분석 정보/악성코드 분석 정보

[악성코드 분석] 기업 홈페이지명을 사칭한 백도어 악성코드

TACHYON & ISARC 2016. 8. 1. 11:38

기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서




1. 개요 


뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다. 


이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Hyundai.com

파일크기

384,000 byte

진단명

Trojan/W32.Buzus.384000.C

악성동작

백도어

네트워크

m****s****77.ddns.net – 공격자 서버















2-2. 실행 과정

파일명이 기업명과 동일하며 확장자명이 .com인 이 악성파일은 국내 모기업의 홈페이지 주소와 동일하여 주의가 필요하다. 확장자명 .com은 과거 도스를 사용했던 때의 실행파일 확장자명으로 command.com 같은 구 도스쉘이 이용된 확장자이다. 윈도우 환경에선 .exe와 .com 모두 정상 실행된다.


Hyundai.com 을 실행할 경우 정상 notepad.exe (메모장) 프로세스를 생성한 후 이미지 스위칭을 하며 자신을 종료한다. 정상 notepad.exe 가 실행되었지만 이미지 스위칭으로 인해 그 내용이 악성코드의 내용으로 교체되어 악성 행위를 하게 된다. notepad.exe 는 C&C 서버와 연결을 시도하며 명령을 대기하고, 정상 svchost.exe 를 생성한 후 인젝션을 시도한다. 인젝션 된 svchost.exe 는 notepad.exe 의 생존 주기 연장을 위해 동작하며, 만약 notepad.exe 가 종료된 경우 이를 다시 실행한다.


그림1[그림 1] 악성코드 실행 파일


그림 2[그림 2] 생성된 프로세스


그림 3[그림 3] notepad.exe 생존 주기 연장



악성코드는 m****s****77.ddns.net 에서 공격자 서버의 IP 를 가지고 온다. 여기서 ddns.net 은 DDNS 를 제공해주는 정상 서버이며, 이 곳에 “m****s****77” 로 등록된 서버가 바로 공격자의 서버이다. DDNS 로부터 공격자 서버의 IP 를 받아오지만 현재 연결이 이루어지지 않는다.


정상적으로 연결이 이루어질 경우 공격자는 감염 PC 에 다음과 같은 명령어들을 지시 할 수 있다. 명령어들은 아래와 같은 카테고리로 나누어 볼 수가 있으며, 직관적인 이름과 그에 따른 기능을 가지고 있다.


Category

Command

Process

getprocesslist

killprocessid

suspendprocess

resumeprocessid

Keylogger

keylogger

keyloggerativar

Device

startaudio

webcam

mouseclick

File

fmdownload

fmupload

fmfilesearchlist

fmfilesearchliststop

fmfilesearchlist

fmfolderlist

downexec

Power

fshutdown

fhibernar

flogoff

fpoweroff

frestart

Clipboard

getclipboard

clearclipboard

setclipboard

 

ETC

openweb

shellstart

startupmanager

[표 1] C&C 명령





3. 악성 동작


3-1. 생존 주기 연장

이미지 스위칭 된 notepad.exe 는 자신의 생존 주기 연장을 위해 svchost.exe 를 자식 프로세스로 생성 후 인젝션 한다. 인젝션 된 svchost.exe 는 notepad.exe 가 PC 에서 동작하고 있는지 확인하며, 만약 notepad.exe 가 종료되면 이를 다시 실행한다.


[그림 4][그림 4] notepad.exe 생존 주기 연장




3-2. 파일 다운로드

공격자는 감염 PC 에 추가적인 악성 파일을 다운로드 할 수 있다. 공격자가 특정 URL 을 지정해주면 감염 PC 는 URL 에 접속하여 파일을 다운로드 한다. 임시 폴더 하위에 임의의 이름으로 폴더를 생성한 후 그 곳에 저장한다. 그리고 다운로드가 완료되면 해당 파일을 실행한다.

그림 5[그림 5] 파일 다운로드 후 실행




3-3. 키로깅

공격자는 사용자의 키 입력 정보 또한 가로챌 수 있다. 키로깅 명령을 받으면 키보드 입력 이벤트를 가로채는 함수를 등록하여 Windows 에서 사용자가 입력하는 모든 키 입력 정보를 가로챈다. 가로챈 키 입력 정보와 해당 이벤트가 발생한 윈도우, 시간 등을 종합하여 notepad 폴더 안에 logs.dat 파일에 기록한다.


그림 6[그림 6] 사용자 키 입력 정보 가로채기


그림 7[그림 7] logs.dat 내용




3-4. 사용자 화면 캡쳐

공격자는 현재 사용자가 PC 에서 조작하고 있는 화면을 캡쳐 할 수 있다.


그림 8[그림 8] 사용자 화면 캡쳐




3-5. 기타 기능

공격자는 사용자 PC 에서 어떤 프로세스가 동작하고 있는지 확인할 수 있으며, 오디오 장치를 통해 음성 정보를 탈취 할 수도 있다. 또한 사용자 PC 의 마우스 클릭을 조작하거나 파일 업로드 및 다운로드 등의 동작을 수행할 수 있다.





4. 결론


이번 보고서에서 분석한 악성 파일은 사용자가 일반적으로 사용하는 notepad.exe 를 통해 동작한다. 이로 인해 사용자가 동작 사실을 알아차리기 어려우며, 만약 이를 알아차리고 종료한다 하더라도 인젝션 된 svchost.exe 에 의해 다시 실행되므로 대처가 어렵다.


백도어의 경우 공격자에 의해 추가적인 악성 파일을 다운로드 할 수가 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 인증되지 않은 불법 소프트웨어의 다운로드를 자제하고, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


그림 9[그림 9] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


그림 10[그림 10] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면