는 동작은 Outlook의 “내보내기”기능과 동일한 동작이며, 사용 중이던 메일 계정에 관련된 모든 정보가 백업 된다. 이후 악성동작에서 백업한 파일을 공격자에게 전송 할 것으로 의심되기 때문에 평소 Outlook 프로그램을 즐겨쓰는 사용자의 개인정보 유출이 우려된다.
[그림] 악성코드 실행 시 생성된 메일 백업 파일
[그림]백업 된 메일 조회.
3-2. 사용자 PC 정보 수집
악성코드는 감염 PC정보를 수집한다. 수집하는 정보에는 PC이름, CPU 종류, 프로세서 코어 수, 사용 중인 메모리 등의 상세한 정보를 조회한다. 해당 정보는 암호화 되어 전송 된다.
[그림] 감염된 PC의 정보를 조회하는 코드
3-3. 자가복제 및 시작프로그램 등록
factuur2390.exe 는 Application Data 폴더 하위의 임의의 이름을 가진 폴더를 생성하고, 임의의 파일명으로 자신을 복제한다. 또한, 복제한 파일을 자동 실행 되도록 등록한다. 이때, 파일의 끝에 약 300바이트 정도가 다르게 생성된다.
다음으로 시작프로그램 폴더 안에 system.pif 로 자기자신을 복제한다. pif 파일은 Program Information File의 약자로써 도스용 프로그램의 실행에 필요한 정보를 기록한 파일이지만, 윈도우 환경에서도 실행이 가능한 파일이다.
3-4. C&C 동작
C&C 동작에는 일반적인 C&C방식의 악성코드와 마찬가지로 많은 기능들이 있다. 추가적인 악성파일을 다운로드 하는 것은 물론이고 클립보드의 내용을 수집하거나 명령을 받아 다양한 DDoS 공격도 가능하다. 현재는 특별한 명령을 받아 악성동작을 하고 있지는 않지만 감염된 PC라면 언제든지 C&C 동작이 수행 될 수 있다.
[그림] 메모장에 적힌 내용을 복사했을 때, 클립보드의 내용을 읽는 부분
[그림] DDoS 공격에 사용되는 각종 문자열
4. 결론
분석한 악성코드는 주요 프로세스에 인젝션되어 동작하기 때문에 일반 사용자가 감염사실을 쉽게 인지할 수가 없다. 또한, 실행중인 악성코드는 현재 대기 상태에 있지만 나중에라도 공격자의 명령을 받아 C&C 동작을 수행 할 수 있는 위험이 있다.
해당 악성코드는 발견될 당시 PDF 파일이나 그림 파일 등의 아이콘으로 위장하고 파일명도 그럴듯하게 속이고 있다. 따라서 인터넷 상에서 검증되지 않은 파일을 받을 때는 한번 더 주의하는 습관을 가지고 윈도우의 기본 옵션인 “알려진 파일 형식의 파일 확장명 숨기기” 를 해제하여 다른 파일로 위장한 .exe파일을 실행하지 않도록 해야 한다.
마지막으로 최근에 의심스러운 파일을 받아 열어보았거나 실행시켰다면, 백신 프로그램을 사용하여 악성파일 검사를 수행 해보는 것이 안전하다.
[그림] 윈도우 기본 옵션인 “알려진 파일 형식의 파일 확장명 숨기기” 해제
해당 악성코드는 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] 꿀뷰로 위장한 파밍 악성코드 (0) | 2016.03.31 |
---|---|
[악성코드 분석] 인기 게임으로 위장한 악성 토렌트 (0) | 2016.03.22 |
[악성코드 분석] 금융권 파밍 dkmpr4.2.exe (0) | 2016.03.10 |
[악성코드 분석] 전자서명을 도용해 유포된 악성코드 (0) | 2016.03.03 |
[악성코드 분석] 일본 금융사이트 대상 파밍 악성코드 (0) | 2016.03.02 |