본문 바로가기

벌새::Analysis

키로깅(KeyLogging) 기능을 가진 Crazy Arcade 악성코드 유포 주의 (2013.09.30)

최근 국내 호스팅 서버에 키로깅(KeyLogging) 기능을 가진 백도어(Backdoor)가 유포되고 있는 부분을 발견하여 정보를 공개해 드립니다.

해당 악성코드는 2013년 8월 12일경부터 유포가 확인되고 있으며, 확인되지 않은 프로그램을 통해 추가적인 다운로드를 통해 감염이 이루어지고 있는 것으로 추정됩니다.(※ 클라우드 평판은 왜 또 저 모양일까? )

  • h**p://overhigh.dothome.co.kr/*****.exe (MD5 : 9369e8dd0a146506cd1884298ae7d37a) - MSE : Backdoor:Win32/Bifrose.gen!F (VT : 28/48)

특히 테스트 시점에서 확인해보면 여전히 트래픽이 발생하여 일일 트래픽을 초과하는 수준으로 운영이 이루어지고 있습니다.

다운로드된 악성 파일은 분석을 방해할 목적으로 가상 환경(VM)에서는 동작하지 않도록 제작되어 있는 것이 특징입니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\header.exe

 - MD5 : 9369e8dd0a146506cd1884298ae7d37a

 - AhnLab V3 : Trojan/Win32.Gen (VT : 28/48)

다운로드된 악성 파일은 자기 자신을 Windows 폴더 내에 header.exe 파일로 자가 복제를 하며, 다음과 같은 2가지 방식의 시작 프로그램을 등록하여 시스템 시작시 자동 실행되도록 합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - header = C:\Windows\header.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\Windows\system32\userinit.exe, :: 변경 전
 - Userinit = C:\Windows\system32\userinit.exe,C:\Windows\header.exe :: 변경 후

 

등록된 레지스트리 값을 통해 자동 실행된 "C:\Windows\header.exe" 파일은 htm.htm 파일을 임시 생성하여 실행합니다.

실행된 htm.htm 파일은 "C:\Program Files\Internet Explorer\iexplore.exe" 프로세스를 후킹하여 메모리에 상주시켜 동작하도록 한 후 자가 삭제 처리됩니다.(※ Internet Explorer 웹 브라우저의 정상적인 iexplore.exe 프로세스를 이용하므로 사용자는 감염 여부를 확인하기 매우 어렵습니다.)

이를 통해 동작하는 iexplore.exe 프로세스는 국내 IP로 확인되는 "vortex.codns.com(112.145.115.63 :7212)" 서버와 30초 간격으로 통신을 유지합니다.

 

[키로깅(KeyLogging) 수집 파일 정보]

 

C:\Windows\Crazy Arcade0812_E0E48B64
C:\Windows\Crazy Arcade0812_E0E48B64\ServerLogs
C:\Windows\Crazy Arcade0812_E0E48B64\ServerLogs\(사용자 계정)
C:\Windows\Crazy Arcade0812_E0E48B64\ServerLogs\(사용자 계정)\30-09-2013

감염된 환경에서는 "C:\Windows\Crazy Arcade0812_E0E48B64\ServerLogs\(사용자 계정)" 폴더를 생성하여 PC에서 발생하는 키로깅(KeyLogging)을 비롯한 각종 이벤트 정보를 "(일)-(월)-(년)" 파일 패턴으로 암호화하여 저장합니다. ( Crazy Arcade0812_E0E48B64 폴더명은 Crazy Arcade(월+일 : 유포일자)_(영문+숫자 : 사용자 식별자) 패턴입니다.)

 

이렇게 감염된 PC는 사용자 PC에서 발생하는 각종 프로그램 사용 정보 및 키입력 정보를 수집하여 C&C 서버로 전송하여 추가적인 피해가 발생할 수 있으리라 판단됩니다.

 

참고로 해당 악성코드의 주요 특징을 통해 과거 유포가 확인된 유사 사례를 확인해 보았습니다.

 

(1) iexplore.exe 프로세스 보호 기능

일반적으로 사용자가 Internet Explorer 웹 브라우저를 모두 종료한 상태에서는 iexplore.exe 프로세스가 동작할 이유가 거의 없으며, 감염으로 동작하는 iexplore.exe 프로세스를 사용자가 강제 종료를 시도할 경우 자동으로 재실행되도록 제작되어 있습니다.

 

(2) "HKEY_CURRENT_USER\Software\header" 레지스트리 값 정보

  <Trend Micro Threat Encyclopedia> TROJ_CALYPS.SMUJ (2011.11.10)

 

  <ThreatExpert> apocalypse 정보 - MD5 : bafbeea4639071bb75d5c0216d7f0659 (2012.1.18)

 

  <McAfee 바이러스 정보> RDN/Generic.bfr!7D9D5A9509F9 (2013.9.10)

 

감염을 통해 추가된 header 레지스트리 값을 확인해보면 2011년 하반기경부터 다양한 변종의 유포가 확인되고 있는 apocalypse 계열의 변종임을 확인할 수 있습니다.

 

이번 악성코드에 감염된 경우 수동으로 제거하기 위해서는 다음과 같은 절차에 따르시기 바랍니다.

 

(1) "C:\Windows\header.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

참고로 변종에 따라서는 "C:\Windows\apocalyps32.exe" 또는 "C:\Windows\spoolsv.exe" 등의 파일로 존재할 수도 있습니다.

 

(2) 실행 중인 모든 Internet Explorer 웹 브라우저를 종료한 상태에서 Windows 작업 관리자를 실행하여 iexplore.exe 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제 또는 수정하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\header
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - header = C:\Windows\header.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\Windows\system32\userinit.exe, :: 변경 전
 - Userinit = C:\Windows\system32\userinit.exe,C:\Windows\header.exe :: 변경 후

특히 Userinit 레지스트리 값은 반드시 값 데이터에 추가된 "C:\Windows\header.exe" 값을 삭제하여 "변경 전" 상태로 수정하시기 바랍니다.