본문 바로가기

벌새::Analysis

원격 데스크톱 연결 파일(mstsc.exe)을 패치하는 악성코드 유포 주의 (2012.3.1)

반응형
최근 국내 웹 사이트 변조를 통해 취약점을 가진 시스템을 이용하여 접속시 자동으로 감염을 유도하는 악성코드 중에 원격 데스크톱 연결 파일(mstsc.exe)을 패치하는 사례가 확인되고 있으므로 주의가 요구됩니다.

해당 악성코드 유포 방식은 사용자가 변조된 웹 사이트 접속 과정에서 Internet Explorer, Windows Media Player MIDI, Adobe Flash Player, Oracle JRE 취약점에 대한 보안 패치가 이루어지지 않은 경우 자동으로 감염되는 것으로 확인되고 있습니다.

파일명 보안 제품 진단명
txt.html AhnLab V3                   JS/Agent
ff.html avast! JS:CVE-2010 -0806-EA [Expl]
K.Js avast! JS:ShellCode-HI [Expl]
bb.swf AhnLab V3 SWF/Cve-2011-2140
ee.jpg AhnLab V3         Exploit/Cve-2011-2140
i.html nProtect Exploit.CVE-2012-0003.A
exp.mid AhnLab V3 Exploit/Cve-2012-0003
Gondad.jpg Hauri ViRobot JAVA.S.CVE-2011-3544.2094

유포 사이트에 접속할 경우 다양한 취약점을 이용하는 악성 스크립트를 통해 암호화된 최종 파일(tt.exe)이 다운로드되며, 해당 파일은 XOR을 통한 실행 파일(MD5 : b1967be4a45743b531c55280fa94e3ea)에 대해 AhnLab V3 보안 제품에서는 Win-Trojan/Downloader.74240.AC (VirusTotal : 23/43) 진단명으로 진단되고 있습니다.

테스트 과정에서는 변조된 웹 사이트 접속을 통해 감염되는 과정에서 20120224.jpg 파일을 통해 추가적인 다운로드가 진행되어야 하는데 정상적으로 추가 감염이 이루어지지 않고 있으며, 분석을 목적으로 수동 감염을 이용하여 확인을 하였습니다.

  MIDI 취약점을 이용한 정보 탈취 악성코드 유포 주의 (2012.1.27)

참고로 해당 악성코드는 기존의 MIDI 취약점을 이용한 온라인 게임 관련 악성코드와 유사성을 가지면서 한 단계 진화를 한 것으로 보이므로 참고하시기 바랍니다.

우선 감염 과정을 간략하게 살펴보면 시스템 폴더에 com32.sys, com32.dll 파일을 생성한 후 rundll32.exe 프로세스에 다음과 같이 com32.dll 파일을 추가합니다.

rundll32.exe(Run a DLL As an App) 프로세스를 생성하여 커맨드 라인에 "C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\com32.dll GetInterface" 명령어를 추가하여 다음과 같은 추가적인 다운로드를 시도합니다.
  • h**p://pay.*****chongzhi.com/20120224.jpg
  • h**p://pay.*****chongzhi.com/20120224.exe (MD5 : 6ddadf51d1e168bd7edbd550aa179b36) - AhnLab V3 : Win-Trojan/Agent.98816.GN (VirusTotal : 13/43)
  • h**p://pay.*****chongzhi.com/cia.exe (MD5 : 945601d6e825825c2bd076dc712c836f) - AhnLab V3 : Win-Trojan/Avkiller.101376.C (VirusTotal : 20/43)

추가적으로 다운로드 된 파일 중 20120224.exe 파일은 시스템 폴더에 d3dimmx.dll 파일을 생성하며, imm32.dll 시스템 파일(Windows XP IMM32 API Client DLL)의 이름을 변경한 후 패치를 시도합니다.

또한 cia.exe 파일은 자기 자신을 시스템 폴더에 WindowsVideo.exe 파일로 자가 복제를 하며, 시스템 폴더에 dotply.dll 파일 생성 및 원격 데스크톱 연결 파일인 mstsc.exe 파일을 변조하는 동작을 합니다.

 

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\drivers\com32.sys
 - MD5 : a6cc30f5ba93a36512c1dd9f6ad3f247
 - AhnLab V3 : Win-Trojan/Rootkit.26223360 (VirusTotal : 7/43)

C:\WINDOWS\system32\com32.dll
 - MD5 : dbcf77b879f44753764938a074e903ff
 - Hauri ViRobot : Trojan.Win32.PSWIGames.31518720 (VirusTotal : 15/43)

C:\WINDOWS\system32\d3dimmx.dll
 - MD5 : 8ecd89673c6e0efcbd69475b6f2a7553
 - Symantec : Trojan.Gampass.D (VirusTotal : 12/43)

C:\WINDOWS\system32\dotply.dll
 - MD5 : e1706ac93ab5666d5465c1e1d5fbaa81
 - AhnLab V3 : Win-Trojan/Agent.102400.ADT (VirusTotal : 3/43)

C:\WINDOWS\system32\imm32.dll :: 변경 전/후 파일 크기 - 110,080 Bytes
 - MD5 : 04112808729df25d9a6ca55ad1c7d94d

C:\WINDOWS\system32\mstsc.exe :: 변경 전 파일 크기 - 677,888 Bytes / 변경 후 파일 크기 - 678,916 Bytes
 - MD5 : 916746459a54c63ad0525e5ac4513fa2
 - AhnLab V3 : Win-Trojan/Patched.DT (VirusTotal : 19/43)

C:\WINDOWS\system32\tURPV.tmp :: imm32.dll 백업 파일(정상 파일)
 - MD5 : 7dc8a392c09ddf8c8fb1aa007d19d98b
※ 해당 파일은 Random 형태의 파일명을 가지며, 시스템 재부팅 후 삭제 처리됩니다.

C:\WINDOWS\system32\VersionKey.ini

C:\WINDOWS\system32\WindowsVideo.exe
 - MD5 : 945601d6e825825c2bd076dc712c836f
 - AhnLab V3 : Win-Trojan/Avkiller.101376.C (VirusTotal : 20/43)

C:\WINDOWS\system32\drivers\com32.sys / C:\WINDOWS\system32\com32.dll

이전 유포에서 사용되던 파일명인 com32.sys(25MB), com32.dll(30MB) 파일은 비정상적인 파일 크기를 가지고 있는 것이 특징입니다.

  <ASEC Blog> MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 (2012.1.27)

com32.sys 악성 드라이버 파일은 Com32 이름으로 등록되어 시스템 시작시 자동으로 실행되며, com32.sys, com32.dll 파일을 보호할 목적으로 iexplore.exe, explorer.exe, rundll32.exe 프로세스를 제외한 다른 프로세스의 접근을 방해하는 것으로 알려져 있습니다.

또한 \FileSystem\Ntfs 디바이스의 IRP_MJ_CREATE 주소를 후킹한 주소로 변경하는 방법을 이용하고 있습니다.

이를 통해 rundll32.exe 프로세스에 com32.dll 파일을 로딩하여 추가적인 다운로드를 진행하며 다음과 같은 파일 생성 및 시스템 파일 패치(변조)가 이루어집니다.

1. 20120224.exe 파일 생성 정보

C:\WINDOWS\system32\d3dimmx.dll

해당 파일은 시스템 폴더에 Direct3D 9 Extensions 파일로 위장한 d3dimmx.dll 파일을 생성하며, 비정상적으로 큰 파일 크기를 가지고 있는 것이 특징입니다.

C:\WINDOWS\system32\imm32.dll

d3dimmx.dll 파일은 시스템 시작시 패치된 imm32.dll 시스템 파일을 통해 로딩되는 방식으로 동작을 합니다.

imm32.dll 시스템 파일의 경우에는 "C:\WINDOWS\system32\tURPV.tmp" 파일로 백업을 한 후 패치가 이루어지며, 감염된 상태에서 시스템 재부팅을 할 경우 imm32.dll 백업 파일은 삭제 처리가 됩니다.

2. cia.exe 파일 생성 정보

다운로드된 cia.exe 파일은 "C:\WINDOWS\system32\WindowsVideo.exe" 파일로 자가 복제를 하며, 해당 파일은 서비스에 "Windows Video" 항목을 추가하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.

이를 통해 시스템 시작시마다 캐나다(Canada)에 위치한 특정 서버에 쿼리를 전송하는 동작을 확인할 수 있으며, "C:\WINDOWS\system32\dotply.dll" 파일을 매번 삭제 및 재생성합니다.

  1. 알약(ALYac) : AYRTSrv.aye, ALYac.aye, AYServiceNT.aye
  2. AhnLab V3 : v3light.exe, v3lsvc.exe, v3ltray.exe
  3. 네이버 백신(Naver Vaccine) : NVCAgent.npc, nsvmon.npc, Nsavsvc.npc

또한 국내 3개 백신 제품에 대한 모니터링을 통해 백신 무력화 기능이 포함되어 있으므로, 감염된 환경에서는 시스템 시작시마다 백신이 종료되는 문제가 발생할 것으로 보입니다.

생성된 dotply.dll 파일은 시스템 시작시 rundll32.exe 프로세스에 "C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\dotply.dll Start" 명령어로 추가되어 자동 실행되며, 외부와의 통신을 위한 대기를 하고 있는 모습을 확인할 수 있습니다.

C:\WINDOWS\system32\mstsc.exe

이번 악성코드의 핵심인 mstsc.exe(Remote Desktop Connection) 파일은 윈도우 기본 시스템 파일로 감염시 악성 파일로 변조가 이루어지며, 차후 공격자가 외부에서 원격 접속을 통해 악의적인 동작을 할 것으로 판단됩니다.

실제로 mstsc.exe 파일이 실행되면 "원격 데스크톱 연결"을 통해 상대방의 PC 화면을 비롯한 제어권을 탈취하며, 이 과정에서 개인정보 유출 및 추가적인 프로그램 설치, 삭제 등이 발생할 수 있습니다.

결론적으로 해당 악성코드 감염으로 인하여 사용자가 온라인 게임을 비롯한 특정 웹 사이트 접속을 통한 로그인 시도시 외부로 계정 정보가 유출될 수 있으며, 추가적으로 공격자는 감염된 PC를 원격 제어를 통해 지속적으로 PC에서 이루어지는 활동을 모니터링 할 수 있을 것으로 보입니다.

이제 해당 악성코드 감염시 백신 무력화로 인한 수동으로 문제를 해결하는 방법을 살펴보도록 하겠습니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

(1) Windows 작업 관리자에서 rundll32.exe 프로세스를 수동으로 종료합니다.

(2) "C:\WINDOWS\system32\drivers\com32.sys" 파일을 찾아 삭제합니다.

(3) "C:\WINDOWS\system32\com32.dll" 파일의 확장자명을 변경합니다.(※ 예 : com32.dll-infected)

(4) 변조된 "C:\WINDOWS\system32\imm32.dll" 파일의 확장자명을 변경합니다.(※ 예 : imm32.dll-Patch)

파일 확장자명을 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 imm32.dll 시스템 파일이 복원되므로, 반드시 해당 파일이 복원되었는지를 확인하시기 바랍니다.

만약 해당 파일이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD) 생성 등으로 윈도우에 진입할 수 없는 문제가 발생할 수 있습니다.

(5) 변조된 "C:\WINDOWS\system32\mstsc.exe" 시스템 파일을 삭제합니다.

해당 파일을 삭제하면 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 mstsc.exe 시스템 파일(Windows XP SP3 한글판 기준 - MD5 : 33d679d5cc80ccc8e784cc588da12465)이 복원되므로 반드시 확인하시기 바랍니다.

(6) 다음의 악성 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\d3dimmx.dll
  • C:\WINDOWS\system32\dotply.dll
  • C:\WINDOWS\system32\VersionKey.ini
  • C:\WINDOWS\system32\WindowsVideo.exe

(7) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_VIDEO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Com32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Video

LEGACY 값을 삭제할 경우 위와 같은 "키 삭제 오류" 창이 생성되므로 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.

삭제를 하려는 레지스트리 값에 마우스 우클릭을 통한 "사용 권한" 메뉴를 클릭하시기 바랍니다.

사용 권한 창 중 "Everyone의 사용 권한" "모든 권한 → 허용" 박스에 체크를 하시고 "확인" 버튼을 클릭하신 후 삭제되지 않는 키 값을 삭제하시기 바랍니다.

(8) 시스템 재부팅 후 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\com32.dll-infected
  • C:\WINDOWS\system32\imm32.dll-Patch

위와 같은 절차를 완료한 후에는 반드시 백신 프로그램을 이용하여 시스템 정밀 검사를 추가로 진행하시기 바라며, 해당 악성코드에 감염된 원인이 보안 패치를 적용하지 않았기 때문이므로 Windows, Adobe Flash Player, Oracle JRE 제품을 최신 버전으로 업데이트 하시고 인터넷을 이용하시기 바랍니다.

728x90
반응형