본문 바로가기

벌새::Software

MBR 보호 프로그램 : nProtect MBR Guard 3.0.1.5

작년(2011년) 3월에 발생한 북한발 DDoS 공격시 최종 단계에서 감염된 PC의 하드 디스크 드라이브를 파괴할 목적으로 MBR(Master Boot Record) 변조를 하는 행위로 인하여 nProtect 보안 업체에서는 nProtect MBR Guard 제품을 출시한 적이 있었습니다.

 

  MBR 보호 프로그램 : nProtect MBR Guard 2.0.1.4 (2011.3.16)

 

그 후 국내의 경우 2011년 하반기경부터 국내를 표적으로 하는 악성코드 중 감염시 MBR 변조를 하는 온라인 게임 관련 악성코드가 발견되고 있다는 정보를 국내 보안 업체를 통해 확인할 수 있게 됩니다.

 

  <ASEC Blog> MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 (2011.9.16)

 

  <nProtect 대응팀 공식 블로그> [주의]치료가 까다로운 MBR(Master Boot Record) 변조 악성파일 (2011.9.19)

 

  <ASEC Blog> 온라인 게임 사용자의 계정정보를 탈취하는 Bootkit (2011.9.27)

 

DDoS 공격시에는 MBR 변조를 통해 하드 디스크 파괴가 목적이라면 금전과 관련된 악성코드에서는 부트킷(Bootkit)이라고 불리우는 기법을 이용하여 악성 파일을 통해 감염될 경우 MBR 변조를 통해 부팅시마다 악성코드를 생성(로딩)하도록 하였습니다.

 

이는 사용자가 감염된 악성 파일을 모두 제거를 하여도 재부팅 과정에서 재감염이 이루어지기 때문에 보안 전문가가 아닌 수동으로 변조된 MBR 영역을 치료할 수 없는 문제가 발생합니다. 

이에 nProtect MBR Guard 제품은 MBR 감염을 통한 악의적인 동작을 하는 악성 파일의 증가에 따라 기능 개선을 통해 2012년 3월경 nProtect MBR Guard 3.0.1.5 버전을 공개하였습니다. 

제품의 구성은 설치 완료 후 시스템 트레이 알림 아이콘 영역에 그림과 같은 아이콘 모양으로 시스템 시작시 자동으로 실행되도록 제작되어 있습니다.

 

사용자가 특별히 설정할 부분이 없으며 "바이러스 무료 검사" 메뉴를 추가하여 클릭시 nProtect Anti-Virus/Spyware 3.0(nProtect AVS 3.0) 제품 안내 페이지로 연결이 이루어집니다.

 

해당 제품의 성능을 확인하기 위하여 최근 국내를 대상으로 유포가 이루어지고 있는 디아블로(Diablo) 3 자동 로그인 프로그램으로 위장한 악성 파일을 이용하여 동작 테스트를 진행해 보았습니다. 

해당 악성 파일(MD5 : 41d7955ea7b277695d24164db82a884f)은 국내 블로그에 첨부 파일 형태로 등록되어 유포가 이루어지고 있으며, AhnLab V3 보안 제품에서는 Win-Trojan/Pbbot.2967040 (VirusTotal : 24/42) 진단명으로 진단되고 있습니다.(※ 해당 악성코드는 감염시 일본(Japan)에 위치한 C&C 서버와 연결되어 주기적으로 온라인 게임(Baduki.exe 등) 프로세스를 감시하여 해당 프로세스가 실행시 서버 연결을 통해 화면 캡처 등의 동작을 통해 게임 정보를 수집하는 것으로 보입니다.)

 

  <BitDefender LABS Blog> Plite Bootkit Spies on Gamers (2012.5.24)

 

해당 악성코드 계열에 대한 기술적인 분석은 BitDefender 보안 업체에서 공개한 Plite Bootkit 내용을 참고하시기 바라며 테스트에 사용된 파일은 변종으로 추정됩니다.(※ 아래의 내용은 BitDefender 분석 내용을 기반으로 인용되었음을 밝힙니다.) 

다운로드한 설치 파일을 사용자가 실행하면 "C:\WINDOWS\explorer.exe" 시스템 파일을 temp1234.dat 파일로 복사본을 만들고 4개의 Bootkit 리소스(감염된 MBR, 16비트 Loader, 32비트 Loader, Payload)를 생성합니다. 

이를 통해 감염 전과 감염 후 MBR 영역을 확인해보면 변조가 이루어진 것을 확인할 수 있습니다. 

또한 섹터 30번에서는 감염된 프로세스와 관련된 정보, 파일 사이즈, 구성 요소 오프셋(Offset) 저장 목적으로 쓰여진 섹터를 확인할 수 있습니다. 

하지만 만약 사용자 PC에 nProtect MBR Guard 제품이 설치되어 있다면 최초 감염 과정에서 nProtect Security Alert 창을 통해 MBR 접근을 감지하여 차단하였다는 메시지를 확인할 수 있으며, 실제 감염된 PC의 MBR을 확인해보면 변조가 이루어지지 않은 것을 확인할 수 있습니다.

 

이런 경우에는 사용자는 감염으로 인해 생성된 파일, 레지스트리 값만을 제거하여 문제를 해결할 수 있습니다.

 

그러므로 최근 악성코드 중에서 MBR 변조를 통해 치료를 어렵게 만드는 경우를 대비하여 nProtect MBR Guard 제품을 설치하여 백신 프로그램과 함께 사용하신다면 더욱 안전한 PC 환경을 구축할 수 있으리라 판단됩니다.

 

제품의 단점으로는 최초 감염 시점에서 MBR 변조를 차단할 수 있는 반면 MBR 변조가 이루어진 PC 환경에서 nProtect MBR Guard 제품을 설치한 경우에는 진단 및 치료를 제공하지 않으므로 혼동하지 않도록 하시기 바랍니다.