바이오스 루트킷(BIOS Rootkit), Mebromi(MyBios) Bios Rootkit + MBR infected

최근 바이오스 루트킷이라고 불리는 Mebromi 또는 MyBios 로 불리우는 악성파일이 확인 되었다.
분석을 좀 해봣는데 어려워서 ㅠ.ㅠ 그냥~ 기록용으로 남겨본다.

우선 드롭퍼에 의해 악성파일은 총 5개의 드롭파일을 생성한다.
모두 리소스에 담겨져 있으며 용량은 크지 않다.

C:\my.sys

C:\bios.bin

C:\WINDOWS\system32\drivers\bios.sys

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\cbrom.exe

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\hook.rom


각 파일을 간단하게 살펴보면, 

- my.sys
Disk.sys의 IRP Major Function을 리다이렉트 시키는 커널 루트킷

리다이렉트 되는 Function : 
IRP_MJ_READ, 
IRP_MJ_WRITE, 
IRP_MJ_DEVICE_CONTROL

- bios.bin
bios.sys 파일의 서비스를 담당

- bios.sys
bios.sys 는 Bios Flash I/O 를 처리하기 위한 드라이버
사용자 시스템의 Bios Rom이 자신이 감염시킬 Award Bios 인지 확인한다.
(참고로 해당 악성파일은 어워드(Award Bios)에서만 동작한다.  아미(AMI), 피닉스(PHOENIX)에는 동작하지 않는다;;
하지만 시간문제지 않을까 싶다 ㅡㅡ;;)

- cbrom.exe
cbrom.exe는 악성파일이 사용자 BIOS의 상태를 알아보기 위해 사용되는 툴
/isa 명령어를 통해 Award Bios Rom에 hook.rom 파일를 ISA에 추가시킨다.

- hook.rom
hook.rom 파일은 악성코드가 포함 된 ISA Bios Module 파일
차후 Bios Rom에 추가 되어 동작한다.

1) 사용자 운영체제에 따라 다음 파일 중 한개를 감염시킨다.
winlogon.exe (Windows XP or 2003)
winnt.exe (Windows 2000)

2) 특정서버에서 파일을 다운로드 한다.
http://dh.3515.info:806/test/91/calc.exe



중간에 정전이 되어서 ㅡ.ㅡ; 많은 데이타가 날라갔다!! 쉣!!! 퍼킹 한전!!

전체적으로 정리해 보자면~
악성파일에 감염이 되면 BIOS에 요런식으로 hook.rom 파일이 ISA ROM에 삽입된다.

컴퓨터 부팅 시 감염 된 MBR에 의해 hook.rom 파일이 로드되게 된다.
(참고로 MBR은 섹터 14 (7168 Byte) 까지 감염대상이며 원래 있던 MBR 코드는 섹터 7에 저장된다.)

시만텍 형님이 아주 자세하게 플로워차트까지 만들어 두었다 ㅎㅎ 감사!! ㅋㅋ

퇴근해야해서 ㅡ.ㅡ;; 집에서 마주 정리;;