울지않는벌새 : Security, Movie & Society

안랩(AhnLab) 클라우드 진단을 우회하는 악성코드 유포 주의 (2012.6.16)

벌새::Analysis

최근 디아블로(Diablo) 3 아이템 복사 영상이 인터넷 상에서 유명세를 떨치고 있는 가운데 해당 이슈를 이용하여 악성코드 유포에 활용되고 있다는 소식이 있습니다.

 

  <알약(ALYac) 보안 공지> 디아블로3 이슈를 노린 MBR변조 악성코드 주의 (2012.6.12)

 

실제 알약(ALYac) 공지에서는 감염시 MBR 변조 행위가 포함된 백도어(Backdoor)가 유포되고 있다는 소식을 전하고 있습니다.

 

그런데 개인적으로 확인한 또 다른 악성코드는 동일한 이슈를 이용하여 안랩(AhnLab) 클라우드 진단을 우회하여 백도어(Backdoor)를 설치하는 사례가 확인되었기에 간단하게 살펴보도록 하겠습니다. 

해당 악성코드 유포 방식은 디아블로 3 아이템 복사 영상 게시글을 통해 첨부 파일 형태로 등록된 "디아블로3아이템공속올리기.zip" 파일을 통해 배포되고 있습니다.

 

참고로 블로그 첨부 파일(MD5 : 5721b5ba4f06e844dbfe15c6f14b24d7)에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 1/42) 진단명으로 진단되고 있습니다. 

다운로드된 zip 압축 파일을 실행해보면 압축을 열 수 없다는 메시지를 확인할 수 있습니다. 

문제의 파일의 확인해보면 PE 파일 구조를 가지고 있으며, ALZip SFX 압축 방식으로 제작되어 있는 것을 확인할 수 있습니다. 

해당 ALZip SFX 파일 내부를 확인해보면 그림 파일 이미지를 가지고 있는 "디아블로3아이템공속올리기.exe" 파일이 포함되어 있는 것을 확인할 수 있습니다.

 

참고로 해당 파일(MD5 : db3b081c20829be394d7ecd3844fd5c8)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Magania (VirusTotal : 10/42) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\27MnuK.pic
 - MD5 : fda11111d3587e9d1acf9713a1a13c75
 - AhnLab V3 : Trojan/Win32.Backdoor (VirusTotal : 12/42)

감염이 이루어지면 서비스에 랜덤(Random)값을 가지는 "(8자리 영문+숫자)" 이름을 가지는 "Microsoft Managers  DeviceB33P3SabI5T75S297KF5" 항목을 등록하여 시스템 시작시 svchost.exe 프로세스를 통해 자동 실행되도록 구성되어 있습니다.(설명 : Network address translation for  networks.) 

이를 통해 국내 광주광역시에 위치한 것을 보이는 "asd0036.codns.com(1.226.166.139 :14600)" C&C 서버로 연결이 이루어지는 동작을 확인할 수 있습니다.(※ 해당 C&C 서버 도메인 역시 안랩(AhnLab) ASD를 표적으로 하고 있음을 간접적으로 확인할 수 있습니다.) 

또한 해당 IP 서버로 "HGChU" 시그니처 값을 포함한 트래픽이 전달되는 것을 확인할 수 있습니다. 

그런데 감염과 함께 감염된 PC에서는 안랩(AhnLab) 클라우드 서버 "gms.wip.ahnlab.com(211.115.106.191~211.115.106.210)"에 5초 간격으로 쿼리를 전송하는 동작을 확인할 수 있습니다. 

해당 연결의 원인을 확인해보면 감염으로 생성된 "C:\WINDOWS\system32\27MnuK.pic" 악성 파일이 사용자 PC의 네트워크 라우팅 테이블을 조작하고 있는 것을 확인할 수 있습니다. 

실제 감염된 환경에서 서비스로 등록된 svchost.exe 프로세스 하위를 모니터링해보면 주기적(1초)으로 route.exe(TCP/IP Route Command) 파일을 이용하여 Command 명령어를 내리는 동작을 확인할 수 있습니다.

ROUTE [ADD : 경로 추가] [MASK netmask : 기본값 255.255.255.255] [METRIC]

이를 통해 사용자 PC에 AhnLab V3 보안 제품이 설치되어 클라우드 서버로 연결하여 정보를 가져오는 동작을 악성 프로그램이 지정한 특정 IP로 루프백을 시켜 안랩(AhnLab) 클라우드 서버에 접속되지 않도록 합니다. 

감염된 PC 환경에서 안랩(AhnLab) 클라우드 서버에 핑(Ping)을 전송하면 타임 아웃(Time Out)이 뜨는 것을 통해 연결되지 않는 것을 확인할 수 있었습니다. 

이를 통해 AhnLab V3 Lite 백신 프로그램을 통해 테스트를 진행해보면 ASD 진단을 통해 진단되는 해당 악성코드와 관련된 파일들에 대해 전혀 진단되지 않는 모습을 확인할 수 있습니다.

 

참고로 만약 해당 진단이 TS 엔진이 추가된 경우에는 해당 클라우드 방해 행위에 상관없이 정상적으로 진단됩니다.

 

이런 경우 가장 빠른 해결 방법으로는 감염으로 인해 자동 실행된 서비스 값을 찾아 중지를 하는 방법이며, 다음과 같은 방식으로 사용자 서비스 값을 확인해 보시기 바랍니다. 

Sysinternals Autoruns 프로그램을 다운로드하여 실행하여 "서비스(Services)" 탭을 선택하여 설명(Description)에 등록된 값 중 "C:\WINDOWS\system32\27MnuK.pic" 파일과 연결된 "Network address translation for  networks." 항목이 존재할 경우 좌측의 "Autorun Entry" 값을 기억하시기 바랍니다.(※ 해당 악성코드는 서비스 이름값은 랜덤(Random)한 (8자리 영문+숫자) 형태이며, 차후 변종의 경우에는 값이 변경될 수 있습니다.) 

그 후 실행창에 [sc stop "(확인된 서비스 Entry 값)"], [sc delete "(확인된 서비스 Entry 값)"]을 입력하여 등록된 서비스를 중지 및 삭제하시기 바랍니다.

 

그 후 "C:\WINDOWS\system32\27MnuK.pic" 파일을 찾아 수동으로 삭제한 후 반드시 시스템 재부팅을 한 후 AhnLab V3 백신을 이용하여 정밀 검사를 진행하시기 바랍니다. 

참고로 서비스 제거한 상태에서는 여전히 클라우드 서버 연결이 안되므로 반드시 시스템 재부팅을 한 후 AhnLab V3 보안 제품에서 정상적으로 ASD 진단 기능을 이용하여 진단이 이루어지는 것을 확인할 수 있습니다.

 

이번 악성코드는 클라우드 기능을 가진 백신 프로그램의 진단을 방해할 목적으로 제작되어 백신 프로그램은 정상적으로 동작하므로 감염된 사용자는 전혀 의심을 하지 못한다는 점에서 주의가 요구됩니다.