백도어 악성코드 분석 보고서
1. 개요
여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다.
이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다.
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
server.exe |
파일크기 |
737,280 Byte |
진단명 |
Trojan-Spy/W32.Agent.737280.D |
악성동작 |
백도어, 사용자 정보 탈취 |
3. 악성 동작
3-1. 추가 악성 파일 다운로드
분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨다. 악성코드를 다운로드 받는 해당 URL은 분석 시점에서는 접속 되지 않는다.
[그림 1] 특정 주소지에서 파일을 다운받고 실행시키는 부분
3-2. 자동실행 등록
해당 파일은 svchsot.exe(본래 svchost.exe)라는 혼돈 될 수 있는 파일명으로 자기 자신을 Windows 폴더 하위에“XXXXXXPC시간정보” (ex. XXXXXXB1869ED4 등) 폴더를 생성한 뒤 복사한다. 이후 해당 파일을 자동 실행으로 등록하여 사용자가 PC를 재실행 할 때마다 동작 하도록 하였다.
[그림 2] 파일명을 변경 한 뒤 Run 레지스트리에 등록
[그림 3] Run 레지스트에 등록된 값
3-3. 백신 프로그램 동작 방해
일반적으로 많이 쓰이는 백신이 동작 중인지 확인하고 종료 시킨다.
[그림 4] taskkill 명령어로 백신 프로세스를 종료
[그림 5] 여러 백신 사의 프로세스를 탐색 한 뒤 종료
3-4. PC 정보 탈취
CPU 정보, 컴퓨터 이름, 사용자 이름, 디스크 정보, 메모리 정보, 네트워크 정보 등 PC와 관련된 정보와 사용자 정보를 조회하고 탈취한다.
[그림 6] PC 정보를 탈취하는 코드
3-5. 백도어 악성동작 : 화면 캡쳐 기능
현재 사용자의 화면을 캡쳐한다.
[그림 7] 현재 사용자의 화면을 캡쳐하여 저장
3-6. 백도어 악성동작 : 음성 정보 탈취
감염된 PC에서 오디오 입력장치의 유무를 확인 한 뒤 오디오 입력장치를 통해 음성을 녹음 한다.
[그림 8] 사용자의 오디오 입력을 받는 부분
3-7. 백도어 악성동작 : 기타 기능
이 외에도 원하는 파일을 검색하는 기능, 키로깅, 네트워크 접속, 클립 보드 내용 탈취 등 여러가지 기능이 존재하며 사용자 PC가 감염 됐다면 공격자는 원하는 동작을 사용자 모르게 수행 할 수 있다.
4. 결론
이번 보고서에서 분석한 악성파일은 정상 svchost.exe 파일명과 유사하게 위장 실행되어 사용자들이 쉽게 구분 할 수 없는 특징이 있다. 백도어 또는 C&C 악성코드에 감염된다면 자신도 모르게 개인 정보가 탈취 당할 수 있으며, 감염 PC는 또 다른 범죄에 악용 될 수 있다.
따라서 인증되지 않은 불법적인 소프트웨어 다운로드는 최대한 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.
해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] 북한이 사용한 악성 프로그램 ‘유령쥐’ (Gh0st RAT) (0) | 2016.07.01 |
---|---|
[악성코드 분석] 다운로드 프로그램으로 위장한 애드웨어 배포 주의 (0) | 2016.06.17 |
[악성코드 분석] 인터넷 뱅킹 파밍 KRbanker 악성코드 주의 (0) | 2016.05.20 |
[악성코드 분석] 인증서 탈취, ZeusBot 변종 악성코드 주의 (0) | 2016.05.09 |
[악성코드 분석] 사용자 행동을 감시하는 악성코드 (0) | 2016.04.07 |