분석 정보/악성코드 분석 정보

[악성코드 분석] Neutrino bot 분석

TACHYON & ISARC 2017. 3. 21. 16:55

Neutrino bot 분석 




1. 개요 


봇넷(Botnet)은 네트워크에 연결되어 있으면서 제 3자에게 제어 권한을 빼앗긴 컴퓨터들의 집합을 말한다. 이러한 봇넷을 구성하는 봇(Bot)들은 공격자의 목적을 달성하기 위해 다양한 기능을 가지고 있으며, 주로 확장을 위한 추가 악성코드 다운로드와 DDoS(Distributed Denial of Service) 공격을 이루기 위한 flooding 공격 등 다양한 기능을 갖춘다. 해당 악성코드에서 다루게 될 Neutrino bot은 앞서 설명한 봇의 일종이며, 같은 이름을 가진 익스플로잇 킷(Exploit-kit) Neutrino EK를 활용하여 유포된다. 





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

neutrino.exe

파일크기

274,432 byte

진단명

Trojan/W32.Agent.274432.AIO

악성동작

C&C

네트워크

82.211.30.40:80

 



2-2. 유포 경로

해당 악성코드는 뉴트리노 익스플로잇 킷을 활용 한 인터넷 익스플로러(Internet Explorer)및 플래시 플레이어(Flash Player) 취약점을 통하여 유포된 것으로 알려진다.




2-3. 실행 과정

최초 감염시 아래 그림과 같이 C&C 서버에 아래와 같이 Base64로 인코딩 된 문자열 “enter”와 “success”를 HTTP 프로토콜로 주고받는다.


[그림 1] 감염 시 패킷[그림 1] 감염 시 패킷




그 후 곧바로 감염 PC의 정보를 보내고 screenshot 명령을 받아 감염된 시스템의 스크린샷을 전송한다.


[그림 2] screenshot 명령[그림 2] screenshot 명령


[그림 3] 스크린샷 전송[그림 3] 스크린샷 전송






3. 악성 동작

아래와 같이 C&C 서버에서 받은 내용을 cmd.exe를 통해 수행하는 명령 쉘(Command Shell)을 포함하고있다. 


[그림 4] 명령 쉘[그림 4] 명령 쉘




이 외 다른 봇넷을 제거하기 위한 용도로 보이는 기능과 추가 악성코드 설치와 사용자의 파일을 전송하는 등 다양한 기능을 포함한다.


[그림 5] 기타 기능[그림 5] 기타 기능





4. 결론

이러한 유형의 악성코드는 공격자의 목적을 이루기 위해 감염된 시스템의 자원을 공격자 마음대로 사용할 수 있기 때문에 사용자가 의도치 않게 네트워크 및 시스템의 부하를 일으킬 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면