40곳 관리자 계정정보 노린 악성코드 상세 분석

2013년 7월 26일 보안뉴스에서 '언론사.포털 등 40곳 관리자 계정정보 노린 악성코드 출현!'이 보도되었다.

관련 악성코드를 분석 한 결과 유사 악성코드는 2012년 봄부터 배포되었으며 여름부터 사용자 및 관리자 계정을 훔치는 기능이 추가 된 것으로 확인되었다.

현재까지 정확한 감염 경로는 알려지지 않았지만 홈페이지를 변조해 취약한 웹브라우저로 접속 했을 때 감염되는 것으로 추정된다.  

관련 악성코드는 관계도는 다음과 같다.

1. DSC_UP0399.jpg (imagebase11381.exe) 분석

감염된 시스템은 ahnurl.sys와 olesau32.dll 파일이 생성한다. 

감염된 시스템에서 온라인 게임을 로그인 할 때 로그인 정보를 탈취하는 일반적인 온라인 게임 정보 탈취 악성코드이다. 게임 로그인 정보 외 특정 주소에 접속하면 로그인 정보를 유출하고 원격제어(백도어) 기능이 있는 파일을 다운로드 한다. 

특정 주소는 방송사, 신문사, 포털, 쇼핑몰, 게임사, 보안 시스템 관리 등으로 직원이나 관리자 시스템을 노린 것으로 추정된다.

접속하는 주소에 따라 120504.gif ~ 120547.gif 중 하나를 다운로드한다.

2. 1205xx.gif 분석

DSC_UP0399.jpg가 다운로드 한 파일은 코드는 동일하고 시스템에 등록되는 정보만 다르다. 감시 대상 시스템을 구분하기 위한 목적으로 추정된다.

악성코드가 실행되면 mpeg4c32.dll와 tcpipport.sys 파일을 생성한다. mpeg4c32.dll은 중국산 원격제어 프로그램으로 공격자가 감염 시스템을 감시 할 수 있다.

HKEY_LOCAL_MACHINE\Software\QQ\QQNETPET 에 C&C IP, Port, IP 키 생성한다

MasterDNSE는 공격자 주소, MasterPort는 포트, NetPetName은 원격제어 대상 식별자이다.

윈도우 업데이트 등 백그라운드에서 데이터를 전송 받는 서비스인 BITS Service를 중단 및 자동실행 해제하고 Parameter를 %system32%mpeg4C32.dll로 변경한다.

%SYSTEM32%MPEg4C32.dll 파일을 찾아 없으면 생성한다. 

Mpeg4c32.dll을 BITS Service 서비스로 등록해 윈도우 시작 할 때 악성코드가 실행되게 한다.

Tcpipport.sys는 mpeg4c32.dll로 부터 숨길 포트번호(80번 포트)를 받아서 통신 포트를 숨기는 역할을 한다. V3 2012.05.29.00 이후 엔진에서 Win-Trojan/Rootkit.13328로 진단한다.

3. mpeg4c32.dll 분석

MPEg4C32.dll는 시스템 IP, 악성코드의 버전(Version 1.1 Beta), 시스템 이름, 사용자 이름, 시스템 버전 등을 주기적으로 전송한다. 

mprg4c32.dll은 중국에서 제작된 원격제어 프로그램 소스를 이용해 제작한 것으로 추정된다. 

녹음, 화면 캡쳐 등의 기능이 있다. 따라서 공격자는 로그인 주소뿐 아니라 해당 시스템을 훔쳐 볼 수 있다.

V3 2012.05.29.00 이후 엔진에서 Win-Trojan/Agent.102400.ADY로 진단한다.

해당 악성코드는 V3 제품군에서 2013.07.26.05 이후 엔진에서 진단/치료(삭제)가 가능하다. 일부 변형에 대해서는 2012.03.27.04 이후 엔진에서 진단/치료(삭제)된다.

Trojan/Win32.Hidep

Trojan/Win32.Ddkr

Trojan/Win32.OnlineGameHack

Backdoor/Win32.Agent

Win-Trojan/Agent.102400.ADY

'40곳 관리자 계정 정보 노린 악성코드 출현!'이라는 기사에서 다뤄진 다수의 악성코드 분석결과 국내 온라인 게임 사용자 계정 정보 수집 기능과 특정 URL 접근시, 계정 ID와 암호를 유출하며, 원격제어 기능을 수행하는 악성코드를 추가적으로 다운로드 하는 기능이 확인 되었다. 특정 URL의 경우, 기업 내 일반 사용자 보다는 기업 인프라 관리자들이 접근하는 주소로 판단된다. 

따라서 악성코드 제작자는 감염된 시스템의 사용자가 기업 내부 인프라 접속자나 관리자인지 판단하기 위해 특정 URL 접근 여부를 확인하는 기능을 사용했고, 이 조건에 따라 관리자 시스템으로 인지한 경우 로그인 정보를 유출하고 원격에서 제어할 수 있는 추가적인 악성코드를 설치하여 기업 내부를 장악할 목적으로 해당 악성코드들을 제작/배포한 것으로 추정된다.