노벨평화상 초청장을 가장한 이메일에 첨부 된 PDF 분석

G20 정상회담때문에 별것도 아닌 악성코드들이 주목받고 있다.

조심해서 나쁜건 없지만, 오버하진 말자!!

본론으로 들어가자 ㅋㅋ

- 관련내용 

알약(ALYac), 노벨평화상 초청장을 가장한 이메일 주의 : http://kjcc2.tistory.com/830

11월 7일 외국 보안블로그인 "contagiodump.blogspot.com" 에 노벨평화상 초정장을 가장한 스팸메일이 발견되었다.

스팸메일에는 CVE-2010-2883 취약점을 이용한 PDF 파일이 첨부 되어 있다.

해당 invitation.pdf 파일을 실행시키면, 오버플로우가 발생되어 PDF 속 쉘코드를 실행한다.

쉘코드는 PC에 svchost.exe 파일을 생성시킨 후 실행한다.

- 파일생성

C:\Documents and Settings\kjcc\Local Settings\Temp\svchost.exe (드롭퍼 - V.DRP.Agent.57344)

C:\Documents and Settings\kjcc\Local Settings\Temp\invitation.pdf (정상파일)

C:\WINDOWS\midimap.dll (백도어 - V.BKD.Agent.32768)

바탕화면\iso88591 (쉘코드)

- 악성행위

midimap.dll에 의해 phile.****.org(117.65.**.237)에 접속하여 봇의 역할을 수행한다.

파일 목록, 파일 생성, 파일 삭제, 디렉생성, 레지스트리 생성, 파일 실행 등의 행위를 할 수 있다.

모든 파일이 실행되면 정상적인 PDF를 사용자에게 보여준다.

이 악성코드를 분석하다 보니, 재미있는 사실을 확인했다.

분명 생성되는 레지스트리가 없는것이다~ 이게 일회용 악성코드인가;; 하는 생각도 했었다.

하지만 그게 아니였다.

설명을 하자면, 최종적으로 떨어지는 악성코드는 C:\WINDOWS\midimap.dll 이다.

midimap.dll은 윈도우즈 정상파일과 파일명이 동일하다. 정상파일은 C:\WINDOWS\system32 에 존재한다.

정상적인 midimap.dll은 Winlogon.exe 와 explorer.exe에 인젝션되어 동작한다.

또한 정상적인 midimap.dll은 다음과 같은 레지스트리를 통해 부팅 시 자동실행 된다.

여기서 악성코드 제작자의 의도를 알 수 있었다.

다음과 같이 레지스트리가 존재하면, 

OS는 midimap.dll 이라는 파일을 "Windows 폴더 -> System32 폴더" 순으로 파일을 찾아 실행시킨다.

그래서 정상적인 파일명과 동일하게 midimap.dll을 Windows 폴더에 생성하여 별다른 레지스트리를 생성하지 않은것이다.

차후 정상적인 midimap.dll도 악성 midimap.dll이 LoadLibrary를 이용하여 로드시킴으로써 악성과 정상파일이 동시에 실행되는 희귀한 상태가 된다;;

바로 이런상태 ㅡㅡㅋ

결론적으로 악성코드는 부팅 시 지속적으로 실행된다 ㅎㅎ

이런 방법이 언제부터 사용되었는지는 모르겠으나 직접적으로 본것이 처음이라서;; 조금 재미있던 악성코드였다.