[악성코드 분석] 인증서 탈취, ZeusBot 변종 악성코드 주의

ZeusBot 변종 악성코드 분석 보고서 

1. 개요

ZBot 이라고 알려진 제우스 봇은 유명한 상용 해킹 툴로써 2007년 이래로 지금껏 활동을 이어오고 있다. 주로 이메일이나 소프트웨어 취약점을 이용해 전파되며, 감염된 PC를 쉽게 제어 할 수 있는 C&C 서버 프로그램을 제공한다. 또한 악성코드를 생성 할 때 자세한 사항을 설정할 수 있는 빌더를 제공하고 있어 감염 방지에 어려움이 따른다.

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	fc6b9.exe
파일크기	450,560 byte
진단명	Trojan-Spy/W32.ZBot.450560.P
악성동작	인증서 탈취, 파일 생성실행, C&C, 인젝션
네트워크	78.***.**.114

 

2-2. 유포 경로

ZBot은 감염PC 봇넷을 생성·관리하는 하나의 해킹 서비스를 말한다. 많은 변종과 함께 목적에 따라 다양한 유포 및 감염 방식을 취하고 있어 유포경로를 특정 짓기 어렵다.

2-3. 실행 과정

제우스 봇의 변종 중 하나인 fc6b9.exe 는 실행 시 시스템폴더 하위에 정상 ntos.exe 파일을 자신으로 교체한다. 또한 동일폴더 하위에 wsnpoem 폴더를 생성하고 이곳에 audio.dll 과 video.dll 파일을 생성하여 악성동작에 활용한다. 이 두 파일은 .dll 확장자를 갖고 있지만 단순 데이터 파일이다.

또한 이 악성코드는 윈도우 정상 프로세스 winlogon.exe 와 explorer.exe 에 인젝션되어 실행되기 때문에 사용자가 감염사실을 인지하기 어렵다.

3. 악성 동작

3-1. 보안 프로그램 종료 시도

fc6b9.exe 는 현재 실행중인 프로세스의 실행 파일명을 기준으로 해당 프로세스 종료를 시도한다. 대상 프로세스는 outpost.exe 와 zlclient.exe 로 모두 방화벽 프로그램이다.

 

[그림] 보안 프로그램 종료 시도

3-2. 인증서 탈취

ZBot은 PC에 저장된 인증서를 탈취하는 동작을 한다. PFXExportCertStore 함수는 PC에 저장된 인증서는 물론, 해당 인증서에 쌍을 이루는 개인 키까지 탈취할 수 있다.

[그림] 인증서 탈취

3-3. 암호화된 설정파일

ZBot 만의 특징적인 활동으로 C&C 서버에 저장된 설정파일을 다운로드 한다. 대게 이 파일은 cfg.bin 이라는 파일명을 사용한다. 이 설정파일을 통해 아래와 같은 내용을 설정할 수 있다.

설정 항목	설명
timer_logs	감염PC 로그파일 서버 업로드 간격
timer_stats	감염PC 감염통계 서버 전송 간격
url_config	설정파일을 가져오기 위한 서버 URL
url_compip	감염PC를 등록하기 위한 서버 URL
encryption_key	설정파일을 암호화 하기 위한 키
…	…

[표] ZBot 설정 항목

실제로 이 악성코드에서 audio.dll 파일을 설정을 저장하는 용도로 사용하고 있으며, 그 내용은 암호화 되어 기록된다.

[그림] 설정 파일 다운로드 패킷

[그림] audio.dll 파일의 내용

4. 결론

ZBot 은 이 악성코드만 전문적으로 추적하여 차단할 수 있는 웹사이트가 있을 정도로 많이 쓰이는 악성코드이지만, 실시간 탐지 및 차단에도 불구하고 현재까지 활발히 활동하는 악성코드이다. 매번 새로운 코드로 업데이트 되는 만큼 백신에 진단되기까지의 짧은 시간 동안 감염되는 경우가 많아 사용자의 주의가 요구된다.

위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면