<해당 악성파일은 2011년 1월달에 발견 된 샘플이나, 기록을 위해 포스팅!!>


1. 개요
최근의 악성코드들이 시스템 Dll파일을 변조 또는 교체하는 방식을 많이 사용하고 있다.
이러한 방식을 쓰는 이유는 시스템 Dll 파일을 조작하면 악성코드는 사용자의 눈을 피해 시스템에 오래 살아남을 수 있기 때문이다.
하지만 윈도우 운영체제는 WFP(Windwos File Protection)이라는 기법으로 시스템 Dll을 보호하고 있다.
이번 악성코드 분석에서는 WFP기법을 해제하는 방법과 악성파일의 행위에 대해 알아보자.


2. 악성코드 분석
2-1. 유포경로
- 변조 된 사이트에서 전파 되는 것으로 확인되며, 사용자 PC에 취약점이 존재하면 악성파일을 다운로드 한다.
사용 된 취약점은 CVE-2010-0806 IE취약점으로 2010년 3월 9일에 0-Day로 발견되어 2010년 3월 31일 MS10-018으로 긴급업데이트
되었다. 다운로드 되는 파일은 hxxp://www.37xxxx.com:5656/01.exe이다.

(그림. 실행단계 도식화 화면) 

해당 취약점은 아래와 같이 보안업데이트를 통해 방지할 수 있다.

2-2. 파일분석(V.DWN.OnlineGames.xaot – 01.exe)
- 프로세스 종료
동작 중인 프로세스 중 AYAgent.aye, SkyMon.exe 프로세스가 존재하면 종료시킨다.

(그림. 프로세스 강제종료 화면)

- WFP(Windows File Protect) 보호모드 해제
Sfc_os.dll의 Ordinal 5에 존재하는 unnamed API(SfcFileException)를 사용하여 보호모드를 해제할 수 있다.
WFP 보호모드 해제 대상파일은 C:\Windows\System32폴더에 존재하는 Comres.dll 파일이다.

Ordinal 5:

DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);

dwUnknown0

Unknown. Set to 0

pwszFile

Filename

dwUnknown1

Unknown. Set to -1

(Ordinal 5 unnamed API(SfcFileException) 구조체)

(그림. WFP 무력화 코드 화면)

- 파일 이동
WFP 보호모드가 해제되면 감염PC에 ComResA.dll 파일이 존재하는지 확인 후, 존재하지 않으면 정상적인 Comres.dll를
ComResA.dll로 파일명을 변경시킨다.

(그림. ComResA.dll 파일 생성 화면)

(참고사항)
해당 악성파일는 중복체크를 하지 않기 때문에 파일이 재실행하게 될 경우, WFP 보호모드 해제 후 감염PC ComResA.dll
파일이 존재하면 현재 존재하는 ComRes.dll ComRes.dll(랜덤7자리).tmp 파일로 이동시킨 후 다시 ComRes.dll 파일을
생성시킨다.

(그림. 중복 실행 시 변경되는 ComRes.dll 파일이동 화면)

(그림. 파일 중복실행에 따른 파일변경 순서도)


- 파일 생성
자신이 리소스로 가지고 있던 파일을 C:\WINDOWS\system32\ComRes.dll로 생성한다.

(그림. 리소스에 저장 된 내용을 로드시키는 화면)

- 파일 삭제
ComRes.dll 파일의 생성이 완료되면, 자기자신을 삭제한다.

Format = "%s /c del "%s""
<%s> = "C:\WINDOWS\system32\cmd.exe"
<%s> = "C:\(파일이 실행 된 위치)\01.exe"

C:\WINDOWS\system32\cmd.exe /c del C:\(파일이 실행 된 위치)\01.exe



2-3. 파일분석(S.SPY.OnlineGames.xaot – ComRes.dll)
- 프로세스 종료
자신을 로드시킨 프로세스가 AyAgent.aye, ALYac.aye, SkyMon.exe 일 경우 종료 시킨다.

 (그림. 프로세스 강제종료 화면)

- 스트링 복호화
차후에 이용 될 스트링을 “XOR(95)”을 이용하여 복호화 시킨다.
복호화 된 스트링 내용은 다음과 같다.

다운로드 주소 : hxxp://ddd.37xxxx.com:7878/dd.txt
맥 전송 주소 : hxxp://ddd.37xxxx.com:7878
맥 전송 시 버전정보 : 3838


- 스레드 생성
생성 된 스레드에서는 파일 다운로드, 파일복사, 맥&버전 전송, 파일로드의 역할을 수행한다.

1) 복호화 된 스트링을 참고로 파일을 다운로드 한다.
hxxp://ddd.37xxxx.com:7878/dd.txt를 systemInfo.ini 파일이름으로 다운로드 한다.
이후 hxxp://ddd.37xxxx.com:7878/3.exe 파일을 다운로드 후 실행한다.

(그림. 다운로드 된 dd.txt 파일내부 화면)

2) 다운로드 된 systemInfo.ini파일을 systemInfomations.ini 이름으로 복사시킨다.

3) 특정 서버로 감염 된 PC의 MAC&버전정보를 전송한다.

URL : hxxp://ddd.37xxxx.com:7878/clcount/count.asp?mac=(Mac Adress)&ver=3838
UserAgent : Google

 
4) nt32.dll 파일을 로드한다.

(그림. 악성파일 nt32.dll을 로드시키는 화면)

- ComResA.dll 로드
ComResA.dll은 정상적인 시스템파일 Comres.dll이 변경 된 파일이다. 감염 된 ComRes.dll가 원본파일의 기능을 수행하기 위해서는 ComResA.dll을 로드해야 한다. 해당 악성코드에서는 Export Table(IMAGE_EXPORT_DIRECTORY)를 이용하여 ComResA.dll을
로드시킨다.

1) IMAGE_EXPORT_DIRECTORY의 구조체

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;          
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;                   // address of library file name
    DWORD   Base;                   // ordinal base
    DWORD   NumberOfFunctions;      // number of functions
    DWORD   NumberOfNames;          // number of names
    DWORD   AddressOfFunctions;     // address of function start address array
    DWORD   AddressOfNames;         // address of functino name string array
    DWORD   AddressOfNameOrdinals;  // address of ordinal array
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;


2) 해당 악성코드의 경우 AddressOfFunctions 인 ComResA.COMResModuleInstance 필드를 참조하게 된다.

Modul name : DLL.dll
TimeDateStamp: 4D1B6A18
Version: 0.00
Ordinal base: 00000001
Number of functions: 00000001
Number of Names: 00000001
COMResModuleInstance rva: 0000358F ord : 1 [forwarder RVA : ComResA.COMResModuleInstance]


3. 결론
이와 같이 악성파일이 시스템 Dll을 변경했을 경우, 백신프로그램 업체에서는 변경 된 시스템 Dll을 삭제하기 보다는 감염방식을
분석하여 역으로 치료루틴을 추가하는 것이 최선이라 볼 수 있다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.


지인분께서 악성스크립트에 들어간 쉘코드 분석방법에 대해서 문의하셔서~^^
간략하게 글을 적어봅니다.

이 글은 보통 악성 스크립트들을 Malzilla로 분석하는데 있어, 못하는 부분들이 있기 때문에 이런 방법을 많이 사용하고 있습니다.
물론 저는 그렇구요^^; 다른 분들은 어떻게 분석하는지 모르겠네요!! ㅎㅎ 

< 준비물>
- Malzilla : http://malzilla.sourceforge.net/downloads.html
- OllyDbg : http://www.ollydbg.de
- UltraEdit

1. 우선 파일을 UltraEdit로 오픈합니다.
그럼 다음과 같이 쉘코드로 보이는 문자열들이 보입니다.
이 문자열들을 복사합니다.
(주의) 중간에 "+" 이라는 문자들은 모두 공백으로 바꾸어줍니다^^


2. 복사 한 부분을 Malzilla의 Misc Decoders탭에 붙여넣기 합니다.
그 후 UCS2 to Hex 를 클릭합니다.


3. 그럼 쉘코드가 Hex값으로 변환되었습니다.
이 부분을 다시 복사합니다.


4. 복사한 부분을 Shellcode analyzer 탭이나 Hex View 탭으로 이동하여 Paste as hex로 붙어넣습니다.
그리고 우측마우스를 눌러서 Save를 합니다.

파일명을 저장 할 때, "Hex_view_file.mem" 으로 저장하시면 추후 편리합니다 ㅋㅋ

이제 저장 된 Hex를 OllyDbg에 연동하여 쉘코드를 분석해 보겠습니다.


5. 우선 Olly를 열고 아무파일이나 오픈합니다.
저는 개인적으로 notepad.exe를 좋아해서 ㅡㅡ;; 그 파일을 오픈하였습니다 ㅋㅋ

그리고 마우스 우측버튼을 이용하여 Backup -> Load Backup From File 을 클릭합니다.

아까 저장해 둔 mem 파일을 불러옵니다.

그럼 크기가 안맞는다니 어쩐다니 그런 개소리를 하게 되는데~ 사뿐히 즈려밟고 갑니다.


6. 지금부터가 중요합니다. 백업파일을 적용했으나 변한것이 없을겁니다~ 따라서 다음과 같이 해주세요.
1) Home키를 눌러 맨 위로 올라감
2) Shift + End 키를 이용해서 모든 코드를 블럭처리
3) 마무리로 Alt + BackSpace를 누루면 코드 맨 위에 Hex값을 복사
4) 다시 Home키를 눌러 맨 위로 올라가서 Ctrl+* 로 시작지점을 변경


7. 이제 부터는 일반적인 디버깅 시작~~
Loop 부분이 종료 되면 원하던 주소값을 얻을 수 있습니다.


쉽게 설명한다고 썻는데;;
보는사람입장에서는 어떻게 보일지 모르겠네요 ㅎㅎ

궁금한점이나 안되는 점이 있으시면 댓글로 써주세요^^




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.

이 파일은 Adobe Acrobat Reader의 0-day로써 이메일로 전파 되고 있다.
악성파일의 크기는 현재 발견 된 것은 모두 400,918 바이트 크기를 가지고 있다.
상세분석을 하기에는 너무 시간이 걸릴 듯 하여 ㅠ_ㅠ, 간략하게 요약한다.

우선 E-Mail로 전파 된 악성 PDF 파일을 살펴 보면 다음과 같은 스크립트가 존재한다.
어떤 취약점 Exploit이라도 힌트는 항상 존재한다는 것을 명심해야 한다.

(그림1, PDF 파일 안에 존재 하는 스크립트 화면)

다음은 그림1의 스크립트를 복호화 한 내용이다.
이때까지만 해도 이 쉘코드에 다운로드 주소가 있을것으로 추정하고 있었다(ㅠ_ㅠ)
하지만, 해당 쉘코드는 PDF안에 있는 PE파일을 특정위치로 드롭시키는 코드와, 오버플로우를 발생시키는 코드였다.

(그림2, 스크립트 복호화 작업을 마친 화면)

다시 PDF를 살펴 보면 자기자신에 Offset 0x00037761부터 PE파일(172,032 바이트)를 담고 있는 것을 확인 할 수 있다.

(그림3, PDF 파일에 PE파일을 담고 있는 화면)

PE파일은 차후 C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe에 설치 되는 파일이다.
아직 파일에 대한 분석이 완료 되지 않았기 때문에 생략 ㅎㅎㅎ

- 생성 되는 파일
C:\Documents and Settings\XP\Local Settings\Temp\AdobeUpdate.exe(172,032 바이트)
C:\Documents and Settings\XP\Local Settings\Temp\DelUS.bat
C:\WINDOWS\winver32.exe(386,016 바이트)

- 다운로드 주소
http://foruminspace.com/documents/dprk/ab.exe(현재 파일 없음) - 다운 후 winver32.exe로 변환


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



디버깅을 하다 보면 참 여러가지 난관에 봉착하게 된다.
이중 하나가 안티디버깅(Anti Debugging) 이다.
개발자가 디버깅을 통해 내부 코드를 공개하기 싫다거나, 디버깅 자체를 막기 위해서 사용하고 있다.

하지만 지금 얘기하는 Float 버그는 올리디버그 프로그램의 버그이다.
현재 많이 알려져 있는 버그로써, Floating-Point Bug 라고 불려지며 올리디버거가 FlD 명령어를 모두 처리하지 못하여 발생하는 버그이다. 
분석을 하면서 악성파일이 버그가 적합된건 처음이기 때문에 포스팅을 해둔다(물론 내가 처음본거다 ㅡ.ㅡ; 오해하지 말길 ㅋㅋ)
또한 이것도 어떻게 생각하느냐에 따라서 안티디버깅이 될 수도 있다^^;

우선 코드를 살펴 보자~
코드를 보게 되면 , 이런 부분을 볼 수 있다.
db 0FFh  이 부분을 올리에서 처리 할 수 없어서 올리디버거가 강제 종료 된다.

seg000:0000005E DB 2D 64+                fld     tbyte ptr ds:10064h
seg000:0000005E 00 01 00 ; ---------------------------------------------
seg000:00000064 FF                       db 0FFh
seg000:00000065 FF                       db 0FFh
seg000:00000066 FF                       db 0FFh
seg000:00000067 FF                       db 0FFh
seg000:00000068 FF                       db 0FFh
seg000:00000069 FF                       db 0FFh
seg000:0000006A FF                       db 0FFh
seg000:0000006B FF                       db 0FFh



실제로 악성파일을 동작시켜보면 다음과 같다.

그림1은 올리디버거에서 복호화 하기 전의 덤프창 내용이다.
아직은 변한게 없기때문에 오류가 나오지 않는다.
(그림 1. FLD를 처리 하기 전)

그림1에서 계속 디버깅을 실행하면 다음과 같이 올리디버거가 종료되게 된다.
(그림 2. FLD 버그로 인한 올리디버거 종료)

그럼 Floating-Point Bug를 피하는 방법을 알아보자

Assem Code 창에서 복호화를 통해 코드가 덧 씌워지는 부분이 있다.
0x0001004A 부분부터 코드가 씌워지기 때문에 그부분을 화면에 출력시키지 않으면 된다.
올리디버거의 Dump창을 코드가 씌워지는 부분까지 드래그(노란색화면)하여 안보면 다음과 같이 오류가 나오지 않고, 분석을 계속 할 수 있다.

한가지 더  Dump창의 FF FF FF FF FF FF FF FF 부분을 모두 사용하지않는 00으로 변경 시키면 된다.
(그림 3. Floating-Point Bug를 피한 디버깅)

이 문제는 Obllydbg 1.x 에서 나오는 버그이며, 현재 Ollydbg 2.0 베타버전에서는 이 문제가 해결된 것으로 확인된다.
또한 Immunity Debugger에서도 나오지않는 버그 이므로, 분석할 시 자신에 취향에 맞게^^ 사용하면 된다.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



3부로 웹서버 해킹을 통한 악성코드 댜량배포에 대한 자료이다.

하루가 다르게 변하고 새로운 기술들이 생겨나는 오늘 날, 악성코드 또한 그에 발 맞추어 함께 발전을 해왔다. 분석에 있어서 혼란을 가져오는 안티 디버깅 기능에 대한 발전과 함께 기존에 없었던 새로운 기능을 추가 하는 등 많은 변화가 있었지만 그 중 가장 큰 발전이라 함은 악성코드의 유입경로에 대한 다양화라고 볼 수 있을 것이다.

초창기 바이러스가 처음 발견된 시점, 수동적으로만 전파되어오던 바이러스와는 다르게 근래에 전파 방법이라 함은 과거로선 상상조차 할 수 없을 정도로 다양해졌다. 메신저, 이동식저장장치, e-mail 등 많은 여러 가지 방법으로 전파가 되었지만 근래에 가장 문제가 되는 방법은 웹 해킹에 따른 악성코드의 유입이라고 할 수 있다. 기존에 해킹은 단순히 자신의 실력을 과시하거나 어떠한 의사 전달 등의 목적을 지니고 있었다면 최근 발생하는 웹 해킹은 금전적인 이익을 노리고 발생한다는 점에서 해킹에 목적이 많이 변모했음을 보여 준다.

IT사회를 살아 가는 오늘 날 개인 사용자들에게 인터넷이 보급화 되면서 이러한 웹 해킹은 전반적으로 큰 우려를 낳고 있으며 단순히 웹사이트에 접속하는 것만으로도 위험한 악성코드에 감염될 수 있어 피해가 큰 상황이다.

 

1.       전파 방법

웹 해킹에 대한 기법은 여러 가지로 볼 수 있으나 그 중 두각을 나타내고 있는 모습은 중국근원의 자동화 툴에 의한 공격을 꼽을 수 가 있다.


그림 1. 웹 해킹을 위한 중국발 자동화 공격 툴

 

이러한 자동화 툴로 인한 공격법은 자동화 툴을 이용하여 홈페이지 내의 취약점이 있는 페이지를 탐색한 후 DB 열람 하여 사용자 정보를 탈취 한다. 탈취한 계정을 이용하여 웹 사이트 로그인을 가능하게 한 후 악의적인 파일을 업로드 한 후 webshell을 이용하여 서버를 장악한 후 Iframe를 삽입/ 메인 페이지 소수 수정 등 홈페이지 변조가 가능하게 된다.

개인적으로 사용하는 백신이나 보안에 취약한 사용자는 이러한 변조된 웹사이트에 접속 할 당시 악성 코드에 감염 되는 것이다.


그림.2 자동화 툴에 의한 공격 로그()

 

자동화 툴에 의해 게시물의 인자값에 SQL 구문을 입력한 것으로 보여지는 공격에 의해 나타나는 공격 로그를 작성한 예이다. 이때 자동화 툴에 관한 위와 같은 공격 로그는 단 시간에 굉장히 많이 발견 되곤 한다.

공격자는 관리자 로그인 페이지에 접속을 시도 하여 웹 관리자 페이지를 유추한 후 접근을 시도 하고 관리자 로그인을 우회하여 직접 관리자 권한의 편집 페이지를 찾는다.


그림 3. 관리자 페이지에 대한 공격으로 추청되는 로그()

 

이러한 중국근원의 웹 해킹 사례는 다음과 같은 iframe 기법으로 다른 파일이 삽입되어 있는 상황을 발견 할 수 있다.


그림 4. 웹사이트의 해킹에 의해 다른 코드가 정상적인 홈페이지에 삽입된 상황

 

 공격자가 고의로 보안 취약점이 있는 웹사이트에 악성 스크립트를 넣어두고 이 웹 사이트에 접속하는 PC에서 설정된 주소에 접속하여 악성코드를 다운로드 하거나 혹은 직접적으로 파일이 다운로드 되어 또 다른 악성코드를 Drop하는 방법이다. 또한 height 0으로 설정하여 감염여부를 숨기려 하고 있다. 여러 종류의 취약점을 사용하여 삽입 되는 이러한 웹 해킹은 국산 게임에 대한 정보를 유출 하는 것을 목표로 하는 Downloader 혹은 Dropper 가 대부분이다. 대량의 악성코드를 내포하고 있음은 물론이요, 혹은 ARP Spoofing와 같은 종류의 악성코드도 유입 될 수 있다.

ARP Spoofing 의 경우 동일 IP 대역폭에 있는 모든 PC를 감염 시키는 숙주 역할을 하므로 이러한 악성코드에 감염이 되었을 경우 개인 PC 사용자 보다는 기업 입장에서 큰 위협이 아니 될 수 없다.


그림 5. 취약점을 이용해 다운로드 되는 중국산 악성코드

 

이러한 최근 웹 해킹은 제로데이 취약점을 이용하여 공격 하는 것이 일반화 되었다. 임의의 취약점이 발견되고 그 취약점에 대한 패치 출시 사이에 이러한 공격이 발견 된다.

결국 사용자는 웹사이트에 방문했다는 죄(?)로 악성코드에 노출되는 것이며 과거 보안패치만 제대로 이루어진다면 웹 서핑 시 Download 되는 악성코드는 막을 수 있었지만 현재는 그것만으로는 결코 안전 할 수 없다.


그림 6. 다른 내용을 가진 파일의 다운로드 파일의 내용

 

위의 그림에서 나온 파일의 내용은 다르다. 단독으로 실행될 수 있는 US-ASCII 로 이루어진 파일이 있는가 하면 2개의 파일로 내용이 이루어져 다운로드 되는 경우가 있다. 이는 단독으로 download에 대한 내용을 실행을 하게 되면 백신에서 탐지를 할 수 있기 때문에 내용을 갈라놓은 경우이다. 내용을 갈라 2개 혹은 여러 개의 파일로 나뉘게 되면 백신에서 탐지를 할 수 없기 때문에 이런 식의 구성은 점점 늘어나고 있는 추세이다. 이러한 보안 업체를 의식해 회피 기술을 사용 하는 것을 스텔스 화 라고 한다.

 

 

2.       악성코드의 실행

위의 그림에서 발견 되는 스크립트를 통해 유입되는 악성코드는 역시 중국 근원의 spyware downloader 로 보여진다. .htm 파일로 다른 악성코드를 유입한 후 다단계적으로 또 다른 .htm 파일을 유입한 후 .css 파일과 .swf 파일로 같은 악성코드를 download 하게 된다.

 
그림 7. .css 파일로 download 되는 파일의 내용

 

위의 그림은 유입 되는 파일 중 .css 파일을 통해 download 되는 파일에 대한 내용이다. .htm 파일을 통해 얻어진 .css 파일을 UCS2 To Hex로 변환한 후 XOR 값을 찾아 변환 하면 그림과 같은 주소를 확인 할 수 있다.


그림 8. .swf 파일로 download 되는 파일의 내용

 

플레쉬 취약점을 통해 download 되는 Swf 파일들은 같은 파일명에 number를 붙여 각기 다른 여러 종류의 파일을 download 하게 된다. 이유는 swf 취약점에 대한 버전이 다르기 때문에 어떠한 버전에서도 다운로드가 되어 사용자 PC에 맞는 취약점을 찾아 실행되도록 해놓은 것이다.

.htm, .css, .swf의 각기 다른 파일들로 다운로드 되는 악성코드는 동일한 악성코드임에도 불구하고 이런 여러 가지 방법들을 동원하여 악성코드의 유입을 하는 부분에서 확인할 수 있듯이 공격자에 의해 웹 해킹을 당하여 유입되는 악성코드의 경로는 점점 치밀하고 정교해지고 있음을 확인 할 수 있다.

Download 되는 악성코드는 자신이 설치된 PC에서 자신 외에 다른 파일을 생성하게 되는데 이는 악성코드의 또 다른 유입과 pc의 기본적인 기능 혹은 다른 프로그램에 대한 방해로 이루어 질 수 가 있다.


그림 9. Killdll.dll 파일의 생성 및 실행

 

악성코드가 실행되면서 생성될 killdll.dll 파일을 정상적인 rundll32.exe 와 같이 작동이 되도록 작업을 수행 한다. 이 생성 되는 killdll.dll 파일은 자신의 실행을 방해할 요소가 되는 프로세스에 대한 정보를 찾아 그 프로그램에 대한 정상적인 실행을 억제한다.


그림 10. 생성되는 killdll.dll 파일의 killav

 

생성 되는 killdll.dll 파일은 각 백신의 프로세스에 관한 실행을 자신이 실행되는 것으로 바꾸며 이미 실행 되고 있는 프로세스들에 대해서 작업을 종료시켜 정상적인 백신의 활동을 억제 한다. 이러한 기능을 killav 기능이라 하며 killav 기능은 근래 탐지되는 악성코드의 동향에서 빼놓을 수 없는 필수(?)요소가 되어 가고 있다. 특히 근래에 자주 발견되는 keylogger, spyware로 분류 되는 악성코드는 대부분 이러한 killav 기능을 내포 하고 있다.

보안관련 제품들의 방해 외에도 자신을 보호하는 SSDT Hooking 관련 파일과 Droopper 에 대한 파일을 생성하게 되며 모든 작업이 끝나면 자기 자신은 삭제를 하는 작업을 수행한다.


그림 11. SSDT Hooking 관련 파일과 또 다른 Downloader 의 생성

 

Hooking 관련 파일을 생성하여 자신과 다른 Downloader 의 보호 및 변화에 대한 감시를 하게 되며 Killav 기능과 SSDT Hooking을 통한 모든 작업이 마무리되면 최종적으로 download 할 국산 온라인게임의 계정 관련 정보를 노리는 파일을 download 하게 되며 자기 자신을 삭제 한다.

그림 12. Downloader의 접속 주소

 

설정된 주소는 downloader가 접근 하는 주소로 각자 다른 내용을 포함하고 있다.

Spyware에 대한 download를 하기 전 설치된 pc Mac Address주소와 OS Version을 정보를 보내어 감염된 사용자에 대한 정보를 파악 한 후 어떤 사이트를 통해 언제 감염 되었는가에 대한 내용을 알 수 있다.


그림 13. 감염된 PC OS version Mac Address 를 보내는 과정

 

사용자의 감염된 PC의 정보를 훔친 후 본격적으로 download 할 악성코드에 대한 주소에 접근하여 download를 시도 하게 된다.

그림 14. 특정 웹사이트에 접근 하는 downloader

 

URLDownloadToCacheFailA 함수를 사용하여 임시 파일이 생기며 그 안에 설정된 주소의 파일을 받아 본격적인 악성코드의 download를 실행한다.

주로 .txt 파일로 이루어진 주소에 접근을 해보면 다음과 같은 수 많은 악성코드들에 대한 download 주소를 눈으로 확인 할 수 있다.


그림 15. 접근하는 웹사이트의 .txt 파일에 나타나 있는 악성코드의 download 정보

 

눈으로 확인 할 수 있듯이 대량의 악성코드에 download를 시도하게 되며 이러한 악성코드는 spyware 외에도 다른 악성코드도 첨부된다.

위 그림에서 확인 할 수 있듯이 영문자 숫자 조합으로 된 .exe 파일들은 모두 국내의 online Games 관련 계정 정보를 탈취 해 가는 것으로 각기 다른 게임의 프로세스를 감지하고 정보를 훔쳐가는 것으로 확인 할 수 있다.

Download 되는 파일들은 설치 시 특정 게임에 대한 프로세스 정보를 찾는다.


그림 16. 게임 프로세스에 대한 정보 검색

 

현재 실행중인 모듈의 이름을 구해서 explorer.exe(탐색기)인지 특정 게임의 프로세스인지 비교하여 탐색기일 때는 모든 프로세스에 자신을 Injection하고 게임의 프로세스이면 계정 탈취를 시도한다.


그림 17. 특정 온라인게임에 관한 프로세스 탐지

 그림 18. 수집된 정보를 전송

 

게임에서 사용되는 특정 파일에서 사용자 환경이 담긴 내용을 수집한다.

수집된 정보는 http://a**h.o****e.cn으로 전송 된다.

 

3.       웹 해킹에 대한 대처

웹 해킹으로 인해 유입되는 악성코드에 피해 사례는 점차 늘어만 가고 있다. 이러한 국산 온라인게임에 관한 계정 정보를 노리는 spyware는 결코 한가지 게임만을 노리는 것이 아닌 국내의 모든 게임에 관한 계정 정보가 타겟이 된다고 볼 수 있다. 현재 국내의 온라인 게임시장은 단순히 게임이 아닌 현금 거래가 활발하게 이루어 있으며 이러한 점을 악용하여 금전적 이윤을 챙기고자 중국발 악성코드의 피해율은 날로 증가하고 있는 실정이다.

이러한 웹 해킹은 기업활동에도 직접적 간접적 피해를 끼치고 있다. 우선 웹 해킹에 대한 공격이 일어나면 기업에 대한 이미지 실추 및 고객의 접속자 수 감소로 인한 직접적 피해가 발생되며 서비스에 대한 불신으로 인한 매출이 하락된다. 웹 해킹에 대한 주요 원인은 홈페이지가 보안에 취약하게 개발되었기 때문으로 개발 보안은 안전한 웹 사이트를 만드는 게 기본 대책 일 수 있겠지만 소요비용이 상당하다.

이에 따른 대책으로 웹 방화벽은 비용 효과적으로 홈페이지 해킹을 막을 수는 있다. 하지만 일반적인 홈페이지 해킹 기법을 막아 줄 수는 있지만 모든 해킹을 막아 줄 수는 없으므로 실시간 탐지 및 복구에 대한 적절하고 신속한 대응이 필요하다. 웹 사이트 변조 및 악성코드 배포 현황을 조기에 파악하여 신속한 차단 및 복구를 시도하여 기업 및 기관의 피해를 최소화하고 홈페이지에 대한 다양한 종류의 침해사고 유형을 고려 하여 인공지능 기법을 활용한 다양한 모니터링 서비스에 적극 참여 하는 것이 좋다.

인터넷이라는 환경은 알 수 없는 수많은 위협에 노출되어 있는 상태이다. 사용자들은 항상 보안제품에 대한 인식을 늘리고 인터넷 익스플로러 설정을 변경하는 등 인터넷 이용 시 각별한 주의를 기울여야 한다. 신뢰할 수 없는 웹사이트. 위험 사이트 차단, 액티브 스크립트 관련의 적용 해제 등 여러 대책이 있다. 또한 발표된 보안 패치 관련 정보도 숙지하여 철저히 대비하는 것이 좋다.

자칫하면 제 2의 인터넷 대란이 될 수 있는 웹 해킹 사례는 여전히 현재 진행형이며 국가적인 차원에서 보안조치에 만전을 다해야 할 것으로 보인다.

  

(용어정리)

Iframe : 하이퍼 텍스트 생성 언어(HTML) 문서에서 글 중의 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프래임(inline frame)태그.

Webshell : 웹 기반에서 동작하는 쉘 프로그램을 의미한다. 일반적으로 PHP, ASP, JSP 등과 같은 웹 스크립트 언어에서는 웹 서버에 콘솔 기반 명령어를 실행할 수 있는 함수나 문법을 지원하고 있는데 이런 기능을 이용하여 마치 웹에서 SSH Telnet을 사용하는 것처럼 쉘 프로그램을 만들어사용 할 수 있다.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



저번주에 블로그에 방문해 주신 OO님께서 PDF취약점 분석글을 보시고, USC2를 Hex값으로 변환하는 방법에 대해 문의하셨다.
우선 블로그 방문에 감사의 말씀을 드립니다 ㅎㅎ
별거없지만~ 그래도 변환방법을 하나씩 말씀드리겠습니다.

< 준비물>
- Malzilla : http://malzilla.sourceforge.net/downloads.html
- OllyDbg : http://www.ollydbg.de
- UltraEdit

1. 우선 파일을 UltraEdit로 오픈합니다.
파일을 오픈하면 다음과 같은 Script를 확인 할 수 있습니다.
var 부터 ~ (p); 까지 복사합니다.
(주의 : 마지막부분인 (p);에서 마지막 ) 까지 복사하면 Malzilla가 디코딩을 못해주니 주의하세요)

2. 복사 한 부분을 Malzilla의 Decoder 부분에 붙여넣기 합니다.
그다음 Run Script를 클릭 합니다.


3. Run Script를 클릭하면 eval에 대한 디코딩값을 2개로 나눠서 표시 됩니다. 
이 중 2번째를 더블클릭 합니다.


4. 그럼 Malzilla의 하단부분에 ShellCode로 판단되는 부분이 생겼습니다.
이 부분을 다시 복사합니다.

5. 복사 된 의심스러운 ShellCode를 Misc Decoders탭으로 이동 후 붙여넣습니다.
그 후 UCS2 to Hex 를 클릭합니다.

6. 이제 의심스러웠던 ShellCode가 Hex값으로 변환되었습니다.
이 부분을 다시 복사합니다.

7. 복사 된 Hex을 값을 Shellcode analyzer 탭으로 이동하여 붙여넣기 합니다.
붙여넣기 할 시에는 반드시 "Paste as hex" 로 우측버튼을 이용하세요.
경험 상 맨 하단에 URL주소로 의심스러운 부분이 있습니다.
그런데 정상적인 주소가 아니네요~ 따라서 복호화를 위한 암호키가 있어 보이네요!!

다시 6번으로 이동합니다.
이 Hex값을 가지고 복호화키를 찾아야 합니다.

Hex값을 Olludbg를 이용하여 돌려보겠습니다.
그럼 XOR을 21로 변환하고 밑에 LOOPD 가 있는것으로 보아 21이 암호키인듯 합니다.

(이 방법은 제가 쓰는 방법이고, FileInsigt나 Hexplorer를 이용하여도 무방합니다)

8. 그럼 21을 XOR에 넣고 밑에 XOR버튼을 클릭 합니다.
그럼 Hex값이 변경되었네요. 변경 된 Hex를 다시 복사합니다.


9. 마찬가지로 Shellcode analyzer 탭으로 이동하여 Paste as hex로 붙어넣습니다.
그럼 다음과 같은 주소가 보이네요^^ 빙고!!

최대한 간단하게 설명을 하였습니다.
이렇게 몇개의 Tool만 사용하면 쉽게 디코딩 할 수 있습니다.
하지만, 디코딩을 이용해서 URL만 확인한다고 하여 취약점을 분석하였다. 라고 할 순 없겠죠^^?
URL에서 멈추지 말고~ 이런 취약점이 어떻게 동작하고 어떠한 부분을 이용하여 이 URL이 작동 할까?
머 이런 생각을 한번씩이라도 해보시는게 좋을 듯 합니다^^

차후 궁금한 점이 있으시면 리플로 달아주시고^-^
앞으로 궁금한점에 대해서는 [강좌]의 이름을 달고 조금씩이나마 풀어 보도록 하겠습니다.
블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





정보보호 21C 연재되었던 내용이다.
내가 쓴건 아니고, 팀내 심대리님이 작성한 내용이다.

Waledac, 사회공학 기법 이용해 배포, 실행유도

Waledac은 2008년 말부터 주로 사회적 이슈를 이용한 사회공학 기법(사람의 심리를 이용하는)으로 배포하고 실행을 유도하거나 다른 프로그램 등으로 위장하여 배포를 하고 있으며 지금도 계속 배포하고 있다. 크리스마스, 미국 대통령선거, 테러 뉴스, 밸런타인데이 및 최근에는 타인의 SMS(문자메시지)를 훔쳐 볼 수 있다는 프로그램으로 위장했다.


외국 유명 언론사를 사칭하여 테러뉴스를 가장한 페이지에 Geo IP를 사용하여 자신이 위치한 지역의 이름을 붙여서 사용자 주변에서 테러가 발생한 것처럼 보이게 하는 노력(?)을 보이기도 했다.

다행히 배포되는 도메인은 지속적으로 ISP에서 차단하고 있지만 새로운 배포 도메인은 차단까지의 타이밍이 있으므로 주의해야 한다.

악성코드는 몇 가지 Exception을 발생시키는 방법으로 자신을 보호하고 있으며, 그 예는 그림 2와 같다.

마지막으로 많이 알려진 UPX로 한 번 더 실행압축 되어있다.

Waledac의 주 역할은 악성bot으로 원격 서버에 접속하여 공격자의 명령에 따라 행동하고 감염된 PC에서 수집한 E-mail주소에 스팸 메일을 발송한다. 또 Dos공격을 할 수 있으며 네트워크를 감시하고 있다가 인증(Authorization)이 성공하는 ID와 비밀번호를 저장한다.


① e-mail 수집

감염 PC에서 e메일 주소 수집을 위해 디스크(하드디스크와 이동식디스크)의 모든 파일을 대상으로 내부에 @가 포함된 문자열을 찾는다. 이렇게 수집된 e메일 주소는 공격자가 스팸 메일 발송에 이용한다. avi, mov, wmv, mp3, wave, wav, wma, ogg, vob, jpg, jpeg, gif, bmp, exe, dll, ocx, class, msi, zip, 7z, rar, hwx, hxh, hxn, hxd 등의 확장자를 가진 파일은 찾는 대상에서 제외한다.

② 자동실행을 위한 레지스트리 생성

재부팅 될 때 자동으로 실행되게 하기 위해 레지스트리를 생성한다.

또 자신이 사용할 데이터를 알아 볼 수 없게 암호화 하여 저장한다.

Waledac이 생성하는 레지스트리는 다음과 같다.

③ Sniffing을 통한 개인정보 유출

네트워크 감시를 위해 wpcap.dll에서 필요한 함수를 불러오며 사용되는 함수는 그림 3과 같다. 네트워크 감시 중 패킷에서 USER, PASS, CONNECT, Authorization, Basic, AUTH PLAIN 등과 같은 문자열을 감시하고 있다가 수집한다. 수집한 패킷은 “protocol://USER:

PASS@IPAddr:Port와 같은 형식으로 저장된다.

④ Bot서버에 접속과 악성Bot으로 활동

일정한 주기로 다수의 IP에 접속을 시도한다. 아래와 같이 200 여개의 주소에 접속을 시도한다.

공격자 서버와의 통신은 BASE64와 AES알고리즘을 사용하여 암호화되어 이루어진다.

원격 서버에 접속되면 공격자는 아래의 명령어를 수행할 수 있다. 명령어는 XML형식이며 lm으로 시작한다.

명령어를 확인해보면 스팸 메일발송과, dos공격, 다른 악성코드를 다운로드 하는 것을 알 수 있다. 공격자가 내릴 수 있는 주요 명령어는 아래와 같다.

탐지 및 제거

실행되면 자신을 보호하여 치료가 어려운 악성코드는 아니지만 백그라운드로 작동하기 때문에 일반 사용자의 경우 백신으로 검사를 하거나 Sysinternals의 Autoruns와 같은 프로그램으로 확인하지 않으면 감염 여부를 판단하기는 쉽지 않다.

Waledac은 기존 Storm-worm(또는 Zhelatin, peecomm)과 비슷한 방법을 사용하고 행동한다. Waledac에 감염될 경우 공격자의 좀비(Bot)가 되어 감염 PC에 저장되어 있던 E메일 주소에 대량의 스펨메일을 발송하거나 원격지에 서비스 거부 공격(dos)을 한다. 물론 위와 같은 일이 일어나도 감염PC의 일반 사용자는 인터넷이 평소보다 느려졌나 하는 정도 밖에는 알기 힘들다.

이와 같이 사회적 이슈를 악용하는 악성코드는 증가 할 것으로 사용자 스스로 주의해야 하며 사용자는 인터넷에서 다운로드한 파일(특히 크랙파일 주의)과 E메일의 첨부파일은 번거로워도 무조건 백신으로 검사를 하고 실행해야 한다.


사용자들의 노력으로 악성코드 피해 줄일 수 있어

인터넷에서 사용하는 계정은 당연히 ID와 패스워드를 모두 같게 해서도 안 되며 PC방과 같이 여러 사람이 공용으로 사용하는 PC에서는 E-메일 확인이나 특정 사이트 로그인등 개인의 정보가 담긴 작업은 최대한 피해야 한다.

또한 출처가 분명하지 않은 메일이나 이슈가 되는 키워드 검색 결과는 항상 조심해야 한다. 백신 프로그램의 설치와 실시간 감시를 켜두는 것도 중요하다.

새로운 악성코드나 악성코드와 관련한 문제점은 언제든 알약의 ‘신고하기’ 기능을 이용하면 되며 가장 많은 일반 사용자 PC에 설치되어 있으므로 Bot이나 Worm 같이 네트워크를 이용하는 악성코드의 피해를 줄이는데 모두가 도움을 주고받을 수 있다.

<글 : 심기범 이스트소프트 알툴즈사업본부 DB분석팀 대리(skb1@estsoft.com)>

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.

정보보호 21C에 전달 된 문서내용이다.
그런데 오늘아침 기사화로 나간 것을 확인하였다;;
왜 이게 기사화가 되었을꼬 ㅜ.ㅜ 챙피하게 ㅋㅋ
총 3부로 연재 되었으며, 현재 1,2회가 나온 상태며 8월 초에 3회가 나온다.


기사화 된 김에 원본으로 쉽게 볼 수 있도록 업로드 하였다.

 인터넷의 발달로 인하여 많은 인스턴트 메신저(Instant Messenger, 이하 메신저로 통칭)들이 등장하였고, IT강국이라 불리는 대한민국은 메신저의 집합소라 불릴 만큼 다양한 메신저을 사용하고 있다. 현재 메신저의 주기능으로 사용되는 메시지전송과 파일전송을 악용한 악성코드가 확산 중이며, 국내 메신저와 온라인게임 환경에 맞추어진 국지성을 가진 악성코드이다.

지금도 수많은 변종을 일으키고 있어 메신저 사용자들의 각별한 주의가 필요하다.

 

메신저 악성코드의 초기단계에서는 사용자의 손에 의해 악성파일이 상대방에게 전달되거나 메신저의 아이디와 패스워드를 가로채어 제작자가 직접 악성파일을 보내었지만, 근래에 와서는 메신저의 쪽지보내기기능을 통해 악성파일을 다운로드하고 실행되는 추세이다.

 

1. 전파방법

- 국내 메신저를 통한 전파

메신저의 쪽지보내기기능을 이용하여 친구목록 리스트에 악성파일의 URL과 약간의 문구가 담긴 내용의 쪽지를 보내게 된다. 타인으로의 쪽지가 아닌 신뢰할 수 있는 지인으로부터 전달되기 때문에 사용자는 큰 의심하지 않고 클릭 하게 된다.


(그림 1. 국내메신저(네이트온)으로 전파되는 쪽지내용)


(그림 2. 국내메신저(버디버디)으로 전파되는 쪽지내용)

 

전파된 쪽지의 내용은 사용자의 궁금증을 유발시키는 문구로 되어있으며 URL의 중간부분을 ASCII Code로 변환하여 Full URL을 확인하지 못하게 한다.

클릭 된 URL Redirection을 통하여 악성파일 유포지로 이동되어 사용자에게 다운로드를 하도록유도한다.


 (그림 3. 쪽지의 URL에 접속 되면 악성파일이 존재하는 사이트로 Redirection 시킨다.)

 

(그림 4. Redirection을 통해 사용자에게 악성파일을 다운로드 하도록 한다.)

다운로드 된 파일이 실행되면 악성파일은 여러 유형의 그림으로 사용자의 시선을 끌며 자신을 몰래 실행한다. 예전에는 여러 사물들을 이용한 그림을 사용하였지만, 최근은 여성의 그림들이 사용되고 있다.

 

 

(그림 5. 악성파일 실행 시 사용자에게 보여지는 그림들)

 

메신저 사용자가 쪽지를 통해 악성코드에 감염되는 경로는 그림과 같이 요약된다.


(그림 6. 메신저 사용자가 감염되는 경로)

 

- 이동식 디스크를 이용한 전파

윈도우에서 CD-ROM장치에 CD를 넣거나 이동식디스크를 USB포트에 연결할 시 자동실행기능이 동작한다. 사용자에게 편리함을 위해 만들어진 자동실행기능이 악용되고 있다.

대표적인 이동식 디스크인 USB(Universal Serial Bus)에 자동실행기능을 이용하기 위해 Autorun.inf PhysicalDrive2.com 파일을 생성시킨다. 악성파일은 CD-ROM을 제외한 모든 물리디스크(이동식디스크, 하드디스크)에 파일을 복사함으로써 악성코드 재발생의 가장 큰 원인이 된다.


(그림 7. PhysicalDrive2.com파일을 자동실행하기 위한 Autorun.inf 내용)

 자동실행 동작 후에는 MountPoints2이하 레지스트리에 드라이브의 자동실행 정보가 담겨지며, “Auto”라는 문구가 마우스 우측메뉴에 포함되어 감염된 이동식디스크가 치료 되었더라도 현재 감염 되어있는 물리디스크 접속 시 재감염이 될 수 있다.


(그림 8. 감염된 드라이브의 마우스 우측버튼 메뉴의 변화 감염디스크(), 정상디스크())

 

<참고사항>

MicroSoft Windows7에는 자동실행을 악용한 악성코드의 전파를 조금이나마 줄이기 위해 USB디스크에 한하여 자동실행 옵션을 해제시켰다. 모든 자동실행이 중지 된 것은 아니며 CD/DVD-ROM은 기존의 자동실행이 동작한다.


(그림 9. Windows7에서의 USB디스크 자동실행 팝업창)

 

2. 악성코드의 행동

- 특정 메신저 접속 시 아이디와 패스워드 전송

메신저 로그인을 위해 사용자가 입력한 아이디와 패스워드를 가로채기 위해서 메신저에 관련된 파일코드를 수정한다. 전송된 개인정보는 메신저 피싱으로 2차적인 위협에 사용 될 수 있다.


(그림 10. 악성파일이 메신저 관련 CKAppEx.dll파일의 코드를 수정하여 아이디와 패스워드를 보내는 일부분)

 

입력 된 아이디와 패스워드는 특정 URL name pass라는 Argument값을 가지고 GET방식을 통하여 전송된다. 화면에 보이는 Admin 1111은 예시로 입력 한 값이다.


(그림 11. http://www.denggere.com/7890/see.asp?msg=값에 name: “admin” pass:”1111”을 전송)

 

- 윈도우 보안서비스 및 보안프로그램 서비스 중지

윈도우 보안관련 서비스를 중지시킴으로써 악성파일이 원활히 동작 할 수 있도록 수정한다.

또한 특정 백신의 서비스를 중지시켜 자신의 파일을 보호 할 수 있도록 한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc(윈도우 보안센터 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sharedAccess(윈도우 방화벽 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc(윈도우 방화벽 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend(Windefend 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice(시스템 복원 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npkcmsvc(nProtect KeyCrypt Manager 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALYac_PZSrv(알약 서비스)

 

- 보안프로그램 삭제

다음 경로로 설치되는 국내 보안업체 프로그램들에 대하여 폴더를 제외하고 모든 파일을 삭제하려고 시도한다.

Program Files\AhnLab\ASP

Program Files\Virus Chaser

Program Files\KT

Program Files\HAURI

Program Files\ESTsoft\ALYac

Program Files\AhnLab

Program Files\Kaspersky Lab

Program Files\Geot

Program Files\Naver\NaverPCGreen

Program Files\Symantec AntiVirus

Program Files\Norton

Program Files\Symantec

Program Files\Common Files\Symantec Shared

Program Files\Alwil Software

Program Files\Eset

Program Files\NoAD2

Program Files\Digitalonnet

Program Files\PcdrAntiVirus

Program Files\PCClearPlus

Program Files\PC-Clean

Program Files\PC-CleanV

Program Files\INCAInternet

Program Files\PCFree

Program Files\SpyDoctorPlus

Program Files\TC-Hacking

Program Files\ViScanPro

Program Files\anticlean

Program Files\PatchUp_Plus

 

- 호스트 파일을 이용한 보안업체 홈페이지 접속 방해

%SYSTEM%\drivers\etc\hosts 파일을 수정하여 보안업체에 접속 하지 못하도록 한다.

(%SYSTEM% 은 일반적으로 c:\windows\system32를 뜻한다)


(그림 12. Hosts파일에 수정되는 사이트목록)

 

- 사용자의 정보를 가로채는 키로깅

개인정보를 가져가기 위한 키로거 활동을 하며, 사용자가 입력 된 키값을 특정파일을 생성하여 저장한다. 확장자는 다르지만 모두 TXT(텍스트) 파일이다.

%APPDATA%\Microsoft\SystemCertificates\tmg.e1sex

%APPDATA%\Microsoft\SystemCertificates\v9.e1sex2y

%APPDATA%\Microsoft\SystemCertificates\ico.fg2sex

(%APPDATA% 은 일반적으로 C:\Documents and Settings\user name\Application Data를 뜻한다)


(그림 13. 악성파일이 키로깅을 통해 수집 된 사용자 키값의 일부분)

 

사용자의 키값이 저장되어 있는 파일은 ASCII Code로 변환되어 악성코드 제작자에게 전달 되며

ASCII Code를 변환시켜 해당 내용을 확인 할 수 있다.

(그림 14. 암호화 된 파일을 디코딩 한 특정파일의 내용)

 

- 숨겨져 있는 자신의 프로세스를 보호하기 위한 안전모드 삭제 및 레지스트리 삭제

일반모드에서는 사용자가 숨겨진 자신의 프로세스를 확인 및 종료 하기 어렵다. 따라서 악성파일이 동작하기 어려운 안전모드 관련 레지스트리를 삭제하여 손상된 시스템이 안전모드로 시작하는 것을 막는다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run (하위값만 삭제)

 

(그림 15. SafeBoot 레지스트리를 삭제하여 안전모드 진입 시 0x0000007B오류의 블루스크린이 발생한다.)

 

3. 메신저 악성코드의 예방방법

국내 메신저사용자의 수는 점점 증가할 것이며, 메신저를 악용하여 악성코드를 전파하는 방식도 점차 발전되어 다양해 질 것으로 예상된다. 메신저로 전파되는 악성코드는 사용자의 온라인게임과 인터넷에 접속 시 사용되는 개인정보를 가로채는 것이 목적이므로 메신저를 사용하는 사용자에게 다음과 같은 사항을 권고한다.

- 보안프로그램의 업데이트를 최신버전으로 유지

- 보안프로그램의 실시간 감시는 1차적인 방어막이 되므로 항상 활성화

- 친구목록의 계정으로 악성코드 URL이 포함되어 쪽지가 오는 경우에는 즉시 쪽지를 보내온 사용자에게 메신저 사용을 중지시키고 최신버전의 보안제품으로 검사 후 메신저의 비밀번호를 변경하도록 조치

 

(용어설명)

- ASCII Code(American Standard Code for Information Interchange) : 영문 알파벳을 사용하는 대표적인 문자 인코딩

- Redirection : 사이트의 주소를 변경하여 강제적으로 접속시키는 방법

- GET방식 : 전송 될 데이터가 HTTP헤더에 연결되어 전송되는 방법

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



샘플이 손에 들어와서 한번 분석을 해보까 했는데, 첨부터 짜증이;;
암튼 하나씩 풀어봐야겠다.

파일을 까보면, 대충 이런 형식으로 되어있다.

자세한 PDF Stram Object에 대해서는 링크로 대체하니, 참고 할 분들은 참고 하시길
http://blog.didierstevens.com/2008/05/19/pdf-stream-objects/

더보기


실제 pdf 동작시 이 스크립트가 실행하기 위해서는 너무 많은 시간이 걸릴 것 같아서 패스~
중요한건 파일을 다운로드 하는 주소를 알아오는 것에 목적을 두자 ㅋ

자 위의 내용들을 디코딩 하면 다음과 같은 USCII 스트링으로 변환할 수 있다.
빨간박스 내용은 실제 동작시킬 스크립트이며, 파란박스의 내용은 Printf를 이용하여 오버플로우를 발생 시키는 코드이다.

Printf 오버플로우에 대한 Expoit코드는 다음 링크를 참조하시길...
http://www.milw0rm.com/exploits/7006

더보기


USCII 스트링을 HEX값으로 변환 시, 다음 주소를 얻을 수 있다.
(주소를 수정하지 않으니, 다운로드 하는 분들은 주의하시기 바람 ㅋㅋ 아직 먼지 모름 ㅋㅋ)


다음 주소는 load.exe를 다운로드 시키는 것을 확인 하였다.


아직 파일에 대한 분석은 되지 않았으며, 탐지하는 백신이 그리 많지 않다.

더보기


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.