0x02 analysis2009. 2. 27. 13:29


얼마전 국내를 강타(?)한 2090 바이러스는 이 글을 읽고 계신분들은 다들 아실겁니다.
무한 재부팅이 된다.. 치료 불가능하다.. 라는 여러가지 루머가 있었습니다.
우연히 커뮤니티를 통해 입수해서 한번 분석을 해보기로 했습니다. 배포는 하지 않습니다.

2090 바이러스는 MS08-067 취약점을 공격한 바이러스입니다. 윈도우 업데이트를 착실하게 잘 하신분들은 전혀 위험하지 않으셨을겁니다.
시스템 날짜가 2090년 1월 1일로 변경되셨던 분들이라면 윈도우 업데이트를 하지 않아셨던겁니다.


0x01 Base Information

입수한 파일은 exe파일과 시스템 파일(sys) 총 두개였습니다. 먼저 간단하게 바이러스토탈을 통해서 검사해 봤습니다.
파일명은 system.exe와 f82abd63e90429ae68cee70e40a51c60.sys였습니다.

system.exe


f82abd63e90429ae68cee70e40a51c60.sys


뭐...대부분의 백신에서 현재는 탐지가 가능합니다.
system.exe 파일의 import되는 함수들만 봐도 악성코드라는 것을 어느 정도 짐작이 가능합니다.


0x02 행동 분석

먼저 SysAnalyzer를 통해서 분석해 보았습니다.



system.exe가 실행되면 드라이버 파일인 C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys 와 system.exe 파일과 동일한 파일인 C:\WINDOWS\system32\4026202 파일 두개를 생성합니다. system32 폴더 아래에 생성되는 일곱자리 숫자로 된 파일은 system.exe 파일을 복사해서 새롭게 만들어 내는 파일입니다.

특이한 점은 system.exe가 정상적으로 실행되지 않으면 계속해서 다른 이름의 파일을 생성해냅니다.






그리고 HKLM\SYSTEM\\CurrentControlSet\\Services\\NvCplDaemon 위치에 새로운 레지스트 키값을 생성하는 걸 확인할 수 있었습니다.



이 레지스트리값은 앞에서 생성된 드라이버 파일에 대한 내용이었습니다.


system.exe가 실행이 되면 sex.pornosurkiye.com로 접속하기 위해 쿼리를 날립니다




위 도메인은 KISA에서 국내 ISP에게 차단을 요청한 도메인입니다. 제가 설정한 DNS는 필터링이 안되어 IP를 그대로 가져올 수 있었습니다. 해당 도메인에 대한 IP를 받아 오지 못할 경우 system.exe가 제대로 실행되지 않아 계속 에러 메시지를 출력했었습니다.

특이한 점은 클라이언트가 85.17.136.148에 접속을 하게 되는데 reverse lookup을 하면 sex.pornoturkiye.com이 아닌 hosted-by.leaseweb.com라는 도메인이 나오게 된다는 것입니다. (DNS 정보는 삭제했습니다)




process explorer에서 확인해보면 실제로도 hosted-by.leaseweb.com에 연결하는 것을 확인할 수 있었습니다.




hosted-by.leaseweb.com의 81번 포트로 연결을 하는데 IRC 서버였습니다.




IRC 서버 접속 후에는 특별히 다른 행동을........하나? 안하나?


일단 감염이된 PC는 같은 네트워크 대역의 살아있는 호스트들을 찾습니다.




그리고 응답이 오는 호스트가 있으면 MS08-067 취약점에 대해서 공격을 시도합니다.




추가적인 전파를 위해 같은 네트워크 대역에 PING을 날립니다. 그리고 B클래스를 고정시키고 C클래스를 하나씩 늘려가면서 계속 PING을 날리는 지독함까지 보여주고 있습니다. -_-




그리고 youtube.srv837.com이라는 도메인에 대한 쿼리를 보내고 접속을 한 후 mgg.txt 파일을 요청을 합니다. 그런데 mgg.txt 파일에는 별다른 내용은 없고 ????????!!! :@% 와 같은 문자열이 몇줄 있었습니다. 수상해서 직접 저 도메인에 접속을 해보니 이번에는 _album9837.src이라는 스크린세이버 파일을 다운 받았습니다. 이 파일은 처음에 실행되었던 system.exe 파일과 동일한 파일이었습니다. 직접 실행해보니 실행 잘되고 또 처음에 봤던 sex.pornoturkiye.com으로 쿼리 날리는 행동부터 했었습니다.




0x03 결론

다들 아시다시피 대부분의 악성코드들은 도메인 네임을 주로 사용합니다. 그래서 ISP들도 도메인을 많이 차단을 하죠.
이번 2090 바이러스가 처음 전파되는 과정에서 KISA와 ISP 모두 sex.pornoturkiye.com 도메인을 차단했었습니다.
저도 처음엔 그러려니 했었는데 직접 확인해보니 다른 도메인들이 더 나왔습니다. 2090 바이러스로 인해 발생되는 DNS 쿼리 확인 결과 다음과 같은 숙주도메인이나 의심되는 악성 도메인을 찾을 수 있었습니다.

sex.pornoturkiye.com (85.17.136.148)
hosted-by.leaseweb.com (85.17.136.148)
youtube.srv837.com (72.167.232.8)
p3nlh003.shr.prod.phx3.secureserver.net (72.167.232.8)


물론 바이너리를 분석해봐야 더 정확한 내용을 알 수 있겠지만 저는 해당 바이러스를 실행시킴으로써 발생되는 트래픽만을 가지고 분석했습니다.
아직 바이너리를 능숙하게 분석할 능력이 부족하여...ㅜ.ㅜ
조만간 바이너리도 분석을 해보고 정확한 데이터가 나오면 다시 글을 게재하겠습니다.



p.s 지금 이 글을 쓰고 있는 상황에서 85.17.136.148 IRC 서버에 계속 접속해 있는 상태인데 별다른 행동없이 PING/PONG만 하고 있습니다.
아마도 공격자가 잠을 자고 있는게 아닐런지...-_-
whois에서 검색해보면 IRC 서버 IP가 네델란드로 나옵니다.


Posted by demantos

댓글을 달아 주세요