울지않는벌새 : Security, Movie & Society

Aduska Bootkit을 이용한 온라인 게임 정보 수집 악성코드 유포 주의 (2013.9.10)

벌새::Analysis

국내 인터넷 사용자를 대상으로 한 온라인 게임 정보를 수집하는 악성코드 중 MBR(Master Boot Record) 변조 방식을 이용한 사례는 2011년 9월경 최초로 확인이 된 적이 있습니다.

 

  MBR 변조 온라인 게임 악성코드 치료 전용 백신 : V3 Halcbot Bootkit Removal Tool (2011.9.21)

 

그 이후 해외에서 제작된 부트킷(Bootkit) 방식의 MBR 변조를 통해 악성코드 유포에 활용되던 아두스카 부트킷(Aduska Bootkit) 방식이 2012년 10월경 유포되고 있다는 정보가 공개됩니다.

 

  <ASEC Blog> 국내 PC 사용자를 대상으로 유포된 아두스카 부트킷 (2012.10.22)

 

그런데 2013년 7월 4일경 확인되지 않은 파일을 실행한 경우 특정 서버에서 추가적인 다운로드를 통해 Aduska Bootkit 변종이 유포되기 시작하였으며, 현재까지 안랩(AhnLab) 보안 제품에서 제대로 진단되지 못한 부분을 발견하였습니다.

 

해당 부트킷의 기술적인 정보는 안랩(AhnLab) 블로그 정보를 참고하시기 바라며, 이번에 확인된 악성코드에 대해 전반적인 감염과 치료에 대해 살펴보도록 하겠습니다.

 

최초 확인되지 않은 특정 파일(※ 기존 정보에서는 200MB가 넘는 "해피투게더.exe" 만화 파일을 실행시 감염으로 연결되었다고 합니다.)을 실행한 경우 특정 서버로부터 다음과 같은 드랍퍼(Dropper) 파일을 다운로드합니다.

  • h**p://koreahgm***.com/bbs/icon/win7.exe (MD5 : 369f8683800ecb3cc626ec01d60f12f7) - MSE : TrojanDownloader:Win32/Small.gen!K (VT : 30/47)

다운로드된 win7.exe 파일은 2013년 7월 4일 새벽경에 최초 서버에 등록된 것으로 추정되며, 파일 크기가 2.5KB로 매우 작으며 암호화된 정보를 통해 동일한 서버에서 taba.exe 파일을 추가 다운로드합니다.

다운로드된 taba.exe 파일<MD5 : ec7d2381b23c70304612e1afbff9e390 - nProtect : Trojan/W32.Agent.209521 (VT : 29/47)>은 2013년 6월 23일경 서버에 등록된 것으로 추정됩니다.

다운로드된 파일이 실행되는 과정에서 "1.234.38.22" IP 서버에 암호화된 사용자 Mac Address, 식별값(Custom), 운영 체제(OS), CPU, 사용자 IP 정보가 전송됩니다.

다운로드된 taba.exe 파일은 자동 실행되어 다음과 같이 MBR 변조를 유발하며, 테스트 당시 AhnLab V3, nProtect MBR Guard, 알약(ALYac) 3.0 기업용 제품 등에서 제공하는 MBR 보호 기능을 통해 차단되지 못하는 것으로 확인됩니다.(※ AhnLab V3, nProtect MBR Guard는 실제 리얼 환경에서 차단되며, 분석 환경이었던 VMware에서만 차단되지 않는 문제가 있었다고 합니다.)

 

해당 파일은 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\(숫자).tmp" 파일을 생성하여 DrvInstallDemo.sys 드라이버 파일 및 서비스에 등록합니다.

 

[생성 파일 / 레지스트리 및 진단 정보]

 

C:\(taba.exe 파일 위치)\DrvInstallDemo.sys

 - MD5 : 4b97c2ceaec9d5b5fb856249942d40e6
 - Hauri ViRobot : Trojan.Win32.KillAV.24064.G (VT : 4/47)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
DRVINSTALLDEMO

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\DrvInstallDemo

이를 통해 DrvInstallDemo.sys 악성 드라이버 파일은 MBR 변조 및 83866448 섹터에 시스템 시작시 자동 실행할 PE 파일을 추가하는 동작을 확인할 수 있으며, 감염이 완료된 후에는 생성된 드라이버 파일 및 레지스트리 값은 모두 삭제 처리가 이루어집니다.

 

이렇게 감염된 환경에서 보안 제품이 진단하지 않는 경우 시스템 재부팅시까지는 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 보안 제품이 정상적으로 동작합니다.

 

이제 시스템 재부팅이 이루어지는 과정에서 변조된 MBR 영역<MD5 : 6f4c86fcba6da46427b0ccbcd7441713 (512 Bytes) - Kaspersky : Rootkit.Boot.Wistler.a / Sophos : Troj/AduskMbr-A (VT : 13/47)>을 통해 시스템 시작시 자동 실행되는 "C:\WINDOWS\system32\userinit.exe" 프로세스가 실행될 때 "C:\WINDOWS\system32\DownDll.dll" 파일(161,792 Bytes)을 생성하여 다음과 같은 악의적 기능을 수행합니다.

83866448 섹터에 등록된 PE 파일은 시스템 시작시 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 관련 프로세스 및 서비스를 무력화하여 보안 제품이 동작하지 않도록 합니다.

이로 인하여 AhnLab V3 Lite 3.1 무료 백신의 경우 서비스가 중지되어 시스템 시작시 자동 실행되지 않으며, 사용자에 의해 수동으로 실행하여도 동작하지 않습니다.

 

또한 시스템 부팅시마다 감염된 환경에서는 다음과 같은 2개의 파일을 매번 다운로드를 시도하여 감염을 유지합니다.

  • h**p://www.ip114korea.com/***/icon/mbx.jpg
  • h**p://koreahgm***.com/bbs/icon/betell.exe (MD5 : 72b56d7f42959703f002dfd46358bb82) - AhnLab V3 : Trojan/Win32.OnlineGameHack (VT : 28/47)

우선 중국(China) DNS에 등록된 서버로부터 MBR 관련 정보로 추정되는 mbx.jpg 파일을 다운로드합니다.(※ 부팅시마다 MBR 감염 상태 유지 목적인가?)

추가로 다운로드된 betell.exe 파일은 2013년 7월 12일경 서버에 등록된 것으로 보이며, ASD 클라우드 서버에서는 9월 5일경 최초 보고되었지만 감염자 수는 0로 표시됩니다.

 

이는 이미 해당 파일을 다운로드할 때에는 AhnLab V3 보안 제품이 완벽하게 무력화되었기 때문으로 보입니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\dnetcom32.txt
 - MD5 : 021f3b52ca4eb9e691c2a5653f1208dc
 - AVG : PSW.OnlineGames4.AVAU (VT : 22/47)

다운로드된 파일(betell.exe)은 시스템 폴더에 "C:\WINDOWS\system32\dnetcom32.txt" 파일을 생성하여, 사용자가 Internet Explorer 웹 브라우저를 통해 다음과 같은 특정 온라인 게임을 사용할 경우 정보 유출을 시도합니다.

  • 모니터링 게임 프로세스 : dnf.exe, MapleStory.exe, lin.bin, ff2client.exe, Game.exe, heroes.exe, ExLauncher.exe, TERA.exe, PCOTP.exe, AION.bin

위와 같은 일련의 감염 방식은 사용자가 보안 제품을 통해 시스템 폴더에 생성된 "C:\WINDOWS\system32\dnetcom32.txt" 악성 파일을 제거하여도 시스템 부팅시마다 MBR 영역에 등록된 부트킷 방식으로 인하여 매번 자동으로 재감염이 이루어집니다.

현재 안랩(AhnLab)에서는 이미 "Aduska Bootkit 전용 백신(2013-03-06)"을 개발하여 제공하고 있으며, 이번 변종의 경우에도 MBR 영역에 등록된 "HARD DISK BOOT(MBS)" 파일을 Aduska 진단명으로 치료를 지원하고 있습니다.

 

해당 치료가 이루어진 환경에서는 시스템 부팅시 추가적인 자동 다운로드를 통해 재감염을 차단할 수 있는 것으로 테스트를 통해 확인하였습니다.

하지만 전용 백신으로 치료한 이후에도 83866446, 83866448 섹터에 추가된 악성 부트킷(Bootkit)은 존재하므로 차후 업데이트를 통해 추가적인 치료가 필요한 상태입니다.(※ 전용 백신으로 치료시 해당 코드는 동작하지 않습니다.)

 

현재 감염 경로는 확인되지 않고 있지만 위와 같이 MBR 변조 방식을 통한 부트킷(Bootkit)에 감염된 경우에는 시스템 부팅 과정에서 외부 서버에서 추가적인 다운로드를 시도하거나 MBR 영역에 등록된 PE 파일 실행을 통해 반복적인 재감염을 유발할 수 있으며 치료가 매우 어렵습니다.

 

그러므로 은밀하게 시스템에 침투하여 보안 제품의 기능을 무력화하여 장기간 악의적인 기능을 수행하는 악성코드가 있다는 점을 명심하시고, 평소 사용하던 보안 제품이 실행되지 않는 문제가 발생하면 악성코드 감염을 의심하시고 감염 여부를 반드시 확인하시기 바랍니다.(※ 맨날 제어판에서 프로그램 삭제만 찾지 마시구요. no2)