본문 바로가기

벌새::Analysis

"112.121.188.18" IP를 통해 유포된 백도어(Backdoor) 정보 (2013.10.10)

최근 다양한 유포 경로를 통해 제휴 프로그램에 추가된 "bkpops 1.0" 프로그램(추정)을 통해 추가적인 악성코드를 다운로드하는 것으로 알려진 유포 사례 중 "112.121.188.18" IP 서버에서 다운로드되는 부분에 대해 살펴보도록 하겠습니다.

2013년 10월 2일경 악성 프로그램(bkpops 1.0 추정)이 설치된 환경에서 주기적으로 웹 브라우저를 통해 "h**p://kanmay.cafe24.com/gfx.exe" 파일<MD5 : 592c9ca078c3caebd0aaa627e8143155 - MSE : TrojanDownloader:Win32/Kaypop.A (VT : 12/48)>을 다운로드 시도하는 문제가 있었습니다.

  • h**p://kanmay.cafe24.com/a.exe (MD5 : faf2b7c79dbfee089cf75423af8f8748) - ESET : a variant of Win32/Packed.NoobyProtect.O (VT : 7/48) :: 2013년 10월 2일 기준

다운로드된 gfx.exe 파일을 사용자가 실행하면 "112.121.188.18" IP 서버에서 그림과 같은 구성값을 체크하여 추가적으로 a.exe 파일을 다운로드할 수 있었던 것으로 보입니다.

 

  "211.55.29.46" IP를 통해 유포된 WindowsDriver.dll 악성코드 정보 (2013.10.5)

 

당시 추가 다운로드된 a.exe 파일은 "211.55.29.46" IP를 통해 유포된 사례에서 소개한 WindowsDriver.dll 악성 파일을 생성하여 도박성 온라인 게임을 표적으로 하는 변종으로 확인되고 있습니다.

  • h**p://211.55.29.46/pc/hangame.exe (MD5 : 0e4b15ed18a4168d4fd06dccfe7485fb) - MSE : Backdoor:Win32/PcClient.ZR (VT : 21/47) :: 2013년 10월 6일

그 이후 2013년 10월 6일 분석 당시에서는 추가 다운로드 파일을 변경하여 현재까지 hangame.exe 파일로 등록된 파일을 다운로드 시도하고 있으며, 이 글에서는 이 내용을 중심으로 소개해 드리겠습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\73396879.dll
 - MD5 : 420c77392727dff95b567c1a313042b1
 - ESET : a variant of Win32/Farfli.AK (VT : 11/48)

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - 73396879 = 73396879
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_73396879
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\73396879

hangame.exe 악성 파일 감염을 통해 73396879 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\svchost.exe -k 73396879" 파일을 자동 실행하도록 구성되어 있으며, 실행된 서비스 파일(svchost.exe) 프로세스에는 "C:\WINDOWS\system32\73396879.dll" 모듈이 추가되어 있습니다.

시스템 폴더에 생성된 "C:\WINDOWS\system32\73396879.dll" 파일은 숨김(H) 속성값을 가지고 있으며, 파일 크기는 100MB의 비정상적인 크기를 통해 보안 제품의 진단을 우회 시도하고 있는 것이 특징입니다.

이렇게 감염된 환경에서 시스템 부팅 후 자동 실행된 73396879 서비스는 15분이 경과하면 마이크로소프트(Microsoft)사의 "Version Reporter Applet" 파일인 egui.exe 파일을 실행하여 사용자 운영 체제의 버전 등의 정보를 체크한 후 "taskkill -f -im egui.exe" 명령어로 종료 처리합니다.

  • h**p://ciygqn1.vicp.net/mmm/m.txt (m.exe)

그 후 20분 경과시 "ciygqn1.vicp.net (211.55.29.46)" C&C 서버와 연결하여 추가적인 파일 다운로드를 시도하며 테스트 당시에는 파일이 확인되지 않고 있습니다.

 

이를 통해 추가적인 감염이 성공한다면 과거 관련 변종을 조사해보면 원격 제어(Gh0st), 키로깅(Keylogging) 등의 기능을 가진 악성코드 유포와 연관된 것으로 추정됩니다.

 

현재 보안 제품을 통해 진단이 상당 부분 이루어지고 있으리라 판단되며, 수동으로 해당 악성코드를 제거하기 위해서는 다음과 같은 절차를 수행하시기 바랍니다.

 

(1) 실행창에 [sc stop "73396879"] [sc delete "73396879"] 명령어를 순차적으로 입력 및 실행하여 73396879 서비스 프로세스 종료 및 삭제를 할 수 있습니다.

(2) 폴더 옵션에서 "숨김 파일 및 폴더 표시"에 체크한 후, "C:\WINDOWS\system32\73396879.dll" 파일을 찾아 삭제하시기 바랍니다.

 

모든 절차가 완료된 후에는 반드시 보안 제품을 이용하여 추가적인 정밀 검사를 진행하시기 바랍니다.

 

"bkpops 1.0" 악성 프로그램(유포명 : 그리드, Greed 등)의 다양한 변종은 현재까지도 블로그, 파일 자료실 등에 등록된 첨부 파일 또는 링크를 통해 유포가 이루어지고 있는 것으로 보이며, 앞으로도 지속적인 변종 프로그램을 제작하여 당당하게 각종 광고 프로그램 속에 숨어서 활동할 것으로 보입니다.

 

그러므로 블로그 등에 등록된 파일을 다운로드하여 실행하는 행위 자체를 매우 엄격히 제한하지 않는 한 이런 악성 프로그램으로부터 결코 자유로울 수 없을 것이므로 주의하시기 바랍니다.