0x04 reference&tools2011.03.07 17:10



모두들 고생하셨습니다.

정치적으로 그리고 홍보 목적으로 전면에 나선 사람들 말고 진짜 뒤에서 고생하신 분들 많습니다.

(안타깝게도 전 다른 프로젝트에 참가 중이라 그리 많은 시간을 할애하지 못했습니다 ㅜ.ㅜ)

이번엔 초기보고서나 샘플이 빨리 공유되어 피해가 덜했던 것 같습니다.

절대 장비가 좋아서가 아닙니다. -_-

개인적으로 이번 사건은 사람의 힘으로 DDoS를 막았다고 평가하고 싶습니다.

여담이지만 들어오는 트래픽을 막는데만 힘을 쏟을게 아니라

그런 트래픽을 쏘는 좀비들을 찾아서 빨리 치료하는 또는 그런 좀비가 안생기게 하는게 정확한 해결책이라 생각됩니다.



본론으로 들어와서...

지금까지 나온 악성코드간의 관계도 그림이 있어 공유합니다.


<안철수연구소>




<이스트소프트>




<하우리>




<잉카인터넷>




처음부터 직접 분석을 하지 못했지만 나왔던 문서들을 토대로 저도 그림을 그려봤습니다.
(은근 그림 그리는거 좋아라 합니다. ~.~)







다들 수고하셨습니다!!

이번주말엔 푹~ 쉬시기 바랍니다!!










저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. malwarelab님도 잘그리시는데요;; 소질이 있으신듯 ㅠ.ㅠ 전 그림에는 센스가 영 ㅠ.ㅠ

    2011.03.07 23:59 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 소질보다는 파워포인트가 이쁘게 잘 나오는거죠 ^^;;

      2011.03.08 09:25 신고 [ ADDR : EDIT/ DEL ]
    • 오노~!! 아닙니다! 색감이나 전체적인 조화를 마추기 위해서는 센스가 필요합니다!!

      2011.03.08 10:52 신고 [ ADDR : EDIT/ DEL ]
  2. 그.. 그림은 동춘이형도 한그림 그리던데.. 말워어랩님도 잘그리시는군요 (+__)ㅋ

    2011.03.09 09:08 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x04 reference&tools2010.11.17 10:21



[출처 : Symantec]

2010년 11월 12일(GMT), Koobface 봇넷 및 내부 운영에 대한 상세 정보를 공개하는 보고서가 발표되었습니다. 이 보고서는 해당 봇넷 일부 인프라의 실질적인 폐쇄와 때를 같이해 발표되었습니다.

영국에 기반한 ISP Coreix가 Koobface 봇넷 운영에 사용되는 이미 알려진 세 개의 C&C(Command and Control) 서버 중 하나에 대한 조치를 취했습니다.

Koobface는 소셜 네트워킹 사용자를 대상으로 하는 2008년 중반에 처음 모습을 드러낸 비교적 새로운 웜입니다. Koobface가 많은 소셜 네트워킹 사이트의 사용자들을 공격할 수 있지만, 특히 Facebook 사용자 대해 효과적인데, 이 때문에 Koobface라는 이름이 붙여졌습니다.

감염된 컴퓨터의 사용자가 자신의 계정에 로그인하면, 동영상과 같은 다양한 아이템에 대한 링크를 포함한 메시지를 게시할 목적으로 세션 가로채기가 수행됩니다. 해당 링크는 종종 다계층의 리디렉션을 수행하며, 최종적으로 비디오 코덱으로 위장한 위조 안티바이러스 소프트웨어를 전형적으로 제공하는 다양한 사이트로 연결됩니다.

해당 봇넷 운영의 재정 부분은 이 보고서에서 다루고 있는 흥미로운 부분입니다. 해당 정보는 이 봇넷 운영자들이 자신들의 사업을 제어 및 모니터링할 목적으로 관리하는 "mothership" 컴퓨터에 의해 관리되고 있는 파일
및 레코드에서 수집되었습니다.

해당 보고서는 Koobface가 PPC(Pay Per Click) 광고 및 악성 프로그램의 PPI(Pay Per Install)를 위주로 한 다양한 작업들을 통해 수익을 창출하고 있다고 언급하고 있습니다. 연구원들이 조사를 수행한 기간인 2009년 6월부터 2010년 6월 동안 해당 봇넷이 창출한 자금은 거의 미화 200만 달러에 달했습니다.


Koobface: Inside a Crimeware Network
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

0x02 analysis2009.06.16 13:28

허니넷을 통해 획득한 파일입니다.

File name : yeah.exe
File size : 66734 byte
md5sum : b6d37181c6c5fba6dbd115ca14f15141


처음 실행했을땐 별거 아니라 생각했는데 생각보다 재미있는 녀석이라 포스팅합니다. ^^;

해당 파일을 실행하면 alosha.endofinternet.org의 8333번 포트로 접속합니다.




접속시 뭔가 데이터를 전송하고 있는데 뭔지는 잘 파악이 안되는군요..-_-;;




접속 후 전송하는 내용을 보aus alosha.endofinternet.org:8333 웹 서버로 특정 데이터를 계속 전송하는데 POST 방식을 사용하고 있었고
URL은 날짜와 시간으로로 된 경로명의 jsp 파일로 전송하고 있었습니다.




하지만 최초 연결 후 패킷을 캡쳐하는 동안에는 별다른 데이터를 전송하지 않고 있었고 모두 Contect-Length가 0이었습니다.
이런 사실들로 미루어 보아 최초 접속 후에는 Health-Check를 하는게 아닌가 하는 생각이 듭니다.




그리고 TCPView로 확인해보면 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결되어 ESTABLISHED된 것을 확인할 수 있었습니다.




시스템에서의 변화는 파일이 4개가 생성되었고 서비스가 2개 추가되었습니다.





해당 서비스는 sbchost.exe를 통해서 서비스가 구동되고 있었고 해당 프로세스가 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결하고 있었습니다.




생성되었던 oschkl.rxr 파일이 위에 보이시는 yrxkzgfp 서비스를 구동하는 파일이었고 나머지 3개의 파일은 Network Connection Manager 서비스와
연관이 있는 파일이었습니다.

그런데 이 3개의 파일들이 모두 각각 특징을 가지고 있었습니다.

oschkl.hbv : 언제 어떤 프로세스를 실행했는지에 대한 기록 저장
oschkl.gtm : 사용자가 실행시킨 프로세스에 DLL 인젝션되는 파일
438d5.kol : 어디에 사용되는지 잘 모르겠지만 내용은 0만 가지고 있음

oschkl.hbv 파일은 IE를 후킹해서 오픈한 사이트와 입력한 문자열들도 모두 저장하고 있었습니다.
아래 그림을 보시면 시간 정보와 실행한 프로세스 혹은 선택한 프로그램에 대한 정보를 기록하고 있었고
naver.com에 접속해서 demantos라는 아이디와
hahaha라는 패스워드를 입력한 결과도 저장하고 있었습니다.




oschkl.htm은 현재 실행되고 있는 모든 프로세스에 DLL 인젝션되고 있었고 새로 실행되는 프로세스에도 인젝션을 하고 있었으며
모든 프로세스에서 발생되는 이벤트(?)들을 기록하고 있었습니다.




좀 더 확인을 해보니 사용자가 입력한 키값도 그대로 저장하고 있더군요(키보드 후킹)
아래 내용은 제가 시작 -> 실행에서 services.msc를 입력한 후 mmc.exe가 실행된 것을 후킹한 내용과 서비스 관리 메뉴에서 yrxkzgfp 서비스를 검색하기 위해
y를 두번 누르고 Network Connection Manager를 찾기 위해 net을 입력한 내용입니다.







지속적으로 모니터링을 했지만 alosha.endofinternet.org:8333로 oschkl.hbv 파일의 내용은 전송하지 않는 것으로 보입니다.
하지만 계속 연결이 되어 있는 것으로 보아 해당 도메인은 C&C 도메인일 가능성이 높고
공격자가 특정 명령을 수행하면 oschkl.hbv 파일의 내용을 가져갈 것으로 생각됩니다.


안타까운 사실은 역시나 국내 백신 엔진들이 아직 탐지를 못하고 있다는 것이었습니다.

http://www.virustotal.com/ko/analisis/5d6fa1ef7df98256cb9640cd3a6b2177567a90d289d271f121cedb7eabc0f0bc-1245119564









저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 추가해야 겠네요^^

    2009.06.16 14:54 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.05.29 14:56

어제 허니넷에서 획득한 파일 중 특이한 녀석이 있어서 분석해봤습니다.
그다지 특이하지 않을 수 있지만 보인에겐 좀 특이했습니다. -_-;;

일단 Dropper FTP에 접속하니 몇개의 파일들이 있었습니다.




이 중에서 다운로드하여 실행하는 악성코드는 JEW.EXE였습니다.
JEW.EXE외의 다른 파일들도 악성코드라 생각되어 Virustotal에 업로드해보니 FEG.EXE와 KICK.EXE는 악성코드가 아니라고 나왔고
TWAT.EXE는 40개 엔진 중 3개의 엔진에서만 악성코드로 탐지하고 있었습니다.
개인적으로 TWAT.EXE 파일이 뭔가 좀 의심스럽습니다. 추후 별도로 분석을 해볼 생각입니다.
바이러스토탈 결과는 제일 아래쪽 첨부하였으니 참고하시면 되겠습니다.


일단 JEW.EXE의 행동분석을 해봤습니다.

File size : 97,284 byte
md5sum : 32c4534068a9e83634b90aae40c8a1de

항상 그랬듯이 winalysis로 시스템의 변화를 살펴보았는데 레지스트리만 변경되고 파일이나 서비스 등 다른 항목에서의 변화는 없다고 나왔습니다.
그런데 확인 결과 winalysis가 저에게 거짓말을 하고 있었습니다. -_-




그런데 실제로는 C:\WINDOWS\system 폴더에 iexplorer.exe 파일이 생성되어 있었습니다.




iexplorer.exe는 JEW.EXE와 파일 사이즈 및 md5 해쉬값이 동일한 같은 파일이었습니다.

솔직히 지금까지 모르고 있었던게 우리가 사용하는 IE 브라우저의 파일명이 iexplore.exe라는 것입니다.
악성코드와 알파벳 r 하나 차이가 있습니다. 지금까지는 iexplorer.exe가 IE 브라우저의 파일명이라고 생각했었습니다.

아마 이 글을 읽고 계신 여러분들께서는 이러한 사실을 알고 계셨던 분들도 계실것이고 모르셨던 분들도 계셨을겁니다.
저는 오늘 알았습니다. ^^;


다시 본론으로 넘어오겠습니다.

악성코드 실행시 변경되는 레지스트리 중 다음과 같은 내용이 있었습니다.

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe   
C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer
  HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer


윈도우 방화벽 정책에서 해당 프로그램(iexplorer.exe)의 외부 접속에 대한 허용 설정을 하는 레지스트리였습니다.

그리고 악성코드 실행시 tl6.welovewarez.com으로 접속하는 것을 확인할 수 있었습니다.




여기서 좀 이상했던 점이 있었는데 tl6.welovewarez.com이나 welovewarez.com을 nslookup으로 확인해보면 85.17.141.84라는 아이피가 나옵니다.
85.17.141.84로 reverse lookup을 해보면 google.com이 나옵니다. 둘이 어떤 관계일까요? -_-;;




아무튼 tl6.welovewarez.com의 8782번 포트로 접속하는데 IRC 서버였습니다.
제가 접속할 당시에는 IRC에서 65.x.x.x:445로 랜덤 포트스캔 명령을 전달하고 있었습니다.




IRC서버에 접속해서 명령을 받아오는 프로세스는 앞에서 생성되었던 C:\WINDOWS\system\iexplorer.exe이고
65.x.x.x로 랜덤 포트 스캔도 해당 프로세스가 수행하고 있었습니다.





결국 JEW,EXE를 실행하면 C:\WINDOWS\system\iexploere.exe를 생성하고 이 파일은 tl6.welovewarez.com의 8782번 포트로 접속하는데
tl6.welovewarez.com은 C&C 서버였고 접속 당시 해당 C&C 서버에서 좀비에게 65.x.x.x:445 포트 스캔 명령을 내리고 있었습니다.

다행히 V3, nProtect, Virobot에서는 모두 탐지하고 있었습니다.




추가적으로 확인해봐야겠지만 FTP에 있던 다른 파일들도 JEW.EXE 파일과 연관성이 있지 않을까 하는 생각이 듭니다.
특히 TWAT.EXE는 파일 사이즈도 큰데다가 3개의 엔진에서만 악성코드로 탐지하고 있어서 분명 뭔가 있을 듯 합니다.

내일도 근무니 내일 한번 확인해봐야겠습니다.




아....이런.... 어리버리한 짓을 했습니다.
FTP에서 파일을 받을때 bin 옵션을 주지 않고 그냥 받았네요. -_-;;
덕분에 TWAT.EXE가 사이즈가 왜 다른가 했더니 ASCII 모드로 받아서 그랬습니다.
TWAT.EXE 다시 받았더니 SFX RAR 파일이군요..
거기다가 SCUM.EXE 파일이 추가되었습니다. (White Zombie의 Scum of the Earth가 생각 나는군요...^^;)
어제는 없었는데 확인해보니 어제 퇴근 후에 파일이 추가된 듯 합니다.
분석해볼께 하나 더 늘었군요~

확인해보니 SCUM.EXE는 JEW.EXE와 사이즈는 다르지만 행동은 동일한 듯 합니다.
시점의 차이인지 파일의 차이인지 바이너리를 까봐야 알겠지만 SCUM.EXE를 실행하면 91.x.x.x로 스캔을 하고 있었습니다.

TWAT.exe의 바이러스토탈 결과는 삭제했습니다.
압축 파일 안에 4개의 파일이 있으니 압축을 풀어서 분석해봐야겠습니다.



바이러스토탈 검사 결과

FAM.EXE

더보기

FEG.EXE

더보기

HO.EXE

더보기

JEW.EXE

더보기

KICK.EXE

더보기

SCUM.EXE

더보기


저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 포스팅 잘 보았습니다.

    습득하신 파일들 중에.. 아얄씨 봇에 해당하는 파일은 안 가지구 계시는 건가요?흠

    2009.06.02 09:54 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.05.26 15:12

오늘도 허니넷을 통해 획득한 악성코드를 실행해 보았습니다.
해당 악성코드는 FTP를 통해서 유포되고 있었으며 FTP 접속 후에 확인 결과 동일한 기능을 하는 여러가지 파일들이 있었습니다.
파일명은 519.exe, 522.exe, 523.exe와 같은 이름을 가지고 있었고 519.exe 파일의 경우 아이콘이 ini 파일의 아이콘을 가지고 있었습니다.

파일명 File Size md5sum
519.exe 464891 byte
c855c9cb654ffdd5d05e24a73896d949
522.exe 464379 byte
4a779c24f2d7535fa823bad27b444e0d
523.exe 464398 byte
2dec5b260113417fcfb826948941f19f


보시다시피 파일사이즈도 약간씩 다르고 md5sum값도 다르긴 하지만 실제 악성코드 실행시 행동은 동일하였습니다.
따라서 본 분석에서는 실제 허니넷에서 탐지되었던 523.exe를 분석하도록 하겠습니다.

523.exe를 실행하면 3개의 새로운 파일이 생성되었고 1개의 서비스가 등록되었습니다.






성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.




systemServer 서비스 속성입니다.




systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.




악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.




그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는 http://124.72.93.158:8761 이라는 내용이 들어 있습니다.
이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.




위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.

즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.



어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.


아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.



오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\





저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. darkhi

    개인적으로 궁금한 것이 생겨서 질문해봅니다.
    현업에서 실제로 악성코드 분석할 때에는
    코드에 중점을 두기보다는
    행동패턴에 중점을 두고 분석하는 것이 많나요?

    2009.05.27 00:33 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 모두 다 그런것은 아닙니다.
      백신업체에 계신분들은 코드에 중점을 두고 분석을 하실겁니다.
      저는 현재 ISP 보안관제센터에 있다보니 코드에 중점을 두고 분석할만한 시간적 여유가 없기때문에
      행동분석을 하고 악성 도메인이나 IP가 나오면 그것을 차단하고 있습니다.

      그리고 행동분석이 가장 쉬우니까요...^^;

      2009.05.27 08:36 신고 [ ADDR : EDIT/ DEL ]

0x02 analysis2009.05.25 15:09

허니넷 Dropper에서 획득한 파일에 대한 분석입니다.

획득한 파일의 파일 사이즈와 md5sum입니다.

File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad

해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.






삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.

새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.




원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.





그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.




www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.

  http://61.131.15.131:8000/www/root/

처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.

 Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC..

(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)

8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.

그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.25 Backdoor.Win32.Hupigon!IK
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.24 BDS/Hupigon.Gen
Antiy-AVL 2.0.3.1 2009.05.22 -
Authentium 5.1.2.4 2009.05.24 W32/Hupigon.K.gen!Eldorado
Avast 4.8.1335.0 2009.05.24 -
AVG 8.5.0.339 2009.05.24 BackDoor.Hupigon5.GHS
BitDefender 7.2 2009.05.25 Backdoor.Hupigon.AAFC
CAT-QuickHeal 10.00 2009.05.23 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.24 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.24 BackDoor.Pigeon.15147
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6519 2009.05.23 -
F-Prot 4.4.4.56 2009.05.24 W32/Hupigon.K.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.25 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.25 Backdoor.Hupigon.AAFC
Ikarus T3.1.1.49.0 2009.05.25 Backdoor.Win32.Hupigon
K7AntiVirus 7.10.741 2009.05.21 -
Kaspersky 7.0.0.125 2009.05.25 -
McAfee 5625 2009.05.24 New Malware.ix
McAfee+Artemis 5625 2009.05.24 New Malware.ix
McAfee-GW-Edition 6.7.6 2009.05.24 Trojan.Backdoor.Hupigon.Gen
Microsoft 1.4701 2009.05.24 Backdoor:Win32/Hupigon.gen!B
NOD32 4099 2009.05.25 -
Norman 6.01.05 2009.05.22 -
nProtect 2009.1.8.0 2009.05.24 -
Panda 10.0.0.14 2009.05.24 Suspicious file
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.25 -
Rising 21.31.00.00 2009.05.25 Backdoor.Win32.Gpigeon2008.cch
Sophos 4.42.0 2009.05.25 -
Sunbelt 3.2.1858.2 2009.05.24 VIPRE.Suspicious
Symantec 1.4.4.12 2009.05.25 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.5 2009.05.25 OScope.Backdoor.Hupigon.axbr
ViRobot 2009.5.25.1750 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.24 -



바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.





저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

0x02 analysis2009.05.23 11:12

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.




특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.




새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.




Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.




hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         



단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.




그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.




후킹 함수와 URL을 오픈하는 함수가 보입니다.




이상한 URL이 보입니다.




실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.










결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...





저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 현재 유포되는 곳은 도메인이 변경되었답니다.

    2009.05.23 12:13 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 계속 변경되나 봅니다. 좋은 정보 감사합니다.
      그런데 새로운 도메인은 어떻게 찾아야 할지...

      2009.05.23 12:17 신고 [ ADDR : EDIT/ DEL ]
  2. darkhi

    네이트온 로그인 할 때 계정정보가 전달이 된다는 건가요?
    그러면 네이트온 키보드 보안 레벨은 무용지물인가요?

    2009.05.23 18:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 네 무용지물이라고 보시는게 좋을 듯 합니다.
      이미 NateOnMain.exe라는 네이트온 프로그램에 인젝션된 DLL 파일이 정보를 가로채서
      특정 사이트로 보내고 있으니까요..

      2009.05.25 10:06 신고 [ ADDR : EDIT/ DEL ]
  3. 피해자

    그러면..이거 없애거나 치료할 방법은없는건가요?
    지금 저희집이 걸려서 네이트온안켜는데 ..
    어떠케해야하나요 지금 오후10시 다되가는데
    어제 저녁에 바이러스 클릭해서 실행한거 가튼데..
    어떠케해야되나요

    2009.05.23 21:42 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. ymj

    이거 치료할방법없나요 ㅠ
    지금 미칠것같아요 아 ..

    2009.05.24 23:20 신고 [ ADDR : EDIT/ DEL : REPLY ]
  5. 네이트온 정보를 탈취하는 서버 역시 변경하면서 꾸준하게 유포하고 있더군요.

    잘 봤습니다.^^

    2009.05.31 13:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. 워낙에 이상한 낌새가 들어서 다운은 받지 않았지만...
    네이트온 측에서도 인지를 하고 있을까요....;;;

    2009.06.28 18:25 신고 [ ADDR : EDIT/ DEL : REPLY ]
  7. ㅠㅠ

    이거 방법없나요?정말미치겠어요

    2009.07.02 20:40 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.05.21 15:42

허니넷을 통해 획득한 악성코드입니다.

md5sum : f1c83f3eba1705d865403d9cac89799f
file size : 27,648 byte

먼저 Winalysis로 악성코드 실행시 시스템의 변화를 확인해봤습니다.



 


파일이 1개 생성되었고 서비스가 1개 등록되었습니다. 레지스트리의 변경도 있었지만 서비스를 등록하기 위한 변경이기 때문에 따로 언급하진 않겠습니다.

생성된 파일인 gtoor.exe와 원본 파일인 xf.exe가 사이즈와 md5sum값이 같은 동일한 파일이었습니다.
다른점은 원본파일은 일반 파일이었지만 gtoor.exe 파일은 숨김속성과 시스템 파일 속성을 가지고 있었습니다.
즉, xf.exe가 실행되면 자기 자신을 C:\WINDOWS\system32 밑에 gtoor.exe로 복제를 하고 숨김속성과 시스템속성을 부여한 것입니다.
그리고 gtoor.exe파일은 gtoor Driver라는 서비스를 구동하는 파일이었습니다.

해당 파일을 실행된 후에는 shy110.3322.org의 9992번 포트로 접속을 하려고 하는 것을 확인할 수 있었습니다.
그런데 접속을 시도는 하지만 실제 접속이 되지 않고 서버측에서(shy110.3322.org) ACK 패킷을 클라이언트로 보낸 후
RST 패킷을 보내는 것으로 보아 현재 포트가 열려 있지 않거나 서버측에서 포트를 변경했을 가능성이 있어 보입니다.
하지만 포트를 변경했을 가능성은 낮아 보입니다.
정확한건 아니지만 포트번호로 보아 shy110.3322.org는 C&C 서버가 아닌가 생각됩니다.




클라이언트에서 확인해보면 222.215.230.205:9992로 접속을 시도하는 것을 확인할 수 있었습니다.




다음 그림에서도 확인할 수 있지만 222.215.230.205로 접속을 시도하는 프로세스(PID 1388)는 그 이름도 유명한 svchost.exe였습니다.




gtoor Driver 서비스가 실행되면 svchost.exe를 실행시키고 실행된 svchost.exe는 shy110.3322.org:9992로 접속을 시도하도록 되어 있습니다.


"퍄견샛미"에서 확인 결과 V3, nProtect, Virobot에서는 아직 탐지가 되지 않고 있었습니다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.21 Virus.Win32.Agent.UWD!IK
AhnLab-V3 5.0.0.2 2009.05.21 -
AntiVir 7.9.0.168 2009.05.20 TR/Spy.Gen
Antiy-AVL 2.0.3.1 2009.05.21 -
Authentium 5.1.2.4 2009.05.20 W32/SmallTrojan.A.gen!Eldorado
Avast 4.8.1335.0 2009.05.20 Win32:Rootkit-gen
AVG 8.5.0.339 2009.05.21 -
BitDefender 7.2 2009.05.21 Dropped:Generic.Malware.Fdldg.AAC8CC1C
CAT-QuickHeal 10.00 2009.05.21 -
ClamAV 0.94.1 2009.05.21 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.21 DLOADER.Trojan
eSafe 7.0.17.0 2009.05.19 -
eTrust-Vet 31.6.6514 2009.05.21 -
F-Prot 4.4.4.56 2009.05.20 W32/SmallTrojan.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.20 -
Fortinet 3.117.0.0 2009.05.21 -
GData 19 2009.05.21 Win32:Rootkit-gen
Ikarus T3.1.1.49.0 2009.05.21 Virus.Win32.Agent.UWD
K7AntiVirus 7.10.739 2009.05.19 -
Kaspersky 7.0.0.125 2009.05.21 -
McAfee 5621 2009.05.20 -
McAfee+Artemis 5621 2009.05.20 Artemis!F1C83F3EBA17
McAfee-GW-Edition 6.7.6 2009.05.21 Trojan.Spy.Gen
Microsoft 1.4701 2009.05.21 Trojan:Win32/SystemHijack.gen!C
NOD32 4092 2009.05.20 probably a variant of Win32/Agent.NWM
Norman 6.01.05 2009.05.20 -
nProtect 2009.1.8.0 2009.05.21 -
Panda 10.0.0.14 2009.05.20 -
PCTools 4.4.2.0 2009.05.20 -
Prevx 3.0 2009.05.21 -
Rising 21.30.20.00 2009.05.20 -
Sophos 4.41.0 2009.05.21 Sus/Behav-1008
Sunbelt 3.2.1858.2 2009.05.20 -
Symantec 1.4.4.12 2009.05.21 Backdoor.Trojan
TheHacker 6.3.4.1.328 2009.05.20 -
TrendMicro 8.950.0.1092 2009.05.21 -
VBA32 3.12.10.5 2009.05.21 suspected of Embedded.Rootkit.Win32.Agent.iyf
ViRobot 2009.5.21.1744 2009.05.21 -
VirusBuster 4.6.5.0 2009.05.20 -


국내 사용자들이 가장 많이 사용하는 V3, nProtect, Virobot에서는 아직 탐지를 못하고 있습니다.
빠른 시일내에 업데이트되었으면 하는 바램입니다.


앞으로 계속 추이를 살펴봐야겠지만 현재는 접속이 되지 않고 있었습니다.
앞에서도 말씀드렸지만 shy110.3322.org라는 도메인을 사용하는 공격자가 C&C 프로그램을 실행시키고 있지 않아 9992 포트로 접속이 안될 수 있습니다.
포트를 바꿨을 가능성도 있겠지만 포트를 바꿀 가능성은 낮아 보입니다. 만약 포트를 바꿨다면 악성코드를 다시 컴파일해서 배포해야 하기 때문입니다.




여담)
직접 샘플을 보안 업체에 보내고 싶은데 절차를 아시는분 계시면 알려주시면 감사하겠습니다. ^^;

저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 비밀댓글입니다

    2009.05.21 16:50 [ ADDR : EDIT/ DEL : REPLY ]
  2. darkhi

    http://www.v3lite.com/customer/report/index.do
    http://www.nprotect.com/v6/cs/index.php?mode=new_virus
    http://www.hauri.co.kr/customer/support/virus_report.html

    백신 업체 사이트에 들어가면 대체로 고객지원쪽에 바이러스 신고란이 존재합니다.
    저도 종종 신고하는데, 몇 번 신고하면서 느낀 것이, 그동안 알고 지냈던 백신이란 존재가 바이러스에 막강한 존재가 아니라 그저 허약하기 그지 없는 프로그램이라는 것을 인지하게 되었습니다.
    어떠한 사람들 보면 특정 백신을 매우 신뢰하는 경향을 자주 보게 되는데, 그러한 습관은 매우 좋지 못한 것이고, 지금과 같이 바이러스 패턴 등록이 되지 않았을 경우 백신은 무용지물(휴리스틱 제외)인 경우를 보게 됩니다.
    무엇보다 스스로의 신뢰된 파일인지 아닌지 확인하는 습관을 갖는 것이 좋겠죠.

    2009.05.22 02:52 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 비밀댓글입니다

    2009.05.22 09:14 [ ADDR : EDIT/ DEL : REPLY ]
    • 장비에서 허니넷 구성한겁니다.
      듣기로는 KISA에서도 같은 장비를 쓴다고 하더군요..

      2009.05.22 10:34 신고 [ ADDR : EDIT/ DEL ]
  4. 비밀댓글입니다

    2009.05.22 10:24 [ ADDR : EDIT/ DEL : REPLY ]
    • 구글신에게 문의해보셨겠죠?

      http://www.softsea.com/download/Winalysis.html

      여기서 받으실 수 있습니다.

      2009.05.22 10:40 신고 [ ADDR : EDIT/ DEL ]
  5. 메일이 안왔습니다.^^;;;

    뭔가 문제가 있나봅니다.

    shuny2k@naver.com 계정으로 이용부탁합니다.

    2009.05.22 15:51 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 제가 gmail을 쓰는데 gmail에서 걸러졌을 가능성도 있을 수 있겠네요..
      일단 다시 보냈으니 확인해보시고 아직도 안왔다면 제가 다른 계정에서 보내야할 듯 합니다. ^^;

      2009.05.22 17:07 신고 [ ADDR : EDIT/ DEL ]

0x02 analysis2009.05.18 13:35

새로운(?) 도메인을 알게 되서 포스팅합니다.
hapt03.cn은 이미 잘 알려져 있는 듯 한데 국내에서는 아직인 듯 합니다.
FF로 해당 사이트에 웹으로 접속하면 경고 메시지가 뜹니다.




해당 사이트에 접속시엔 500 Internal Server Error가 나옵니다. 하지만 해당 디렉토리에는 몇개의 파일이 있는 듯 한데
그중에서 하나의 파일을 찾았습니다.

hxxp://shaody.1.jp.hapt03.cn/hack.exe

해당 파일을 다운 받으면 Antivir에서 악성코드라고 잡더군요..
바이러스토탈에 넣어 봤더니 40개 엔진중 18개에서만 탐지가 되고 있었습니다.
V3와 nProtect에서는 탐지가 되고 있었으며 바이로봇에서는 아직 탐지하지 못하는 듯 합니다.
헌데 바이로봇은 15일자 엔진으로 검색하는걸 보니 엔진 업데이트 후 탐지할 가능성도 있습니다.


일단 항상 하던대로 실행시켜보았습니다.




nvhai520.3322.org의 8800번 포트로 접속하는 것을 볼 수 있습니다. 아직도 3322.org는 애용되고 있군요...-_-;;

Winalysis에서 시스템의 변화를 살펴보니 역시나 레지스트리를 여러개 변경하였고 서비스를 하나 등록하는걸 확인하였습니다.
헌데 파일에는 변화가 없다고 나오지만 실제로 살펴보면 svchost.exe에 dll injection을 하고 있었습니다.




시간을 보시면 파일을 실행했던 시간이 나오고 있습니다. 이름부터 좀 이상하죠.. fakqvekk.dll
그리고 해당 프로세스가 nvhai520.3322.org(59.34.245.21)로 접속하는 걸 볼 수 있습니다.




도메인명이 좀 다른데 Reverse-Lookup을 해서 가져온 도메인이 원 도메인명과 약간 다른 듯 합니다.
아무튼 fakqvekk.dll이라는 파일은 새로 생성된 파일인데도 Winalysis에서 못 잡네요...
파일명은 랜덤으로 생성되는 것으로 보입니다.




그리고 다른 악성코드들과는 좀 다르게 C:\WINDOWS\ssytem32에 파일을 생성하는 것이 아니라
C:\WINDOWS\system32\drivers\etc에 생성하고 있었습니다.

그리고 특이한점은 kTGsJaDDRj.ini라는 파일을 생성한 것인데 파일엔 아무런 내용도 없었는데 파일의 크기는 3바이트였습니다.
그래서 데이터 스트림이 있는건 아닐까 하고 lads로 검사해봤지만 데이터 스트림이 숨겨져 있지는 않았습니다.

lads : http://www.heysoft.de/Frames/f_sw_la_en.htm



결국 shaody.1.jp.hapt03.cn은 Dropper임을 확인할 수 있었고 다운 받은 hack.exe라는 파일이 실행되면
nvhai520.3322.org의 8800번 포트로 연결하는 것으로 보아 nvhai520.3322.org는 C&C인 듯 합니다.

뭐...3322.org 자체가 대부분의 ISP에서 차단되어 있기 때문에 큰 영향력을 미치지는 않을 듯 합니다만
동일한 악성코드가 도메인을 바꾸거나 IP로 접속하게 할 경우엔 봇으로 동작할 우려가 아직 남아 있습니다.





저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 상당히 아쉽게도 해당 사이트에 접속이 안되네요.. ㅠ_ㅠ)!!

    2009.05.20 16:28 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 도메인이 막혔을 가능성이 큽니다.
      dropper나 C&C 도메인들은 ISP에서 IP를 반환을 해주지 않거나
      로컬호스트 IP를 주도록 설정하는 것이 일반적이거든요
      물론 KISA Sinkhole로 보내기도 하구요
      DNS를 다른걸로 잡아보심이 좋을 듯 합니다.

      2009.05.21 09:14 신고 [ ADDR : EDIT/ DEL ]
  2. 아하~ 넵^^ 감사합니다

    2009.05.21 10:45 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.02.27 13:29


얼마전 국내를 강타(?)한 2090 바이러스는 이 글을 읽고 계신분들은 다들 아실겁니다.
무한 재부팅이 된다.. 치료 불가능하다.. 라는 여러가지 루머가 있었습니다.
우연히 커뮤니티를 통해 입수해서 한번 분석을 해보기로 했습니다. 배포는 하지 않습니다.

2090 바이러스는 MS08-067 취약점을 공격한 바이러스입니다. 윈도우 업데이트를 착실하게 잘 하신분들은 전혀 위험하지 않으셨을겁니다.
시스템 날짜가 2090년 1월 1일로 변경되셨던 분들이라면 윈도우 업데이트를 하지 않아셨던겁니다.


0x01 Base Information

입수한 파일은 exe파일과 시스템 파일(sys) 총 두개였습니다. 먼저 간단하게 바이러스토탈을 통해서 검사해 봤습니다.
파일명은 system.exe와 f82abd63e90429ae68cee70e40a51c60.sys였습니다.

system.exe

system.exe의 Virustotal 검사 결과 열기


f82abd63e90429ae68cee70e40a51c60.sys

드라이버파일(sys)의 Virustotal 검사 결과 열기


뭐...대부분의 백신에서 현재는 탐지가 가능합니다.
system.exe 파일의 import되는 함수들만 봐도 악성코드라는 것을 어느 정도 짐작이 가능합니다.


0x02 행동 분석

먼저 SysAnalyzer를 통해서 분석해 보았습니다.

SysAnalyzer 분석 결과 열기



system.exe가 실행되면 드라이버 파일인 C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys 와 system.exe 파일과 동일한 파일인 C:\WINDOWS\system32\4026202 파일 두개를 생성합니다. system32 폴더 아래에 생성되는 일곱자리 숫자로 된 파일은 system.exe 파일을 복사해서 새롭게 만들어 내는 파일입니다.

특이한 점은 system.exe가 정상적으로 실행되지 않으면 계속해서 다른 이름의 파일을 생성해냅니다.






그리고 HKLM\SYSTEM\\CurrentControlSet\\Services\\NvCplDaemon 위치에 새로운 레지스트 키값을 생성하는 걸 확인할 수 있었습니다.



이 레지스트리값은 앞에서 생성된 드라이버 파일에 대한 내용이었습니다.


system.exe가 실행이 되면 sex.pornosurkiye.com로 접속하기 위해 쿼리를 날립니다




위 도메인은 KISA에서 국내 ISP에게 차단을 요청한 도메인입니다. 제가 설정한 DNS는 필터링이 안되어 IP를 그대로 가져올 수 있었습니다. 해당 도메인에 대한 IP를 받아 오지 못할 경우 system.exe가 제대로 실행되지 않아 계속 에러 메시지를 출력했었습니다.

특이한 점은 클라이언트가 85.17.136.148에 접속을 하게 되는데 reverse lookup을 하면 sex.pornoturkiye.com이 아닌 hosted-by.leaseweb.com라는 도메인이 나오게 된다는 것입니다. (DNS 정보는 삭제했습니다)




process explorer에서 확인해보면 실제로도 hosted-by.leaseweb.com에 연결하는 것을 확인할 수 있었습니다.




hosted-by.leaseweb.com의 81번 포트로 연결을 하는데 IRC 서버였습니다.




IRC 서버 접속 후에는 특별히 다른 행동을........하나? 안하나?


일단 감염이된 PC는 같은 네트워크 대역의 살아있는 호스트들을 찾습니다.




그리고 응답이 오는 호스트가 있으면 MS08-067 취약점에 대해서 공격을 시도합니다.




추가적인 전파를 위해 같은 네트워크 대역에 PING을 날립니다. 그리고 B클래스를 고정시키고 C클래스를 하나씩 늘려가면서 계속 PING을 날리는 지독함까지 보여주고 있습니다. -_-




그리고 youtube.srv837.com이라는 도메인에 대한 쿼리를 보내고 접속을 한 후 mgg.txt 파일을 요청을 합니다. 그런데 mgg.txt 파일에는 별다른 내용은 없고 ????????!!! :@% 와 같은 문자열이 몇줄 있었습니다. 수상해서 직접 저 도메인에 접속을 해보니 이번에는 _album9837.src이라는 스크린세이버 파일을 다운 받았습니다. 이 파일은 처음에 실행되었던 system.exe 파일과 동일한 파일이었습니다. 직접 실행해보니 실행 잘되고 또 처음에 봤던 sex.pornoturkiye.com으로 쿼리 날리는 행동부터 했었습니다.




0x03 결론

다들 아시다시피 대부분의 악성코드들은 도메인 네임을 주로 사용합니다. 그래서 ISP들도 도메인을 많이 차단을 하죠.
이번 2090 바이러스가 처음 전파되는 과정에서 KISA와 ISP 모두 sex.pornoturkiye.com 도메인을 차단했었습니다.
저도 처음엔 그러려니 했었는데 직접 확인해보니 다른 도메인들이 더 나왔습니다. 2090 바이러스로 인해 발생되는 DNS 쿼리 확인 결과 다음과 같은 숙주도메인이나 의심되는 악성 도메인을 찾을 수 있었습니다.

sex.pornoturkiye.com (85.17.136.148)
hosted-by.leaseweb.com (85.17.136.148)
youtube.srv837.com (72.167.232.8)
p3nlh003.shr.prod.phx3.secureserver.net (72.167.232.8)


물론 바이너리를 분석해봐야 더 정확한 내용을 알 수 있겠지만 저는 해당 바이러스를 실행시킴으로써 발생되는 트래픽만을 가지고 분석했습니다.
아직 바이너리를 능숙하게 분석할 능력이 부족하여...ㅜ.ㅜ
조만간 바이너리도 분석을 해보고 정확한 데이터가 나오면 다시 글을 게재하겠습니다.



p.s 지금 이 글을 쓰고 있는 상황에서 85.17.136.148 IRC 서버에 계속 접속해 있는 상태인데 별다른 행동없이 PING/PONG만 하고 있습니다.
아마도 공격자가 잠을 자고 있는게 아닐런지...-_-
whois에서 검색해보면 IRC 서버 IP가 네델란드로 나옵니다.


저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요