악성코드 감염되면 공격자의 명령에 따라 악의적 기능 수행
[보안뉴스 김태형]  2012년 12월 4일 국내 기업 고객을 통해 확인된 DorkBot 변형에서 기존 이동형 저장장치와는 다른 형태의 Autorun.inf 파일을 생성하는 것이 발견되었다고 안랩 시큐리티대응센터(이하 ASEC)는 밝혔다.

악성코드에서 USB와 같은 이동형 저장장치를 자신의 복제본을 전파하기 위한 수단으로 사용되기 시작한 것은 이미 오랜 전 일이다. 이러한 이동형 저장 장치를 악성코드 전파의 수단으로 사용되는 점은 과거 플로피 디스켓이 DOS 운영체제에 감염되는 바이러스의 전파 수단이 되는 것과 같은 동일한 선상에 있다고 할 수 있다.

이러한 USB와 같은 이동형 저장장치로 인해 악성코드가 유포되었던 대표적인 사례들은 아래와 같이 정리 할 수 가 있다.

-2010년 5월 21일 - 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포
-2010년 6월 2일 - 독일에 수출된 삼성 바다폰에 감염된 악성코드
-2010년 9월 10일 - 해외에서 이메일을 이용해 대량 유포된 Swisyn 웜

이러한 대표적인 사례들 외에도 다수의 악성코드들에서 USB와 같은 이동형 저장 장치를 악성코드 유포의 매개체로 하여 사용되었던 사례들이 존재하며 현재까지도 이러한 사례들이 적지 않게 발견되고 있다.

이번에 발견된 DorkBot 변형 제작자는 백신(Anti-Virus) 소프트웨어에서 이동형 저장장치 루트에 생성되는 Autorun.inf 파일을 탐지하기 위한 다양한 기법들이 포함된 것을 파악하고 아래 이미지와 같이 실제 Autorun 관련 명령어들 사이에 다수의 쓰레기 데이터를 채워 놓고 있다.
     

ASEC측은 “이러한 다수의 쓰레기 데이터를 채움으로써 백신 소프트웨어의 탐지와 함께 분석을 지연시킬 목적으로 사용하는 특징이 존재한다. 이 외에 해당 DorkBot 변형은 공개되지 않은 프라이빗 패커(Private Packer)로 실행 압축되어 있으며 이를 풀게 되면 Visual C++로 제작된 코드가 나타나게 된다”고 설명했다.

해당 악성코드가 실행되면 자신이 실행되는 영역이 다음과 같은 가상화 공간인지 확인 후 가상화 공간일 경우 실행을 중단하게 된다.

-Qemu
-VMWrare
-VirualBox

만약 가상화 공간이 아니라면 감염된 시스템에 존재하는 정상 시스템 프로세스인 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 전체를 삽입하게 된다.

            

그리고 자신의 복사본을 rwrttxx.exe (90,112 바이트) 라는 파일명으로 다음의 경로에 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Application Datawrttxx.exe

그리고 감염된 시스템에 USB와 같은 이동형 저장장치가 연결되어 있다면 악성코드 자신의 복사본인 DSCI4930.jpg(90,112 바이트)과 Autorun.inf(294,819 바이트) 파일을 생성한 후, 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 파일들이 보이지 않게 숨기게 된다.

G:\AdobeReader\DSCI4930.jpg (90,112 바이트)
G:\autorun.inf (294,819 바이트)

만약 이동형 저장장치에 다른 폴더와 파일들이 존재할 경우, 해당 폴더와 파일명의 바로가기 파일(*.ink)을 생성한 후, 이 역시 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 보이지 않게 만들게 된다.

감염된 시스템의 윈도우 레지스트리에 다음의 키 값들을 생성하여 부팅 시마다 생성한 악성코드가 자동 실행되도록 구성하게 된다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Datawrttxx.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Datawrttxx.exe

그리고 감염된 시스템에서 실행 중인 전체 프로세스 리스트를 검사하여 시스템 모니터링 관련 유틸리티가 실행 중이라면 강제 종료를 수행하게 된다. 해당 악성코드는 감염된 시스템에서 다음의 URL 주소를 가진 C&C 서버로 접속을 수행하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다.

entceqipqujagjzp/ngrs/gate.php

해당 URL 주소를 가진 C&C 서버로 접속이 정상적으로 성공하게 되면 공격자의 명령에 따라 다음의 악의적인 기능을 수행하게 된다.

-시스템 재부팅
-파일 다운로드 및 업로드
-DDoS 공격(UDP, SYN) 시작 및 중단
-운영체제 버전 정보
-MSN, Gtalk, eBuddy, Facebook 메신저 프로그램을 이용한 악성코드 전파 시작 및 중단
-FileZilla에 설정되어 있는 서버 주소 및 계정 정보 탈취

이 외에 다음의 소셜 네트워크(Social Network) 웹 사이트들에 사용자 계정 세션이 활성화 되어 있을 경우, 해당 악성코드를 유포하기 위해 악성코드를 다운로드 가능한 게시물들을 세션이 활성화된 사용자 계정으로 생성하게 된다.

-Bebo.com
-Liknkedin.com
-Myspace.com
-Twitter.com
-Facebook.com

그리고 감염된 시스템의 사용자가 다음 웹 사이트들에 로그인 하게 되는 경우, 사용자 계정명과 로그인 암호를 C&C 서버로 전달하게 된다.

Webnames.ru, Live.com, Gmail.com, Yahoo.com, Zpag.es, Linkbucks.com, Adf.ly, Twodallarclick.com, Blockbuster.com, Netflix.com, Uploading.com, Fileserver.com, Hotfile.com, Therpiratebay.org, Bangbros.com, Naughtyamerica.com, Brazzers.com, Pornhub.com, Hackforums.net, Wmtransfer.com, Moneybooker.com, Paypal.com

이번에 발견된 백신 제품의 탐지를 우회하기 위한 Autorun.inf 파일을 생성하는 DorkBot 변형은 V3 제품군에서 다음과 같이 진단한다.

-Win-Trojan/Klibot.90112
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>