울지않는벌새 : Security, Movie & Society

gms.wip.ahnlab.com 서버를 방해는 백도어(Backdoor) 주의 (2013.2.22)

벌새::Analysis

프리섭 홍보(활동) 또는 운영을 하는 국내인으로 추정되는 사용자가 2012년 4월 19일에 등록된 "junghak****.kr" 도메인을 통해 지속적인 백도어(Backdoor)를 유포하여 감염된 시스템에서 정보를 탈취하는 것으로 확인되고 있습니다.

특히 해당 악성코드에 감염될 경우 안랩(AhnLab) 보안 제품의 클라우드(Cloud) 진단을 차단할 목적으로 악의적인 동작을 하는 부분도 주목할 필요가 있습니다.

 

  안랩(AhnLab) 클라우드 진단을 우회하는 악성코드 유포 주의 (2012.6.16)

 

이는 작년(2012년)에 소개한 안랩 클라우드(AhnLab Cloud) 진단 우회 악성코드의 변종으로 동일한 제작툴을 통해 지속적인 변종을 유포하는 것으로 추정됩니다.

이번에 확인된 파일(MD5 : 16340c013268694e2f48187b0f453352)은 2013년 2월 22일부터 배포가 확인되고 있으며, Kaspersky 보안 제품에서는 P2P-Worm.Win32.Palevo.ejol (VirusTotal : 24/46) 진단명으로 진단되고 있습니다.

 

참고로 감염 방식은 특정 파일을 설치(실행)하는 과정에서 "junghak****.kr" 서버에 등록된 설치 파일을 다운로드하여 설치가 이루어질 것으로 보입니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\WINDOWS\tmp
C:\WINDOWS\tmp\ipiu
C:\WINDOWS\tmp\ipiu\ipiu.exe
 - MD5 : 16340c013268694e2f48187b0f453352
 - AhnLab V3 : ASD.Prevention (VirusTotal : 24/46)

 

※ 해당 폴더 및 파일은 (4자리 영문).exe 형태로 생성됩니다.

최초 감염이 이루어지면 "C:\WINDOWS\tmp" 폴더(※ "C:\WINDOWS\Temp" 폴더는 정상적인 환경에서 생성된 폴더입니다.)를 생성하여, 하위에 (4자리 영문)으로 구성된 폴더와 실행 파일을 생성합니다.

생성된 ipiu.exe 파일은 "poiu1235.codns.com(121.0.132.206)" 서버에 사용자 시스템 정보(컴퓨터 이름, 운영 체제 종류, 메모리 용량, CPU 속도)와 함께 추가적인 다운로드 정보를 체크하는 것을 확인할 수 있습니다.

추가적으로 다운로드 되는 파일은 그림 파일 아이콘 모양을 하고 있는 것이 특징이며, 해당 파일(MD5 : bea06dca1db3ef4fb5054e12361d2ccb)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Magania (VirusTotal : 26/46) 진단명으로 진단되고 있습니다.

 

추가 다운로드가 완료되면 afc9fe2f418b00a0.bat 파일을 생성하여, 최초 감염을 시킨 파일(MD5 : 16340c013268694e2f48187b0f453352)을 자가 삭제 처리하여 흔적을 제거합니다.

 

또한 추가적으로 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5자리 영문).exe" 파일로 생성되어 다음의 위치에 파일을 생성한 후 자가 삭제 처리됩니다.

 

C:\Program Files\Common Files\Microsoft Shared\MSInfo\a3qfdg.hix
 - MD5 : 91f5a414b9f04474206989719ed7a083
 - Microsoft : Backdoor:Win32/Zegost.B (VirusTotal : 26/46)

생성된 폴더(C:\Program Files\Common Files\Microsoft Shared\MSInfo) 위치는 정상적인 시스템 환경에서 존재하는 마이크로소프트(Microsoft) 폴더로 사용자의 눈을 속일 수 있으며, 파일 확장자명도 ".hix"로 등록된 점이 특징입니다.

생성된 a3qfdg.hix 파일은 "GApdK9ah(Microsoft Managers  DeviceLWP9IGG1CaIOY9CAJc96)" 서비스 항목을 등록하여 시스템 시작시 [C:\WINDOWS\System32\svchost.exe -k GApdK9ah] 서비스 파일에 인젝션(Injection) 되어 자동 실행하도록 구성되어 있습니다.

 

특히 (8자리 영문+숫자) 형태로 등록된 서비스 이름으로 사용자가 찾기 힘들게 제작되어 있지만, 표시 이름(Microsoft Managers  DeviceLWP9IGG1CaIOY9CAJc96)과 설명(Network address translation for networks.)은 일치하므로 참고하시기 바랍니다.

이를 통해 "C:\Program Files\Common Files\Microsoft Shared\MSInfo\a3qfdg.hix" 파일은 "aaa555.codns.com(125.183.68.146)" C&C 서버와 "HGChU" 시그니처 값을 포함한 통신을 시도하는 것을 확인할 수 있습니다.

감염이 완성된 이후의 프로세스 상태를 확인해보면 "C:\WINDOWS\tmp\ipiu\ipiu.exe" 파일이 메모리에 상주하고 있으며, svchost.exe 서비스 파일이 추가되어 "C:\Program Files\Common Files\Microsoft Shared\MSInfo\a3qfdg.hix" 파일의 기능을 수행합니다.

 

특히 해당 서비스 파일은 백그라운드 방식으로 "C:\WINDOWS\System32\route.exe (TCP/IP Route Command)" 파일 명령어를 통해 안랩(AhnLab) 보안 제품의 진단을 방해할 목적으로 다음과 같은 행위를 합니다.

route.exe 파일을 실행하여 "route add 211.115.106.0 mask 255.255.255.0 192.168.60.172 metric 1" 명령어를 통해 "211.115.106.0 ~ 211.115.106.255" IP 대역의 접속을 차단합니다.

이로 인하여 외형적인 모습은 안랩 클라우드(AhnLab Cloud) 서버(gms.wip.ahnlab.com)에 대한 DNS 쿼리가 무수하게 찍히는 증상을 확인할 수 있습니다.

실제로 "gms.ahnlab.com" 서버에 PING을 날려보면 전달되지 않는 것을 확인할 수 있으며, 이러한 방해 동작은 해당 악성코드가 최초 감염시 AhnLab 보안 제품에서 진단되지 않았다면 그 이후에는 클라우드 진단은 지속적으로 피할 수 있다는 계산으로 보입니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - run = C:\WINDOWS\tmp\ipiu\ipiu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - GApdK9ah = GApdK9ah
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GAPDK9AH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GApdK9ah

 

이렇게 감염된 환경에서 시스템 재부팅을 하게되면, 시작 프로그램으로 등록된 "C:\WINDOWS\tmp\ipiu\ipiu.exe" 파일은 매번 서버에서 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5자리 영문).exe" 파일을 받아오는 동작이 이루어집니다.

또한 유포자는 자신이 원하는 시간에 좀비PC가 켜진 상태라면 언제든지 접속하여 추가적인 악성 파일 다운로드, 화면 캡처 등의 악의적인 동작을 통해 정보 유출 및 추가적인 감염을 유발할 수 있습니다.(※ 특히 유포자가 온라인 게임에 관심이 있는 것으로 보이므로 금전적 피해가 예상됩니다.)

 

기본적으로 보안 제품을 통한 정밀 검사를 통해 치료를 권장하며, 수동으로 문제를 해결할 필요가 있는 경우에는 다음의 절차를 참고하여 응용하시기 바랍니다.

 

(1) 실행창에 [sc stop "GApdK9ah"] → [sc delete "GApdK9ah"] 명령어를 입력하여 서비스 중지 및 삭제를 하시기 바랍니다.

주의할 점은 서비스 이름이 (8자리 영문+숫자) 패턴을 가지고 있으므로, 사전에 서비스(services.msc)를 실행하여 "Microsoft Managers  DeviceLWP9IGG1CaIOY9CAJc96" 서비스를 찾아 서비스 이름을 확인하여 명령어를 조합하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GAPDK9AH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GApdK9ah

이를 통해 2개의 서비스 관련 레지스트리 값이 삭제 처리가 이루어집니다.

 

(2) Windows 작업 관리자를 실행하여 "C:\WINDOWS\tmp\ipiu\ipiu.exe" 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

주의하실 점은 해당 폴더명과 파일명이 (4자리 영문) 패턴을 가지고 있으므로, 해당 폴더(C:\WINDOWS\tmp) 내의 이름을 확인하여 프로세스 이름을 유추하시기 바랍니다.

 

(3) 다음의 폴더(파일)를 찾아 삭제하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 나머지 시작 프로그램에 등록된 레지스트리 값을 삭제하시기 바랍니다.

  • C:\Program Files\Common Files\Microsoft Shared\MSInfo\a3qfdg.hix
  • C:\WINDOWS\tmp
  • C:\WINDOWS\tmp\ipiu
  • C:\WINDOWS\tmp\ipiu\ipiu.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - run = C:\WINDOWS\tmp\ipiu\ipiu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - GApdK9ah = GApdK9ah :: 해당 이름은 서비스 이름에 종속됩니다.

특히 레지스트리 값 중 시작 프로그램 관련값을 삭제하지 않고 파일만 제거를 한 경우에는 시스템 시작시 파일을 찾을 수 없다는 메시지 또는 레지스트리에 지정한 파일을 로드하거나 실행할 수 없다는 오류창이 생성됩니다.

 

이상과 같이 사용자 눈을 속여 악성 파일을 감염시킨 좀비 PC를 이용하여 다양한 악의적인 행위로 인해 정보 유출 및 금전적 피해가 발생할 수 있으므로 매우 주의하시기 바랍니다.