분석 정보/악성코드 분석 정보

[악성코드 분석] 북한이 사용한 악성 프로그램 ‘유령쥐’ (Gh0st RAT)

TACHYON & ISARC 2016. 7. 1. 16:48

북한이 사용한 악성 프로그램 ‘유령쥐’



 

1. 개요

지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 


실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은  Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

svchsot.exe

파일크기

106,496 byte

진단명

Backdoor/W32.Zegost.106496

악성동작

C&C, 백도어, 키로거











2-2. 유포 경로

지난 6월 13일 기사 경찰청 사이버안전국 발표에 따르면, 유령쥐는 PC 통합관리 시스템의 취약점을 통해 기업 전산망에 침투한 것으로 알려졌다. 이 보고서에서 분석하는 샘플은 유령쥐의 변종으로 구체적으로 어떤 악성동작을 수행할 수 있는지 알아보고자 한다.




2-3. 실행 과정

최초 실행 시 %WINDIR%\[임의6글자]\svchsot.exe 로 자신을 복제하고 작업 스케줄러를 통해 매시간 자동실행 되도록 설정한다. 이후 악성동작은 메모리상에만 존재하는 .dll 파일에서 이뤄진다. 이후 하기의 C&C서버에 접속하여 악성동작을 수행하나 현재 서버가 차단되어 실제 동작은 하지 않는다.

[그림] 메모리상에만 존재하는 .dll 파일



h****0.g***y.net:6000

com.g****2.com:6000

com1.g****2.com:6000

[표] C&C 서버 주소






3. 악성 동작

3-1. PC정보 전송

감염 PC의 세부 정보를 악성 서버로 전송한다. C&C 형 악성코드에 감염됐을 때 공격자는 관리를 위해 PC를 식별할 필요가 있어 가장 먼저 수행하는 일반적인 동작이다.


[그림] PC정보 수집




3-2. 키로깅

키보드 입력이 발생할 경우 입력한 키를 문자열로 저장한다. 문자로 표현할 수 없는 키(쉬프트, 컨트롤키 등)는 <SHIFT>, <CTRL> 등으로 치환하여 저장한다. 단순 키보드 탈취는 물론 현재 활성화된 프로그램도 검사하여, 어느 프로그램에 어느 정보를 입력하는지 가로챌 수 있다.


[그림] 키보드 입력 탈취 코드




3-3. 추가 악성코드 다운로드

또한 하기 주소로부터 추가 악성코드를 다운로드 및 실행한다. 다운로드 대상 주소는 C&C 서버와 동일하다. 다행히 C&C 서버와 마찬가지로 모두 차단되어 접속되지 않는다.

http://www.a****5.com:2011/1.exe

http://www.f****5.com:2011/1.exe

http://www.w****8.com:2011/1.exe

[표] 추가 악성코드 다운로드




[그림] 추가 악성코드 다운로드 코드




3-4. 기타 특이사항

웹 브라우저 즐겨찾기가 저장된 폴더를 탐색해 해당 정보를 수집해 공격자에게 전송하고, 받은 정보로 수정하는 코드가 존재한다. 즐겨찾기 정보 탈취 동작은 다른 종류의 C&C 악성코드에선 쉽게 찾을 수 없는 부분이다.

[그림] 즐겨찾기 정보 수집 및 수정




아래 코드를 통해 PC에 연결된 마이크가 있을 경우 소리를 녹음한다. 녹음한 음성은 별도의 로그로 기록하지 않고, 바로 공격자에게 전송된다.

[그림] 마이크 음성 탈취




이 외에도 디바이스 드라이버 설치, 원격연결 저장정보 탈취, 원격접속 세션 제어, 윈도우 타이틀 창 확인, 백신제품 동작방해 등 실로 다양한 동작을 수행할 수 있다. 특히 드라이버 설치 동작이 있어, 감염 후 루트킷을 통해 장기적인 보안위협이 될 여지가 있다.


[그림] 그 외 동작 중 일부



4. 결론

C&C 형태의 악성코드는 공격자의 원격 접속을 보장하는 백도어 기능과 함께 추가 악성 파일 다운로드는 물론 PC에 대한 모든 제어권을 갖는다는 점에서 APT 공격의 빠지지 않는 요소로 등장한다. 이번 유령쥐에 의한 북한의 대기업 해킹 공격 또한 같은 맥락이다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기에 발견 즉시 삭제해야 하며, 주기적인 백신 검사를 통해 피해를 최소화 할 수 있도록 해야한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면