본문 바로가기

벌새::Analysis

정부 도메인(go.kr)에서 발견된 백도어(Backdoor) 유포 주의 (2013.7.9)

2013년 1월 17일경 교육 관련 정부 도메인(go.kr)에 등록되어 유포가 이루어지고 있는 것으로 보이는 백도어(Backdoor) 파일이 현재까지 여전히 등록되어 있는 것을 확인하였습니다.

  • h**p://****.go.kr:8081/css/cs/m1.exe (MD5 : 5f1a3830f53c08ce586f6af561acb196) - AhnLab V3 : Backdoor/Win32.Agobot (VT : 36/47)

해당 파일은 안랩(AhnLab) 기준으로 2013년 2월 5일 최초 보고된 파일로 실제 감염자 수는 적은 것으로 보이며, 악성 파일(m1.exe)에 대하여 대부분의 보안 제품에서는 진단이 이루어지고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\m1.dll
 - MD5 : 99817a56fd3082d25dcdaa30ceef1422
 - AhnLab V3 : Trojan/Win32.ZXProxy (VT : 31/47)

 

C:\WINDOWS\system32\m1.sys
 - MD5 : cad9ed61936aa5199329b93b7e885fa5
 - AhnLab V3 : HackTool/Win32.HidePort (VT : 17/47)

 

C:\WINDOWS\Temp\~tmp5a226279.old

 

※ 생성 파일명은 설치 파일명에 종속되어 랜덤(Random)하게 생성될 수 있습니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HIDEPORT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HidePort

감염된 환경에서는 시스템 폴더에 드라이버와 악성 dll 파일을 생성하며, 해당 파일들은 6to4, HidePort 서비스에 등록되어 시스템 시작시 자동 실행되도록 구성되어 있습니다.

이를 통해 svchost.exe 파일에 추가되어 특정 원격 서버에 443 포트를 통해 통신을 시도하는 동작을 확인할 수 있습니다.

현재 확인된 네트워크 정보를 살펴보면 ns1.china.com, ns1.3322.net, ns1.oray.net 서버에 DNS 쿼리 전송을 시도하며, 0a32f.gameisgood.net(124.238.253.88 : 중국 / 49.4.0.10 : 호주 / 183.136.132.170 : 중국 / 220.170.79.229 : 중국) 서버로 지속적인 연결을 시도하고 있습니다.

 

해당 악성 파일은 감염된 시스템의 Keylog 정보 수집, SYN Flood 방식의 서비스 거부 공격(DoS), 사용자 계정 추가 / 변경 / 삭제 및 비밀번호 변경, 시스템 종료 / 재시작 / 로그오프와 같은 다양한 명령에 따라 악의적인 기능을 수행할 수 있습니다.

 

감염된 시스템에서는 국내외 유명 보안 제품을 통한 정밀 검사 또는 다음과 같은 방식으로 문제를 해결할 수 있습니다.

 

(1) GMER 툴을 이용하여 "Files" 탭에서 "C:\WINDOWS\system32\m1.dll" 악성 파일을 찾아 삭제(Delete) 하시기 바랍니다.

 

(2) GMER 툴을 이용하여 "Services" 탭에 등록된 "HidePort" 값을 선택하여 마우스 우클릭을 통해 생성된 "Delete ..." 메뉴를 실행하시기 바랍니다.

HidePort 서비스 삭제를 진행할 경우 다음과 같은 2개의 확인창이 생성되며, 이를 통해 서비스 삭제 및 "C:\WINDOWS\system32\m1.sys" 악성 드라이버 파일을 삭제할 수 있습니다.

모든 절차가 완료된 후에는 Windows 재부팅을 통해 정상적으로 삭제가 이루어졌는지 재확인해 보시기 바랍니다.

 

이번 악성 파일은 정부 기관 도메인(go.kr)에 등록되어 있다는 점과 함께 이미 대다수 보안 제품에서 서버에 숨어있는 악성 파일을 진단할 수 있음에도 불구하고 반년 가까이 처리가 되지 않았다는 점에서 관리가 매우 부실해 보입니다.