국내 변조 된 홈페이지를 통해 설치되는 악성코드(midisappe.dll, VSLay.dll, ahnsvr.sys, ntfsny.sys)

이번주도 역시나 개밥 털어가듯 사용자 정보를 털어가는 주말이 되었다.
먼가 대책을 마련해야 할텐데~ 맨날 소 잃고 외양간 고치는 격이니~ 참 답답스럽다;;

암튼 주말을 이용한 악성코드 중 재미있는 내용이 확인되어 잠시 블로그에 옮긴다.

보통 변조 된 사이트에서 악성코드를 사용자들이 감염되기 쉽게 실행되기 위해 EXE(실행파일) 확장자를 많이 이용한다.
하지만 이번에 내려받는 파일은 확장자는 exe 이지만 실제로는 dll 파일로써 쉘코드에 의해 로드되어 또 다른 파일을 설치한다.

많이 이용되고 있는 IE취약점, Adobe Flash 취약점이 지속적으로 이용되고 있으니, 보안 업데이트 및 소프트웨어 업데이트 합시다!!
(업데이트 안하는 씨빠빠들아~ 엉아가 밑에 링크 남겨놨다. 제발 업데이트 좀 해라!!)

- Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash

- Microsoft Update : http://update.microsoft.com 

자 그럼 어떤 원리로 그렇게 되는지 알아봅시다요~ 
우선 변조 된 사이트에서 사용자에게 감염 시키는 경로에는 역시 취약점을 빠질 수 없다.

위와 같은 취약점으로 이용하여 변조사이트에서 다음과 같은 파일들이 다운로드 될 수 있다.

- 악성 스크립트 파일 및 Flash 파일
hxxp://jt*.**/s/top.js

hxxp://jt*.**/s/head.html

hxxp://jt*.**/s/head.swf

hxxp://jt*.**/s/foot.html

hxxp://jt*.**/s/foot.swf

hxxp://jt*.**/s/top.swf

hxxp://jt*.**/s/hhh.html

hxxp://jt*.**/s/f3.html

hxxp://jt*.**/s/main.swf

hxxp://jt*.**/s/c.swf

- 최종 다운로드 파일
hxxp://jt*.**/s/h.exe

최종적으로 다운로드 h.exe 파일을 살펴보니 이상하게 암호화가 되어 있는 것을 알 수 있다.
말만릿만마만만튐...ㅡㅡa 어쩌라는거냐!!

다운로드 된 파일이 저따구로 암호화가 되어있으니~ 악성 스크립트 쪽의 쉘코드에서 뻘짓을 하는 것이 분명해 보인다.
그렇다면 저 많은 스크립트 파일 중에서 아무거나 하나 골라잡자!! 
(사진상에는 코드가 많이 생략되어 있습니다요!!)

위의 쉘코드를 보면 머 대충 알분들은 알겠지만~ 난독화가 쬐~~금 되어 있지만 이정돈 우리의 말질라님께서 쉽게 풀어줄 것이다.
(쉘코드를 분석하는 방법은 "쉘코드(ShellCode)를 OllyDbg로 쉽게 디버깅 해보자" 요기에서 확인하시길^^)


쉘코드를 뽑아냈으면 이제 분석을 시작하자!!
아래의 그림은 쉘코드 분석의 초입부분이다. LOOP명령에 따라 792번의 XOR 작업이 끝나면 화면의 보라색과 같이 새로운 코드가
작성된다. 그럼 저 노란색으로 된 부분을 자알~ 따라가보자!!

쉘코드를 따라 가다 보니~
C:\Documents and Settings\[사용자]\Local Settings\Temp 폴더의 경로를 얻어 VSLay.dll 파일이 있으면 삭제 시킨다.
파일이 있건 없건 간에 삭제한다. 자신의 파일을 새롭게 생성하기 위해 준비작업인 것이다.
파일삭제 명령이 종료 되면,  아래의 작업등을 행한다.

- 감염자 PC의 레지스트리를 확인 하여 아래의 내용이 있는지 체크한다. 

SOFTWARE\\AhnLab\\V3Lite

SOFTWARE\\AhnLab\\V3 365 Clinic

SOFTWARE\\NHNCorporation\\NaverVaccine

SOFTWARE\\ESTsoft\\ALYac

- 레지스트리에서 체크가 되면 아래의 서비스를 종료한다.

ntsd -c q -pn V3LTray.exe

ntsd -c q -pn NVCAgent.npc

ntsd -c q -pn Nsavsvc.npc

ntsd -c q -pn AYAgent.aye

ntsd -c q -pn ALYac.aye 

그리고 쉘코드에 하드코딩되어 있는 hxxp://jt*.**/s/h.exe 파일을 VSLay.dll 의 이름으로 다운로드 한다.

다운로드 된 VSLay.dll 파일은 살펴보니 아직까지도 정상적인 PE파일이 아니다.
그래서 쉘코드를 더 따라가 보았더니 VSLay.dll 파일의 시작주소를 잡고 ADD 0x24 와 XOR 0xDC 를 하는것이 확인 되었다.

모든 작업을 마치니~ 짜잔!! 정상적인 PE파일의 구조로 보여진다^^

쉘코드는 마지막으로 정상적인 PE파일로 복구 된 VSLay.dll 를 LoadLibrary 시킨다.

이제부터가 실제 악성파일이 설치되는 부분이다. 
VSLay.dll 파일이 로드시킴으로써 여러가지 파일들이 생성된다.
(절대 내가 귀찮아서가 아님 ㅡ.ㅡ;; 시간이 없어서 그냥 생성 된 파일만 알려드리며, 빠진 내용이 많을 수 있음 ㅠ.ㅠ)

- 사용자 PC에 생성되는 악성파일

C:\WINDOWS\midisappe.dll

C:\WINDOWS\ver.dat

C:\WINDOWS\wallball.dat

C:\WINDOWS\windowswalls.bmp

C:\WINDOWS\system32\midisappe.dll

C:\WINDOWS\system32\drivers\ahnsvr.sys

C:\WINDOWS\system32\drivers\ntfsny.sys

C:\WINDOWS\Tasks\ahnsvr.dat

C:\WINDOWS\Tasks\ntfsny.dat

C:\WINDOWS\Tasks\midisappe.dat

- 사용자 PC에 생성되는 레지스트리

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnsvr

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntfsny

-  감시 대상 사이트(접속 시 아이디와 패스워드를 가로챈다)

http://df.nexon.com

http://www.nexon.com

http://elsword.nexon.com

http://heroes.nexon.com

http://www.netmarble.net

http://aion.plaync.co.kr

http://tera.hangame.com

http://www.hangame.com

http://fifaonline.pmang.com

http://www.pmang.com

http://poker.hangame.com

http://poker.hangame.com/poker7.nhn

http://elsword.nexon.com/main/index.aspx

- 감시 대상 프로세스(접속 시 아이디와 패스워드를 가로챈다)

MapleStory.exe

DNF.exe

lin.bin

iexplore.exe 

현재 알약에서는 다음과 같이 탐지 중이니~ DB업데이트 및 실시간을 항상 On으로 켜두시길 바란다.
(가장 위에 짤방 보이지요? 개밥 털리고 후회말고 미리미리 준비합시다!!)