분석 정보/악성코드 분석 정보

[악성코드 분석]POS 시스템을 노린 악성코드

TACHYON & ISARC 2018. 8. 6. 11:40

POS 시스템을 노린 악성코드

 

1. 개요

최근 판매시점관리시스템(POS)에 악성코드가 감염되어 먹통이 되는 사건이 발생하였다. 6월 29일 한 POS 기업은 ‘윈도우 XP 시스템 연결 끊김 증상 긴급복구 방법 및 권고사항 안내’ 란 제목의 글을 게시했다. 공지 내용은 윈도우 XP 기반의 특정 POS 시스템에서 인터넷 연결이 안 되는 증상이 발생되고 있다는 내용이었다. 해당 증상은 윈도우 XP의 보안취약성을 악용한 TCP/IP 설정 및 윈도우 서비스의 인터넷 연결 관련 항목에 악영향을 주어 인터넷 연결이 끊어지는 증상이 발생되는 것으로 확인됐다고 밝혔다.

 

이번 블로그에서는 해당 사건에 쓰였던 악성코드 중에서 이전 ‘WannaCryptor Ransomware’ 에서 쓰였던 EternalBlue, Doublepulsar 취약점을 통해 추가 악성코드를 전파하는 악성코드에 대해 알아보고자 한다.

 

관련 기사 :
http://www.etnews.com/20180706000307
http://www.boannews.com/media/view.asp?idx=71127

 

 

 

2. 분석 정보

2-1. 실행 흐름

분석한 악성코드는 SFX-7Zip 으로 생성된 파일로, 실행 시 내부에 존재하는 파일을 특정 경로에 드롭하여 실행한다. 실행되는 각 파일들은 최종적으로 악성코드를 전파하고 추가 악성코드 다운로드를 시도한다.

 

 

 

3. 악성코드 분석

3-1. SFX-7Zip 파일 실행

SFX-7Zip 파일은 7Zip 압축 파일로 생성되어 실행 시 특정 경로(C:\Windows\Microsoft) 에 관련 파일을 드롭 한다. 이후 드롭 된 파일들이 실행되며 각각의 악성동작을 수행한다. SFX-7zip 파일은 동작이 끝난 뒤 자가 삭제 된다.

 

3-2. 전파대상 탐색 및 추가 기능 파일 동작

SFX-7Zip 파일에서 드롭되어 실행된 파일들은 같은 경로에 드롭된 여러 파일을 유기적으로 동작 시켜준다. 동작되는 파일은 기본 서비스 해제, 이전 실행 악성코드 종료, 방화벽 해제 등의 환경을 조작하는 파일과 전파대상을 탐색하는 파일이 있다.
전파대상을 탐색하는 파일은 현재 감염 PC 가 속한 공인 IP 대역과 사설 IP 대역을 탐색한다. 이때, 대상이 되는 공인 IP 대역은 특정 사이트를 통해 얻어오며, 사설 I P 대역은 route print 명령어를 통해 구한다. 이후 해당 IP 대역에서 특정 포트가 열려있는지 포트 스캐너를 통해 확인한다.

 

 

[그림 1] 공인 IP 대역을 대상으로 공격을 시도하는 파일 스크립트[그림 1] 공인 IP 대역을 대상으로 공격을 시도하는 파일 스크립트

 

 

 

[그림 2] 사설 IP 대역을 대상으로 공격을 시도하는 파일 스크립트[그림 2] 사설 IP 대역을 대상으로 공격을 시도하는 파일 스크립트

 

 

 

3-3. Eternalblue, Doublepulsar 전파 파일 동작

공격 대상 이 정해지면 Eternalblue, Doublepulsar 취약점을 동작시키는 파일을 실행해주며, 해당 파일은 445 포트와 139 포트를 공격하는 파일로 나누어져 있다.

해당 취약점에 대한 공격이 성공하면 대상 네트워크의 Victim PC 에 백도어 쉘 코드가 설치되고, 설치에 성공한 백도어 쉘 코드로 악성 DLL (추가 악성코드 다운로드)파일을 전파 및 실행하게 된다.

 

 

 

[그림 3] Eternalblue 취약점 공격 툴 실행 스크립트 내용 중 일부[그림 3] Eternalblue 취약점 공격 툴 실행 스크립트 내용 중 일부

 

 

 

3-4. Eternalblue, Doublepulsar 취약점을 통해 감염된 PC 의 파일 동작

취약점을 통해 전파된 파일은 특정 원격지에서 파일을 다운로드 받는 동작을 수행한다.

앞선 Doublepulsar 와 Eternalblue 취약점에 의해서 전파된 파일은 Victim PC 의 특정 프로세스에 인젝션 되어 동작된다. 아래의 사진은 Eternalblue 에 의해서 감염된 PC 에서 찍은 패킷 내용으로 특정 원격지로 연결을 시도함을 볼 수 있다.

 

 

 

[그림 4] 감염된 PC 에서 특정 원격지로 연결 시도[그림 4] 감염된 PC 에서 특정 원격지로 연결 시도

 

 

 

해당 원격지는 현재 연결되지 않으나 해당 URL에 대한 다운로드 기록을 추적한 결과 추가적으로 다운로드 되는 악성코드는 CoinMiner 관련 파일로 추정 된다.

 

 

 

4. 결론

Eternalblue 관련 취약점은 이전 WannaCryptor 랜섬웨어 사건에서 크게 이슈된 적이 있었다. 해당 취약점에 대한 보안 업데이트가 이미 오래전에 배포되었음에도 불구하고, 여전히 피해사례가 발생하고 있다. 따라서 사용자는 Microsoft 에서 제공하는 최신의 Windows 보안 업데이트를 진행하고, 이미 지원이 종료된 OS 는 가급적 최신 버전의 OS 로 업그레이드를 하는 것이 좋다.


이외에도 사용중인 안티바이러스 제품이 있다면 해당 제품 역시 최신패턴으로 유지하도록 해야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

 

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면