인터넷 익스플로러 취약점 악용으로 유포된 관리자 계정 탈취 악성코드 변형

이번 악성코드의 유포방식은 10월에 알려진 변형들은 IE 제로데이 취약점을 사용하였다. 

2013년 10월9일 보안패치가 나온 것을 감안 하면 그 이전부터 유포가 진행되었을 가능성이 높으며, 취약점 패치를 하지 않은 PC에는 여전히 유포 가능성이 존재한다. 아울러, CDN 서비스 업체인 G사를 통해 서비스 운영 중인 웹 사이트가 악성코드 배포지 중 일부로 악용된 것으로 추정된다. 

Microsoft Security Bulletin MS13-080 - 긴급

Internet Explorer 누적 보안 업데이트 (2879017)

아래 그림은 IE 제로데이 취약점을 통해 감염이 이루어지는 과정을 나타낸다. 붉은색 블록으로 표시한 파일이 실제 핵심적인 기능을 수행하며, "악성코드 다운로드" 및 "관리자 페이지 계정정보 유출" 기능을 갖고 있다. 

위 그림에 존재하는 swf.js는 guy2.html 파일을 iframe 태그로 로딩하는 기능을 가지고 있으며, guy2.html 은 다음의 2가지 기능을 가지고 있다. 

- 특정 국산 백신들에 대한 무력화 시도 

- 특정 사이트로부터 파일을 다운로드하고 실행

swf.js는 난독화가 되어 있으며, 이를 해제한 내용은 다음과 같다. 

guy2.html 에 존재하는 쉘코드는 Explorer.exe 프로세스에 코드를 인젝션 한 후 백신들을 무력화(삭제) 하기 위하여 레지스트리를 확인한다. 

백신 무력화에 성공한 이후,  아래 URL에서 파일을 다운받아 저장하고, 저장된 main001.gif 파일을 읽어서 첫 2바이트를 MZ 로 패치한 후 실행한다.  

- http://***.***.***.***/mii/fird.gif

- C:\DOCUME~1\(사용자계정명)\LOCALS~1\Temp\main001.gif

 * 쉘코드에 의한 백신 무력화 기능으로 인해, 기진단 샘플임에도 불구하고 백신이 무력화 된 상태에서 악성코드가 다운될 것으로 추정됨 

 * 단, V3Lite 3.0은 IP/URL 차단기능으로 인해 사전 차단이 가능함

Fird.gif 는 드롭퍼와 다운로더 기능을 가지고 있다. 생성되는 파일의 경로는 다음과 같다.

- c:\windows\system32\drivers\fironancosftccorpds.sys ( 또는 firanhncorpds.sys ) 

생성되는 드라이버 파일 fironancosftccorpds.sys 은 다음 백신들의 무력화를 시도 한다.

MpfSrv.exe	mcsysmon.exe	McNASvc.exe	Mcshield.exe
McProxy.exe	mcagent.exe	MsMpEng.exe	MpCmdRun.exe
msseces.exe	vmacthlp.exe	VMUpgradeHelper.exe	RSUpdSrv.rse
RSAgent.rse	RSRTSrv.rse	vcrmon.exe	SpiderNT.exe
vrmonnt.exe	vrmonsvc.exe	HFACSvc.exe	vrptsvc.exe
vrscan.exe	hpcsvc.exe	vrfwsvc.exe	hUpSvc.exe
hVrCommandSvc.exe	hVrMalSvc.exe	hVrTray.exe	AYRTSrv.exe
AYUpdSrv.exe	AYAgent.exe	AYRTSrv.aye	AYServiceNT.aye
AYUpdSrv.aye	ALYac.aye	AYUpdate.aye	AYAgent.aye
sgsvc.exe	Nsavsvc.npc	Nsvmon.npc	NVCAgent.npc
Nsavsvc.exe	Nsvmon.exe	NVCAgent.exe	NVCUpgrader.exe
NaverAgent.exe	NVCUpgrader.npc	avp.exe	AvastSvc.exe
avsx.exe	AvastUI.exe	ashUpd.exe	V3IMPro.exe
V3P3AT.exe	MonSysNT.exe	MonSvcNT.exe	v3impro.exe
v3p3at.exe	monsysnt.exe	monsvcnt.exe	AhnSD.exe
AhnSDsv.exe	ASDCr.exe	ASDCli.exe	ASDUp.exe
V3LNetdn.exe	V3LiteExp.exe	ASDSvc.exe	V3Lite.exe
V3LSvc.exe	V3LTray.exe	V3Light.exe	V3Medic.exe
V3LRun.exe	MUpdate2.exe

그리고 다음 경로에서 파일을 다운로드 및 실행한다.

- hxxp://***.***.***.***/mii/firw.gif

Firw.gif 는 드롭퍼 기능을 갖는다. 백신들을 무력화 하고 특정 사이트들의 관리자 계정과 온라인 게임들의 사용자 계정을 훔쳐낸다. 

그리고 특정 사이트들로부터 랜덤.jpg 파일을 무한히 요청하는 시도를 한다. 해당 악성코드에 의해 드롭되는 파일은 다음 경로에 생성된다.

- c:\windows\olesau32.dll

- c:\windows\svchost.exe

- c:\windows\system32\drivers\ahnurla.sys

olesau32.dll은 크게 다음의 3가지 주요 기능을 가지고 있다. 

- 랜덤명.jpg" 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발 (도메인 리스트 A 참고)

- 관리자 계정 유출 (도메인 리스트 B참고, 최근에 발견된 변형에서 이 기능은 제외됨)

- 온라인 게임 사용자 계정 유출

* 현재 국내 무료 백신들을 테스트한 결과 olesau32.dll을 진단하지 못하고 있음

Svchost.exe 는 랜덤명.jpg 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발하는 기능만을 (도메인 리스트 A 참고) 가지고 있다.  

상기 도메인 리스트(A)은 실제 파일이 존재하지 않을 경우에 웹 서버에 부하를 발생시키는 DDoS를 유발하며, 변종 마다 전체 도메인에 대한 요청 주기가 차이가 날 것으로 추정된다. 

그러나, 해당 파일이 존재할 경우 추가 악성코드 유포로 악용될 수 있으며, 실제 아래 URL의 경우, 지난 7월에 악성코드 배포 이력을 가지고 있는 것을 확인하였다. 

루트킷 기능을 가지고 있으며, ahnurla.sys와 olesau32.dll을 은폐한다. 또한, 다음 백신 관련 프로세스들에 대해 무력화를 시도한다. 

RSUpdSrv.rse	RSAgent.rse	RSRTSrv.rse	vcrmon.exe
SpiderNT.exe	vrmonnt.exe	vrmonsvc.exe	HFACSvc.exe
vrptsvc.exe	vrscan.exe	hpcsvc.exe	vrfwsvc.exe
hUpSvc.exe	hVrCommandSvc.exe	hVrMalSvc.exe	hVrTray.exe
AvastSvc.exe	avsx.exe	AvastUI.exe	ashUpd.exe
avp.exe	V3IMPro.exe	V3P3AT.exe	MonSysNT.exe
MonSvcNT.exe	v3impro.exe	v3p3at.exe	monsysnt.exe
monsvcnt.exe	AhnSD.exe	AhnSDsv.exe	ASDCr.exe
ASDCli.exe	ASDUp.exe	V3LNetdn.exe	V3LiteExp.exe
ASDSvc.exe	V3LSvc.exe	V3LTray.exe	V3Light.exe
V3Medic.exe	V3LRun.exe	MUpdate2.exe	AYRTSrv.exe
AYUpdSrv.exe	AYAgent.exe	AYRTSrv.aye	AYServiceNT.aye
AYAgent.aye	AYUpdSrv.aye	ALYac.aye	AYUpdate.aye
Nsavsvc.npc	Nsvmon.npc	NVCAgent.npc	Nsavsvc.exe
Nsvmon.exe	NVCAgent.exe	NVCUpgrader.exe	NaverAgent.exe
NVCUpgrader.npc

"관리자 계정 정보 노린 악성코드 출현!" 이라는 기사에서 다뤄진 다수의 악성코드 분석 결과로 미루어 볼때 국내 온라인 게임 사용자 계정정보 수집 기능과 변형에 따라서 특정 URL 접근시, 계정 ID, PW 를 유출한다. 

도메인 리스트 (A) 에 있는 자사의 웹 페이지들(www.ahnlab.com, m.ahnlab.com, www.v3lite.com)에 대해 10월 28일부터 10월 31일까지 4일 동안 공격을 시도한 IP를 조사한 결과, 중복되지 않는 IP 47만대로부터 공격 시도가 확인 되었다. 

또한,  일자별 공격 IP를 보면 10월 29일 30만대로 급증한 후에 계속 그 수준을 유지하고 있다. 따라서, 해당 악성코드가 감염된 PC들이 상당히 많이 존재하고 있음을 알 수 있다. 

다음은 안랩 대상 공격 IP들에 대한 국가별 분포도이며, 대부분이 국내에 존재하고 있음을 확인할 수 있다. 

IE 취약점을 이용해 배포되고 있는 악성코드는 백신 무력화와 은폐 기능을 가지고 있으며 일부 파일에 대해서는 미진단 상태로 확인되었다. ( 단, V3Lite 3.0은 사전 차단 가능 확인 )

따라서, 안랩 웹 사이트를 대상으로 공격을 시도하고 있는 IP들은 대부분 백신이 무력화 되어 있거나, 미진단 상태의 악성코드에 감염된 것으로 추정된다. ( 구 버전 V3Lite 2.0 사용자, 타사 백신 사용자, 백신 미사용자 )

해당 악성코드는 존재하지 않는 파일에 대한 무한 요청으로 인해 DDoS를 유발하며, 국내 온라인 게임 사용자 계정 정보 수집과 특정 URL 접근 시 계정 정보를 유출하는 기능도 가지고 있다. 특히, 특정 URL의 경우 기업 내 관리자들이 접근하는 주소로 판단된다. 

현재 악성코드의 기능과 확산 상태로 볼 때, 계정 정보 유출, 기업 내부 장악, DDoS 등 다양한 목적으로 악용이 가능하며, 추가 피해를 차단하기 위해서는 대응책 마련이 매우 시급한 상태이다. 

악성코드의 기능과 확산 정보로 볼 때, 단순한 엔진 업데이트를 통한 치료로는 한계가 존재하기 때문에 전용백신을 통한 치료가 필요한 상황이다. 

- V3 IE (MS13-080) Malware

IE 취약점을 이용해 배포되고 있는 만큼, IE 취약점 패치에 대한 적극적인 권고가 필요하다.