분석 정보/악성코드 분석 정보

[악성코드 분석] 사용자 행동을 감시하는 악성코드

TACHYON & ISARC 2016. 4. 7. 16:26

사용자 행동을 감시하는 악성코드 분석 보고서 



 

 

1. 개요

악성코드는 일반적으로 기존에 사용 되었던 코드를 재사용하거나전문 툴을 이용해서 제작된다그 중에서 전문 툴로 제작된 악성코드는 상당히 정교하기 때문에 해커들 사이에서 많이 사용된다특히전문 툴을 사용하는 악성코드 중 Backdoor 기능이 담겨있는 툴을 RAT라고 하는데 일단 감염에 성공한다면 Backdoor 기능을 통해 수 많은 다른 악성 행위가 가능해진다.


악성코드 Backdoor/W32.DarkKomet.281088.G (procexp.exe) 를 분석하며 원격 제어를 가능하게 하는 악성코드의 위험성에 대해 말하고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

procexp.exe, scrss.exe

파일크기

281,088 Byte

진단명

Backdoor/W32.DarkKomet.281088.G

악성동작

윈도우 관리 유틸 무력화, 원격 접속 시도

네트워크

81.***.**.*19






 


2-2. 유포 경로

악성코드는 procexp.exe 이름으로 유포되고 있었는데 이 파일명은 Microsoft 사의 유틸리티와 같아 사용자들이 실제 유틸리티와 혼동하기 쉽다. 실제 Microsoft의 유틸리티인 procexp.exe는 Windows Sysinternals 에서 배포하고 있으며 윈도우의 작업관리자보다 더 많은 기능을 가지고 있기 때문에 많은 사람들이 사용하고 있다


이 떄문에 악성코드 유포자는 해당 파일을 표적해 악성코드를 위장시켰다고 볼 수 있다악성파일은 개인 사이트 http://m****e****u**.**t****s**.org/procexp.exe 에서 유포되고 있다.





[그림 1] 실제 Microsoft에서 배포하고 있는 정상 procexp.exe





2-3. 실행 과정

악성파일은 실행 시 system32 폴더 하위에 MSDCSC라는 폴더를 생성하고 scrss.exe라는 파일명으로 자기 자신을 복제하고 실행시킨다해당 파일명은 윈도우 시스템의 중요파일인 csrss.exe 를 위장한 것으로 보이며동작 시 시스템 관리 유틸리티에 관한 레지스트리 값을 수정하며 탐지를 회피한다.


이후윈도우 부팅 중 사용자 로그인 인증과정 단계에서 자동 실행 된다실행 된 scrss.exe 파일은 정상 실행파일 iexplore.exe 로 위장하여 자신의 악성동작을 실행 시킨다숙주 파일이었던 procexp.exe 는 자가 삭제 되며 자동실행으로 등록되는 scrss.exe 실행파일은 숨김 속성과 시스템 속성이 할당 된다.



[
그림 2특정 폴더아래에 숨김 속성과 시스템 속성이 부여된 악성파일

 



[
그림 3윈도우 로그인 시 같이 실행 되는 scrss.exe 악성파일

 



3. 악성 동작

3-1. 시스템 관리 유틸리티 동작 방해 및 기타 보안설정 변경

악성코드는 윈도우에서 제공하는 기본적인 관리 유틸리티 프로그램들을 사용하지 못하게 한다감염 시 사용 불가능한 관리 프로그램은 regedit.exe  taskmgr.exe 이다.


또한악성동작에 방해가 되는 요소를 레지스트리 설정 값을 수정하는 방식으로 사용 해제한다해제되는 설정 값은 AntiVirusDisableNotifyUpdatesDisableNotify 값으로사용자 PC에 백신을 사용하지 않고 있거나윈도우 업데이트가 되지 않았을 때 알림을 주는 설정 값이다그 밖에 방화벽 사용 해제, UAC 설정 변경 등의 동작도 수행한다.


마지막으로 윈도우 시큐리티 센터 서비스를 중지 시킨다(wscsvc 서비스 사용 안 함으로 변경). 해당 서비스의 사용 중지와 각 종 알림의 사용 해제로 사용자는 감염 사실을 알아채기 힘들고감염 PC는 더욱 더 취약해진다.

 



[
그림 4실행 불가능한 작업 관리자

 



[
그림 5실행 불가능한 레지스트리 편집기

 



[
그림 6사용 중지 된 Security Center 서비스




3-2. 실행 프로세스 감시 및 키-로그 기능 (RAT 기능)

explorer.exe 를 통해 실행 되는 악성코드의 궁극적인 목표는 원격지로 사용자 컴퓨터의 제어권을 이어주는 RAT 동작이다. RAT 는 Remote Administration Tool 의 약자로써 원격으로 PC를 관리 할 수 있는 소프트웨어를 칭하지만많은 악성코드들이 이런 기능을 내포하고 있기 때문에 근래에 들어 Remote Access TrojanRemote Access Tool 등의 여러 이름으로 불리기도 한다. RAT는 흔히 Backdoor 라고 불리는 동작과 같고 제작자의 의도가 어찌됐든 악용 될 소지가 있기 때문에 특히 주의해야 한다.


해당 악성코드도 유명 RAT 소프트웨어 통해 빌드 된 slave(client)파일인 것으로 보인다분석시점에서는 원격지와의 연결이 되지 않아 명령을 받아 동작하진 않지만 서버와의 통신이 가능해 진다면 추가적인 피해가 있을 수 있다또한서버와 연결이 되지 않아도 기본적으로 사용자의 실행 프로세스를 감시하고 키보드 입력을 기록하는 동작을 수행하고 있다.


[그림 8]에서 보듯이 감염된 환경에서국내 포털 사이트에 가상의 ID와 비밀번호를 입력해 보았더니 여과 없이 기록됨을 볼 수 있었다게다가 프로세스 명도 같이 확인 할 수 있기 때문에 실제 악성서버와 통신 중이었다면 손 쉽게 개인정보를 탈취 당 할 수 있다.


중요한 것은 키-로깅과 실행 프로세스를 기록하는 기능이 RAT 기능 중 극히 일부에 지나지 않기 때문에 추가적인 피해가 있을 수 있다는 것이다.

 



[
그림 7해당 날짜로 생성되는 악성 로그 파일

 



[
그림 8감염된 PC에서 실행 중인 프로세스와 키-로깅이 기록된 텍스트





4. 결론

보고서에서 설명한 악성코드는 사실 Darkcomet 이라고 불리는 유명한 RAT 툴로 생성된 파일이다다른 유명 RAT 툴과 마찬가지로 Darkcomet 은 사용법이 간편하고 강력한 기능이 많기 때문에 전문 해커들도 정보 수집 등에 사용 할 수 있고해당 RAT 기능만으로도 충분히 많은 악성 행위를 수행 할 수 있다.


해당 악성코드는 기본적인 관리 유틸리티를 사용 불가능하게 만들어 수동 탐지와 제거를 어렵게 만들었다또한 여러 경고알람을 끄거나 서비스를 중지하여 사용자가 감염사실을 쉽게 알아챌 수 없게 했다


한가지 다행인 것은 악성파일 procexp.exe 를 실행 시켰을 때 위장대상인 유틸리티의 동작을 하지 않는다는 점이다따라서사용자는 해당 실행파일이 정상적인 동작을 하지 않는다는 것을 확인하고 바로 의심해 볼 수 있으며이후 백신 프로그램 등으로 감염파일을 탐지하고 치료 할 수 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 




[
그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면