[악성코드 분석] 사용자 행동을 감시하는 악성코드

사용자 행동을 감시하는 악성코드 분석 보고서 

---

 

 

1. 개요

악성코드는 일반적으로 기존에 사용 되었던 코드를 재사용하거나, 전문 툴을 이용해서 제작된다. 그 중에서 전문 툴로 제작된 악성코드는 상당히 정교하기 때문에 해커들 사이에서 많이 사용된다. 특히, 전문 툴을 사용하는 악성코드 중 Backdoor 기능이 담겨있는 툴을 RAT라고 하는데 일단 감염에 성공한다면 Backdoor 기능을 통해 수 많은 다른 악성 행위가 가능해진다.

악성코드 Backdoor/W32.DarkKomet.281088.G (procexp.exe) 를 분석하며 원격 제어를 가능하게 하는 악성코드의 위험성에 대해 말하고자 한다.

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	procexp.exe, scrss.exe
파일크기	281,088 Byte
진단명	Backdoor/W32.DarkKomet.281088.G
악성동작	윈도우 관리 유틸 무력화, 원격 접속 시도
네트워크	81.***.**.*19

 

2-2. 유포 경로

악성코드는 procexp.exe 이름으로 유포되고 있었는데 이 파일명은 Microsoft 사의 유틸리티와 같아 사용자들이 실제 유틸리티와 혼동하기 쉽다. 실제 Microsoft의 유틸리티인 procexp.exe는 Windows Sysinternals 에서 배포하고 있으며 윈도우의 작업관리자보다 더 많은 기능을 가지고 있기 때문에 많은 사람들이 사용하고 있다. 

이 떄문에 악성코드 유포자는 해당 파일을 표적해 악성코드를 위장시켰다고 볼 수 있다. 악성파일은 개인 사이트 http://m****e****u**.**t****s**.org/procexp.exe 에서 유포되고 있다.

[그림 1] 실제 Microsoft에서 배포하고 있는 정상 procexp.exe

2-3. 실행 과정

악성파일은 실행 시 system32 폴더 하위에 MSDCSC라는 폴더를 생성하고 scrss.exe라는 파일명으로 자기 자신을 복제하고 실행시킨다. 해당 파일명은 윈도우 시스템의 중요파일인 csrss.exe 를 위장한 것으로 보이며, 동작 시 시스템 관리 유틸리티에 관한 레지스트리 값을 수정하며 탐지를 회피한다.

이후, 윈도우 부팅 중 사용자 로그인 인증과정 단계에서 자동 실행 된다. 실행 된 scrss.exe 파일은 정상 실행파일 iexplore.exe 로 위장하여 자신의 악성동작을 실행 시킨다. 숙주 파일이었던 procexp.exe 는 자가 삭제 되며 자동실행으로 등록되는 scrss.exe 실행파일은 숨김 속성과 시스템 속성이 할당 된다.

[그림 2] 특정 폴더아래에 숨김 속성과 시스템 속성이 부여된 악성파일

 

[그림 3] 윈도우 로그인 시 같이 실행 되는 scrss.exe 악성파일

 

3. 악성 동작

3-1. 시스템 관리 유틸리티 동작 방해 및 기타 보안설정 변경

악성코드는 윈도우에서 제공하는 기본적인 관리 유틸리티 프로그램들을 사용하지 못하게 한다. 감염 시 사용 불가능한 관리 프로그램은 regedit.exe 와 taskmgr.exe 이다.

또한, 악성동작에 방해가 되는 요소를 레지스트리 설정 값을 수정하는 방식으로 사용 해제한다. 해제되는 설정 값은 AntiVirusDisableNotify, UpdatesDisableNotify 값으로, 사용자 PC에 백신을 사용하지 않고 있거나, 윈도우 업데이트가 되지 않았을 때 알림을 주는 설정 값이다. 그 밖에 방화벽 사용 해제, UAC 설정 변경 등의 동작도 수행한다.

마지막으로 “윈도우 시큐리티 센터” 서비스를 중지 시킨다(wscsvc 서비스 사용 안 함으로 변경). 해당 서비스의 사용 중지와 각 종 알림의 사용 해제로 사용자는 감염 사실을 알아채기 힘들고, 감염 PC는 더욱 더 취약해진다.

 

[그림 4] 실행 불가능한 작업 관리자

 

[그림 5] 실행 불가능한 레지스트리 편집기

 

[그림 6] 사용 중지 된 Security Center 서비스

3-2. 실행 프로세스 감시 및 키-로그 기능 (RAT 기능)

explorer.exe 를 통해 실행 되는 악성코드의 궁극적인 목표는 원격지로 사용자 컴퓨터의 제어권을 이어주는 RAT 동작이다. RAT 는 Remote Administration Tool 의 약자로써 원격으로 PC를 관리 할 수 있는 소프트웨어를 칭하지만, 많은 악성코드들이 이런 기능을 내포하고 있기 때문에 근래에 들어 Remote Access Trojan, Remote Access Tool 등의 여러 이름으로 불리기도 한다. RAT는 흔히 Backdoor 라고 불리는 동작과 같고 제작자의 의도가 어찌됐든 악용 될 소지가 있기 때문에 특히 주의해야 한다.

해당 악성코드도 유명 RAT 소프트웨어 통해 빌드 된 slave(client)파일인 것으로 보인다. 분석시점에서는 원격지와의 연결이 되지 않아 명령을 받아 동작하진 않지만 서버와의 통신이 가능해 진다면 추가적인 피해가 있을 수 있다. 또한, 서버와 연결이 되지 않아도 기본적으로 사용자의 실행 프로세스를 감시하고 키보드 입력을 기록하는 동작을 수행하고 있다.

[그림 8]에서 보듯이 감염된 환경에서, 국내 포털 사이트에 가상의 ID와 비밀번호를 입력해 보았더니 여과 없이 기록됨을 볼 수 있었다. 게다가 프로세스 명도 같이 확인 할 수 있기 때문에 실제 악성서버와 통신 중이었다면 손 쉽게 개인정보를 탈취 당 할 수 있다.

중요한 것은 키-로깅과 실행 프로세스를 기록하는 기능이 RAT 기능 중 극히 일부에 지나지 않기 때문에 추가적인 피해가 있을 수 있다는 것이다.

 

[그림 7] 해당 날짜로 생성되는 악성 로그 파일

 

[그림 8] 감염된 PC에서 실행 중인 프로세스와 키-로깅이 기록된 텍스트

4. 결론

보고서에서 설명한 악성코드는 사실 Darkcomet 이라고 불리는 유명한 RAT 툴로 생성된 파일이다. 다른 유명 RAT 툴과 마찬가지로 Darkcomet 은 사용법이 간편하고 강력한 기능이 많기 때문에 전문 해커들도 정보 수집 등에 사용 할 수 있고, 해당 RAT 기능만으로도 충분히 많은 악성 행위를 수행 할 수 있다.

해당 악성코드는 기본적인 관리 유틸리티를 사용 불가능하게 만들어 수동 탐지와 제거를 어렵게 만들었다. 또한 여러 경고알람을 끄거나 서비스를 중지하여 사용자가 감염사실을 쉽게 알아챌 수 없게 했다. 

한가지 다행인 것은 악성파일 procexp.exe 를 실행 시켰을 때 위장대상인 유틸리티의 동작을 하지 않는다는 점이다. 따라서, 사용자는 해당 실행파일이 정상적인 동작을 하지 않는다는 것을 확인하고 바로 의심해 볼 수 있으며, 이후 백신 프로그램 등으로 감염파일을 탐지하고 치료 할 수 있다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 

[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면