기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서
1. 개요
뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다.
이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
Hyundai.com |
|
파일크기 |
384,000 byte |
|
진단명 |
Trojan/W32.Buzus.384000.C |
|
악성동작 |
백도어 |
|
네트워크 |
m****s****77.ddns.net – 공격자 서버 |
2-2. 실행 과정
파일명이 기업명과 동일하며 확장자명이 .com인 이 악성파일은 국내 모기업의 홈페이지 주소와 동일하여 주의가 필요하다. 확장자명 .com은 과거 도스를 사용했던 때의 실행파일 확장자명으로 command.com 같은 구 도스쉘이 이용된 확장자이다. 윈도우 환경에선 .exe와 .com 모두 정상 실행된다.
Hyundai.com 을 실행할 경우 정상 notepad.exe (메모장) 프로세스를 생성한 후 이미지 스위칭을 하며 자신을 종료한다. 정상 notepad.exe 가 실행되었지만 이미지 스위칭으로 인해 그 내용이 악성코드의 내용으로 교체되어 악성 행위를 하게 된다. notepad.exe 는 C&C 서버와 연결을 시도하며 명령을 대기하고, 정상 svchost.exe 를 생성한 후 인젝션을 시도한다. 인젝션 된 svchost.exe 는 notepad.exe 의 생존 주기 연장을 위해 동작하며, 만약 notepad.exe 가 종료된 경우 이를 다시 실행한다.
악성코드는 m****s****77.ddns.net 에서 공격자 서버의 IP 를 가지고 온다. 여기서 ddns.net 은 DDNS 를 제공해주는 정상 서버이며, 이 곳에 “m****s****77” 로 등록된 서버가 바로 공격자의 서버이다. DDNS 로부터 공격자 서버의 IP 를 받아오지만 현재 연결이 이루어지지 않는다.
정상적으로 연결이 이루어질 경우 공격자는 감염 PC 에 다음과 같은 명령어들을 지시 할 수 있다. 명령어들은 아래와 같은 카테고리로 나누어 볼 수가 있으며, 직관적인 이름과 그에 따른 기능을 가지고 있다.
|
Category |
Command |
|
|
Process |
getprocesslist |
killprocessid |
|
suspendprocess |
resumeprocessid |
|
|
Keylogger |
keylogger |
keyloggerativar |
|
Device |
startaudio |
webcam |
|
mouseclick |
… |
|
|
File |
fmdownload |
fmupload |
|
fmfilesearchlist |
fmfilesearchliststop |
|
|
fmfilesearchlist |
fmfolderlist |
|
|
downexec |
… |
|
|
Power |
fshutdown |
fhibernar |
|
flogoff |
fpoweroff |
|
|
frestart |
… |
|
|
Clipboard |
getclipboard |
clearclipboard |
|
setclipboard |
|
|
|
ETC |
openweb |
shellstart |
|
startupmanager |
… |
|
3. 악성 동작
3-1. 생존 주기 연장
이미지 스위칭 된 notepad.exe 는 자신의 생존 주기 연장을 위해 svchost.exe 를 자식 프로세스로 생성 후 인젝션 한다. 인젝션 된 svchost.exe 는 notepad.exe 가 PC 에서 동작하고 있는지 확인하며, 만약 notepad.exe 가 종료되면 이를 다시 실행한다.
![[그림 4]](https://t1.daumcdn.net/cfile/tistory/242A6347579EDCDF38)
3-2. 파일 다운로드
3-3. 키로깅
공격자는 사용자의 키 입력 정보 또한 가로챌 수 있다. 키로깅 명령을 받으면 키보드 입력 이벤트를 가로채는 함수를 등록하여 Windows 에서 사용자가 입력하는 모든 키 입력 정보를 가로챈다. 가로챈 키 입력 정보와 해당 이벤트가 발생한 윈도우, 시간 등을 종합하여 notepad 폴더 안에 logs.dat 파일에 기록한다.
3-4. 사용자 화면 캡쳐
공격자는 현재 사용자가 PC 에서 조작하고 있는 화면을 캡쳐 할 수 있다.
3-5. 기타 기능
공격자는 사용자 PC 에서 어떤 프로세스가 동작하고 있는지 확인할 수 있으며, 오디오 장치를 통해 음성 정보를 탈취 할 수도 있다. 또한 사용자 PC 의 마우스 클릭을 조작하거나 파일 업로드 및 다운로드 등의 동작을 수행할 수 있다.
4. 결론
이번 보고서에서 분석한 악성 파일은 사용자가 일반적으로 사용하는 notepad.exe 를 통해 동작한다. 이로 인해 사용자가 동작 사실을 알아차리기 어려우며, 만약 이를 알아차리고 종료한다 하더라도 인젝션 된 svchost.exe 에 의해 다시 실행되므로 대처가 어렵다.
백도어의 경우 공격자에 의해 추가적인 악성 파일을 다운로드 할 수가 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 인증되지 않은 불법 소프트웨어의 다운로드를 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.
위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 (0) | 2016.08.19 |
|---|---|
| [악성코드 분석] 인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석 (0) | 2016.08.04 |
| [악성코드 분석] 북한이 사용한 악성 프로그램 ‘유령쥐’ (Gh0st RAT) (0) | 2016.07.01 |
| [악성코드 분석] 다운로드 프로그램으로 위장한 애드웨어 배포 주의 (0) | 2016.06.17 |
| [악성코드 분석] 백도어 악성코드 분석 (0) | 2016.05.25 |