본문 바로가기

벌새::Analysis

바제상조가 모신 DoS 공격 목적의 악성코드 유포 주의 (2012.7.16)

728x90
반응형

대한민국 최대 규모의 보안 카페 "바이러스 제로 시즌 2"는 대대로 부지런한 매니저님들 덕분에 스팸 게시글에 대하여 적극적으로 대응하고 있으며, 이런 카페 운영에 대해 일부 카페 회원님들은 "바제상조"라고 부르기도 합니다. 참잘했어요

그런데 오늘(2012년 7월 16일) 오전 카페에 주민등록번호를 Brute Force 방식으로 찾아준다는 프로그램으로 위장한 첨부 파일을 등록하는 행위가 있었습니다.

 

해당 글은 즉시 카페 매니저님에게 전달되어 삭제 처리가 이루어졌으며, 실제 어떤 파일인지 확인을 해보았습니다. 

  • Brute Force v1.2.exe (MD5 : ddd27a39ff3b2c01140309296044d6de) - AhnLab V3 : ASD.Prevention (VirusTotal : 1/41)

첨부 파일에 등록된 압축 파일 내부에는 Brute Force v1.2.exe 실행 파일을 사용자가 실행하도록 유도하고 있습니다. 

파일을 실행하면 그림과 같은 모양의 폼(Form)을 통해 사용자 이름, 주민등록번호 앞자리를 입력하도록 구성되어 있으며, 이 과정에서 백그라운드 방식으로 어떤 동작이 이루어지는지 확인해 보겠습니다. 

우선 특정 네이버(Naver) 블로그 계정으로 접속되어 작성된 게시글에 첨부된 ctfmon.exe 파일을 다운로드하도록 구성되어 있습니다. 

참고로 다운로드된 ctfmon.exe 파일은 2012년 7월 10일경 제작된 것으로 보이며, 마이크로소프트(Microsoft)사에서 제작된 파일로 위장을 하고 있습니다.


[생성 파일 및 진단 정보]

 

C:\WINDOWS\ctfmon.exe
 - MD5 : 91c369de118dc05b0b4e1530eef11cac
 - ALYac : Backdoor.Agent.Attach (VirusTotal : 13/42)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ctfmon = C:\WINDOWS\ctfmon.exe

 

다운로드된 파일은 윈도우 폴더에 자신을 저장하여 Windows 시작시 자동으로 실행되도록 시작 프로그램으로 등록합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

참고로 정상적인 시스템 환경에서는 시스템 폴더 내에 ctfmon.exe(CTF Loader) 파일이 존재하며, 해당 파일은 현재 사용자 계정(HKCU)에 등록되므로 혼동하지 않도록 주의하시기 바랍니다.

이렇게 등록된 악성 ctfmon.exe 파일은 "svchosthost.codns.com(210.105.106.150)" C&C 서버와 연결을 하며, 네이버 맵(map.naver.com) 서비스를 이용하여 다음과 같은 감염자 위치 및 시스템 정보를 수집합니다.

#Information#(OS 종류)#(사용자 주소 - ㅇㅇ도 ㅇㅇ시 ㅇㅇ)#(메모리 용량)#(컴퓨터 이름)#(사용자 계정명)#(국가)/(언어)#(서비스 팩 종류)##v 1.2.2

이후 감염된 환경에서는 그림과 같이 C&C 서버와 연결한 상태로 유지가 이루어지며, Windows Sysinternals Autoruns 프로그램의 기본값에서는 마이크로소프트(Microsoft) 정보를 가지고 있는 파일에 대해 필터링이 되고 있으므로 보이지 않을 수 있습니다. 

일정 시간이 경과하거나 사용자가 시스템 재부팅을 진행한 경우 자동으로 C&C 서버에서는 파일을 실행한 사용자 PC를 대상으로 DoS 공격(SYN Flood)을 5초 간격으로 시작합니다.

 

서비스 거부 공격을 받은 지속적으로 받은 사용자 PC는 트래픽 과부하 등으로 인해 인터넷 연결에 문제가 발생할 가능성이 있습니다.

 

그러므로 해당 문제를 해결하기 위해서는 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 수동으로 문제 해결을 위해서는 다음과 같은 절차를 따르시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 악성 ctfmon.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로세스에서는 정상적인 ctfmon.exe 프로세스와 악성 ctfmon.exe 프로세스가 함께 표시되므로, 메모리 사용량이 높은 ctfmon.exe 프로세스를 종료하거나 또는 양쪽 모두를 임시로 종료하시기 바랍니다.

 

(2) 윈도우 탐색기를 실행하여 "C:\WINDOWS\ctfmon.exe" 파일을 수동으로 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 키 값을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ctfmon = C:\WINDOWS\ctfmon.exe

 

또한 사용자가 카페, 블로그 등을 통해 다운로드한 주민등록번호 생성을 위한 Brute Force 프로그램은 절대로 실행하지 마시고 삭제를 하셔야 합니다. 

해당 사이버 범죄자에 대한 추가적인 조사를 해보면 카페를 통한 홍보 이외에 2개 이상의 네이버(Naver) 계정을 이용하여 블로그를 통해서도 유포를 하고 있으며, 2012년 1월경에는 이글루스(egloos.com) 블로그에 악성 파일을 첨부하였던 부분도 확인이 되고 있습니다.

 

인터넷 사용자의 호기심을 자극하는 이런 류의 프로그램을 실행하도록 하여, 사용자 몰래 추가적인 악성 파일을 설치하여 자기 만족을 위한 사이버 공격을 행하는 것은 중대한 범죄 행위이므로 호기심에라도 이런 행위를 하지 않도록 하시기 바랍니다.

 

728x90
반응형