0x02 analysis2010. 3. 25. 15:47


오랜만에 글 쓰는듯 합니다.
프로젝트 참가하고 있는게 일이 좀 많네요...ㅜ.ㅜ

아무튼 짬짬히 악성봇 탐지 장비를 보는데
정말 오랜만에 특이한 녀석을 하나 발견해서 포스팅해봅니다.
미리 말씀드려야 될건 아직 제대로 분석을 하지 못했다는 거죠..-_-;;

혹시나 정보가 있으신 분들께서는 따스한 도움의 손길을~ ㅎㅎ


분석 대상은 muza-flowers.biz라는 도메인입니다.
매일매일 - 어쩌면 하루에도 몇번씩 - IP가 바뀌는 녀석입니다.
그렇다고 비슷한 대역에서 바뀌는 것도 아니고 전혀 다른걸로 바뀌죠..
글을 쓰는 지금 이 순간에는 48.34.204.49입니다.
한가지 동일한건 지금까지 제가 봤던건 보두 미국이라는 점입니다.

일단 장비에서 캡쳐된 pcap 파일 하나 보시겠습니다.




캡쳐된 파일을 보시면 116.123.237.95(PC)에서 208.101.27.44(C&C??)로 HTTP Request를 날리고 Response를 받는걸 보실 수 있습니다. 실제 패킷의 내용을 까보면 Host 헤더에는 문제의 muza-flowers.biz가 있다는 것이지요..

물론 이 파일은 시간이 좀 지난 파일이기에 그 당시 muza-flowers.biz가 208.101.27.44라는 IP를 갖고 있다고 생각할 수 있겠지만 웹 브라우저에서 muza-flowers.biz로 접속이 안됩니다. (밑에서 좀 더 자세하게 언급하겠습니다)

일단 이 패킷에서 HTTP 내용을 보면 Content-Encoding이 gzip이라고 나옵니다. 하지만 Decompress하는데 실패했다는 메시지도 함께 볼 수 있습니다. (Decompression failed)




압축해제(Decompress)가 실패했다고는 했지만 혹시나 하는 마음에 HEX 스트림 가져다가 WinHex에 그대로 갖다 붙여 넣고 확장자는 gz로 해서 리눅스에서 gunzip 명령으로 압축해제를 시도는 해보았지만 역시나 안되더군요..

추측이지만 Waledac처럼 어떤 다른 압축알고리즘을 썼거나 암호화 기법을 쓴게 아닐까 하는 생각이 듭니다.
Waledac은 좀비와 C&C간의 전송 데이터를 XML -> Bzip2 -> AES -> Base64 -> +,/,= 치환 의 방식으로 인코딩해서 보냈는데 설마 이녀석도 이런 방법을 쓴건 아닐까 하는 생각도 듭니다. 아니길 바라지만요...

google신께 도움을 요청하니 아래 URL 하나를 주시더군요..


[Emerging-Sigs] Zeus? Virut? Krap? FakeAV?
http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-January/005837.html


tor 프락시를 쓰고 있다는 이야기를 하고 있습니다. 즉, pcap 파일에 있는 IP들은 모두 tor 노드이고 이 tor 노드를 거쳐서 muza-flowers.biz에 접속해서 데이터를 주고 받고 있는것인데 이렇게 되면 muza-flowers.biz를 차단해봐야 소용이 없습니다. 


Zombie <--> tor nodes <--> muza-flowers.biz

차단을 하자면 tor 노드들을 차단해야 하는데 정상적인 사이트일 경우 문제가 될 수도 있습니다.

예전에 go-thailand-now.com라는 도메인을 차단한 적이 있는데 muza-flowers.biz에서 사용하는 URL과 이 도메인에서 사용하는 URL 형식이 동일한 것으로 보아 동일한 패키지가 아닌가 의심됩니다.


여러개의 pcap에서 Request URL만 모아보니 대충 몇개로 압축이 되었습니다. 확인된 URL 중 일부만 나열해봤습니다.

/blog.php?4ed4e3aa0816a1b6877015973c817814
/blog.php?e3c4e6e029a15c3939fe465ec50bf6da
/download.php?file=9ca2a87a8480702cad0f052ea08ca423
/entry.php?6abf6b5a35d51a40895647aeb7b3cbc9

/forums.php?fid=44
/forums.php?fid=73
/index.php?board=174.135
/index.php?board=42.116
/index.php?board=47.197
/index.php?board=60.209
/index.php?topic=163.243
/index.php?topic=165.78
/index.php?topic=185.15
/index.php?topic=252.80
/login.php?user=1cee36ba3569defbc0564c774a1c91fe
/login.php?user=3688a605492193f258b32919f4d7eae9
/login.php?user=ba63cc9d710ad08ab9a1fc6256c82c63
/logout.php?sessid=6ec99394eeca06ebf19d976d1ac75ed6
/logout.php?sessid=8ac0c818bfc50a3916612b381853935b
/memberlist.php?mode=viewprofile&u=199
/memberlist.php?mode=viewprofile&u=246
/memberlist.php?mode=viewprofile&u=82
/newpost.php?sub=newthread&fid=120
/newpost.php?sub=newthread&fid=247
/newpost.php?sub=newthread&fid=3
/newpost.php?sub=newthread&fid=74
/newpost.php?sub=newthread&fid=79
/posting.php?mode=post&f=107
/posting.php?mode=post&f=11
/posting.php?mode=post&f=155
/posting.php?mode=post&f=168
/redirect.php?url=812e9f2f003c43d21a4020cf0b253e0a
/redirect.php?url=fc24d4999b0d04468e577217144ef467
/search.php?doc_id=0ee24f8c065630d0510b6da4edce25a0
/search.php?doc_id=21e0498e17c4f95cb434f99795b63338
/search.php?doc_id=4eb05ed5818e18d297b0fc110310b9f3
/topic.php?tid=66
/upload.php?648e98ef1c2d271731666186e4111fb1
/upload.php?81a523949a05305ebd794f1a30140b55
/upload.php?93eb78b0ac81f40be362a0b66680aa45
/upload.php?b307ffb4011c0afcd0981256e975480b
/YaBB.pl?num=116
/YaBB.pl?num=121
/YaBB.pl?num=145
/YaBB.pl?num=178
/YaBB.pl?num=49


이외에도 더 많은 php파일들이 있을 것으로 예상됩니다. 좀 더 많은 pcap 파일들을 뒤지다보면 확인할 수 있을듯 한데요..

전송되는 데이터는 추측건데 

C&C -> 좀비 : 업데이트된 tor node 리스트외 기타 명령
좀비 -> C&C : 시스템 정보나 기타 훔치고 싶은 데이터

정도가 아닐까 생각됩니다.



아직 분석을 계속하고 있는 단계라 명확한 결론이 나오질 않았는데요 정보가 많이 않아 다소 힘든감이 없지 않아 있습니다.

좀 더 분석해서 추가정보가 나오면 바로 얻데이트 하도록 하겠습니다.



추가 정보 #1
http://www.m86security.com/labs/i/Rustock-rages-on,trace.1243~.asp






Posted by demantos