분석 정보/악성코드 분석 정보

[악성코드 분석] 사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik

TACHYON & ISARC 2016. 11. 18. 09:16

사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 




1. 개요 


해커가 마음대로 제어할 수 있는 감염된 다수의 컴퓨터로 형성된 네트워크를 봇넷(Botnet)이라 한다. 이 봇넷을 구성하는 감염된 컴퓨터 봇(Bot)은 C&C(Command and Control) 서버의 명령을 수행한다. C&C 서버의 명령은 주로 봇넷 확장을 위한 악성코드 유포 또는 DDoS(Distributed Denial of Service) 공격을 이루기 위한 DoS(Denial of Service) 공격 등이다. 본 보고서에선 사용자 컴퓨터를 감염시켜 봇으로 만드는 C&C 악성코드의 주요 기능을 분석하여 봇의 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

90,624 byte

진단명

Trojan/W32.jorik.90624.Z

악성동작

파일 드롭, 다운로드 및 실행, 포트 루트킷, DoS 공격

네트워크

116.***.***.150:8692 - 유포지

v******l.c***s.com:8080 - 공격자 서버

 


2-2. 유포 경로

유포 경로는 정확히 알려진 바가 없지만 개인 서버에서 수집된 것으로 보아, 다른 악성코드에서 추가로 다운로드되어 실행되었을 가능성이 커 보인다.




2-3. 실행 과정

server.exe는 자신의 리소스로부터 SynDrives.sys 바이너리를 가져와 생성하고, 임의의 문자 6자리 파일명으로 자신을 복사한다. 각 파일의 경로는 아래와 같으며, 두 파일 모두 서비스로 생성 및 시작 시킨 뒤 server.exe는 자가 삭제 후 종료된다.


구 분

포트 루트킷

자가 복제

파일명

SynDrives.sys

[Random_06].exe

경로

%SystemRoot%\system32\dirvers\

%SystemRoot%\system32\

서비스명

SynDrives

National Instruments Domain Service

[1] 드롭 파일


자가 복제된 파일인 [random_06].exe가 실질적으로 공격자 서버와 통신하며 공격자의 명령을 수행하며, SynDrives.sys는 공격자 서버와의 통신을 은닉하기 위한 포트 루트킷 기능을 수행한다.



3. 악성 동작


3-1. 타 서버 DoS(Denical of Service) 공격

공격자 서버로부터 명령을 받아 대상이 된 서버에 아래 그림과 같은 의미 없는 요청을 반복하여 대상 서버에 부하를 일으킨다.


[그림 1] 패킷 내용 중 일부[그림 1] 패킷 내용 중 일부


[그림 2] 패킷 전송 스레드 반복 생성[그림 2] 패킷 전송 스레드 반복 생성





SYN Flood 기능 및 다양한 소켓 옵션, 패킷 내용 등이 존재하며, 패킷 내용 대부분이 HTTP GET 요청 메소드인 것으로 미루어 보아 공격 대상은 주로 웹 서버일 것으로 추측된다.




3-2. 파일 다운로드 및 실행

공격자가 특정하는 URL을 통해 아래 그림과 같이 웹 서버에서 파일을 다운로드 받고, 실행시킨다. 이 후 server.exe가 등록했던 서비스들을 삭제한다.

[그림 3] 파일 다운로드 및 실행[그림 3] 파일 다운로드 및 실행




등록했던 2개의 서비스를 모두 제거하는 것으로 보아, 추가로 다운로드 된 모듈 또한 같은 서비스명을 가질 가능성이 높아 보인다.





4. 결론


해당 악성코드는 서비스로 돌아가며, 포트 또한 감춰져 있어 일반 사용자가 감염 사실을 알아차리기 어렵다. 악성코드 감염을 막기 위해선, 주기적으로 바이러스 검사를 해 감염 상태를 확인해야 하며, 운영체제와 응용 소프트웨어들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 내려받지 않아야 한다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면