[악성코드 분석] 백도어 악성코드 분석

백도어 악성코드 분석 보고서 

---

 

1. 개요

여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다.

이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다.

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	server.exe
파일크기	737,280 Byte
진단명	Trojan-Spy/W32.Agent.737280.D
악성동작	백도어, 사용자 정보 탈취

 

3. 악성 동작

3-1. 추가 악성 파일 다운로드

분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨다. 악성코드를 다운로드 받는 해당 URL은 분석 시점에서는 접속 되지 않는다.

[그림 1] 특정 주소지에서 파일을 다운받고 실행시키는 부분

3-2. 자동실행 등록

해당 파일은 svchsot.exe(본래 svchost.exe)라는 혼돈 될 수 있는 파일명으로 자기 자신을 Windows 폴더 하위에“XXXXXXPC시간정보” (ex. XXXXXXB1869ED4 등) 폴더를 생성한 뒤 복사한다. 이후 해당 파일을 자동 실행으로 등록하여 사용자가 PC를 재실행 할 때마다 동작 하도록 하였다.

 

[그림 2] 파일명을 변경 한 뒤 Run 레지스트리에 등록

 

 

[그림 3] Run 레지스트에 등록된 값

 

 

3-3. 백신 프로그램 동작 방해

일반적으로 많이 쓰이는 백신이 동작 중인지 확인하고 종료 시킨다.

[그림 4] taskkill 명령어로 백신 프로세스를 종료

 

 

[그림 5] 여러 백신 사의 프로세스를 탐색 한 뒤 종료

 

3-4. PC 정보 탈취

CPU 정보, 컴퓨터 이름, 사용자 이름, 디스크 정보, 메모리 정보, 네트워크 정보 등 PC와 관련된 정보와 사용자 정보를 조회하고 탈취한다.

 

[그림 6] PC 정보를 탈취하는 코드

 

3-5. 백도어 악성동작 : 화면 캡쳐 기능

현재 사용자의 화면을 캡쳐한다.

[그림 7] 현재 사용자의 화면을 캡쳐하여 저장

 

3-6. 백도어 악성동작 : 음성 정보 탈취

감염된 PC에서 오디오 입력장치의 유무를 확인 한 뒤 오디오 입력장치를 통해 음성을 녹음 한다.

 

[그림 8] 사용자의 오디오 입력을 받는 부분

 

3-7. 백도어 악성동작 : 기타 기능

이 외에도 원하는 파일을 검색하는 기능, 키로깅, 네트워크 접속, 클립 보드 내용 탈취 등 여러가지 기능이 존재하며 사용자 PC가 감염 됐다면 공격자는 원하는 동작을 사용자 모르게 수행 할 수 있다.

4. 결론

이번 보고서에서 분석한 악성파일은 정상 svchost.exe 파일명과 유사하게 위장 실행되어 사용자들이 쉽게 구분 할 수 없는 특징이 있다. 백도어 또는 C&C 악성코드에 감염된다면 자신도 모르게 개인 정보가 탈취 당할 수 있으며, 감염 PC는 또 다른 범죄에 악용 될 수 있다. 

따라서 인증되지 않은 불법적인 소프트웨어 다운로드는 최대한 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

 

[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면