[악성코드 분석] 웜(Worm) 악성코드 Allaple 상세 분석

웜(Worm) 악성코드 Allaple 상세 분석

1. 개요 

컴퓨터에서 웜(worm)의 정의는 ‘자신을 복제하는 컴퓨터 프로그램’이다. 웜은 네트워크상에서 전파되며 바이러스(Virus)보다 일반적으로 전파속도가 빠르고 과도한 트래픽을 유발하여 대역폭을 잠식할 수 있다. 또한 다른 파일에 기생하여 실행되는 바이러스와 달리 웜은 독립적으로 실행될 수 있다. 본 보고서에서는 C&C(Command & Control) 서버의 명령 없이 무조건 특정 IP에 DoS(Denial of Service) 공격을 수행하는 기능을 수반한 웜 형태 악성코드인 ‘Allaple’(또는 Starman)을 분석하여 웜이 어떤 방식으로 증식하는지 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	allaple.exe
파일크기	57,856 bytes
진단명	Worm/W32.Allaple.Gen
악성동작	Worm, DoS

 

2-2. 유포 경로

주요 유포 경로는 웜의 특성상 공유 폴더, E-mail 등 네트워크를 통하여 유포되며, 다른 악성코드와 마찬가지로 운영체제 보안 취약점을 통해 직접적으로 감염될 수 있다.

2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 실제 악성 행위를 수행하는 코드까지 4단계로 인코딩 되어 있으며, 4번째 단계를 제외하고 각 단계 모두 복제될 때마다 폴리 모르픽(Polymorphic) 기법이 적용되어 코드가 생성된다.

[그림 1] 내부 동작 과정

이러한 폴리 모르픽 기법이 적용되어 전파, 감염 웜이나 바이러스는 감염될 때마다 코드가 변경되어 안티-바이러스 제품이 탐지 및 치료하기 어렵도록 만든다.

3. 악성 동작

3-1. 네트워크 웜(worm) - 공유 자원

해당 악성코드는 임의의 IP를 대상으로 파일 공유 서비스 139(NetBIOS), 445(SMB) 포트에 Brute-force(무차별 대입공격)을 통하여 접근 권한 획득을 시도한다.

[그림 2] 공유 자원 접근 시도

[그림 3] 무차별 대입공격에 사용되는 패스워드

접근 성공 시 자신을 복사하여 전송한다.

[그림 4] 파일 전송

3-2. 네트워크 웜2 - 웹 서버

로컬 드라이브 중 모든 DRIVE_FIXED(hard disk drive or flash drive) 타입 드라이브를 대상으로 확장자 htm, html 파일을 탐색한다.

[그림 5] .htm과 .html 탐색

htm, html 발견 시 아래 그림과 같은 OBJECT 태그를 삽입한다.

[그림 6] .htm과 .html 변조

자신을 드라이브 루트에 복사하고 관련 레지스트리를 생성한다.

[그림 7] 레지스트리 생성

위의 동작을 완수함으로써 변조된 htm, html 파일을 브라우징 시 클라이언트에서 자동으로 복사된 Allaple 악성코드가 실행된다.

4. 결론

이러한 악성코드 피해를 예방하기 위해 필요 없는 공유 폴더 및 디스크를 최소한으로 줄이고, 접근 계정의 ID, 패스워드를 쉽게 예측할 수 없게 설정해야 하며, 공유 자원이 필요 없는 경우는 포트를 닫아 놓아야 한다. 또한 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면