본문 바로가기
악성코드 정보

사이트 하나 접속했을 뿐인데, Browser update?!

by 알 수 없는 사용자 2011. 6. 9.

1. 서론

최근 DHCP 환경에서 DNS Server 의 주소가 확인되지 않은 IP로 변경되어, 인터넷 이용이 불가하다는 일부 문의가 접수되고 있어 주의가 필요하다.


2. 전파 방법 및 감염 경로

- 공유 네트워크로 전파
- 이동식 저장매체를 통한 전파
- 감염된 시스템으로 부터, DNS Server 변조에 의한 전파


3. 악성코드 감염 증상

악성코드 감염시, 아래와 같이 파일이 생성된다.

%Temp%\srv(랜덤3자리).tmp
%Temp%\srv(랜덤3자리).ini

공유 네트워크내 쓰기 가능한 폴더나 이동식 디스크에는 다음과 같은 형태의 파일이 생성된다.

setup(랜덤한 숫자).fon 
myporno.avi.lnk // MS10-046 취약점 이용
pornmovs.lnk // MS10-046 취약점 이용
autorun.inf

동작중인 시스템을 파악하기 위해(공격 대상 시스템 확인) 동일한 네트워크 대역에 대해서 지속적으로 스캔 작업을 수행한다.

[그림 1] 동일 네트워크 대역 스캔



다른 시스템에 악성코드에 감염 시키기 위해, 감염된 시스템을 DHCP Server 로 위장하여 DNS 정보를 변경하기 위한 동작을 한다.


아래의 [그림 2]는 정상적인 DHCP 동작 과정이다.

[그림 2] 정상적인 DHCP 동작 패킷



DHCP를 설정하여 IP를 할당 받는 시스템의 경우, 위와 같은 과정을 통해서 IP 정보를 할당 받게된다.

할당 받고자 하는 시스템이 ① DHCP Discover 을 통해(Broadcast) DHCP Server 를 찾는다. 해당 패킷을 수신한 DHCP Server는 ② DHCP offer 를 통해 자신을 알리고, 요청 시스템은 DHCP Server 를 선택하여 ③ DHCP Request 를 통해 회신한다. 그러면 DHCP Server 는 ④ DHCP ACK 를 통해 IP 정보를 할당한다.

하지만, 감염된 시스템(여기서는 192.168.211.128)의 경우 자신을 DHCP Server 로 받아들이도록 아래와 같이 DHCP offer 패킷을 보내고, 응답한다.

[그림 3] 감염 시스템을 통한 DHCP 패킷



아래 그림은 감염된 시스템이 DHCP Server 로부터 IP 할당을 요청한 주변 시스템에 보내는 악의적인 의도의 DHCP ACK 패킷 정보이다.

[그림 4] DHCP 패킷 상세정보


할당되는 Domain Name Server(DNS) 정보가 악의적인 목적의 IP 로 셋팅되어 전달되는 것이다.

시스템의 IP 구정 정보(ipconfig /all) 를 통해 정보 확인시 변조된 DNS Server 정보를 확인할 수 있다. 그리고 DHCP Server 정보도 감염된 시스템의 정보로 변경되어 있다.

[그림 5] 변조된 DHCP/DNS 정보 확인


DNS 정보가 악의적인 목적의 IP로 변경되며, 이로 인해 방문하고자 하는 웹페이지의 URL을 DNS에 쿼리하여도 악의적 목적의 IP(DNS로 등록된 IP와 동일)를 응답받게 되므로 아래와 같은 사회 공학 기법을 통한 악성코드 유포 페이지로 연결된다.

[그림 6] 변조된 DNS 에 의한 페이지 연결


겉으로는 사용하는 브라우저의 버전으로는 페이지를 볼 수 없다는 메시지와 함께, 브라우저 업데이트를 유도한다.

그림에서 확인되는 URL 주소, 그리고 파일 다운로드 출처도 구글로 확인되지만 실제 구글 도메인에서 제공하는 페이지는 아니다.

단지, 변조된 DNS 에 의해 구글 도메인으로 매칭된 IP 주소가 실제 구글의 접속 IP가 아닌, 악의적인 목적의 페이지를 보여주기 위한 IP로 자동 연결되는 것이다.


결과적으로 URL은 www.google.com 으로 보이지만 실제로는 관련없는 다른 페이지(악의적인 목적의)가 보여지는 것이다. 이는 구글 주소 뿐만이 아니라, 어느 사이트의 URL을 입력해도 마찬가지이다.

그리고 [Browser update] 버튼을 클릭하는 순~ 간!... 제명이 되는게.. 아닌 아래의 그림과 같이 update.exe 파일 다운로드 창이 뜬다. 해당 파일을 실행하게 되면, 동일한 동작을 하는 악성코드에 감염되게 된다.

[그림 7] Browser update 버튼 클릭



4. DNS 변조 시스템 임시 조치 방법

[시작] > [제어판] > [네트워크 연결]에서 사용하는 연결(예. 로컬 영역 연결)을 더블클릭한 다음, [일반]탭의 [속성]을 선택한다.

그리고 "인터넷 프로토콜(TCP/IP)"를 더블클릭하면 아래와 같은 화면이 나온다.

[그림 8] TCP/IP 등록 정보


"자동으로 DNS 서버 주소 받기"에서 > "다음 DNS 서버 주소 사용"으로 변경한 후, 기본 설정 DNS 서버의 값을 내부에서 사용하는 또는 아래의 임의의 DNS Server 주소로 설정한다.

Google

KT

SK 브로드밴드

LG 파워콤

8.8.8.8

168.126.63.1

174.139.9.250

174.139.11.254


이후에는 감염된 시스템을 찾아(DHCP Server 로 등록된 시스템 추적 또는 패킷 확인) V3 제품을 최신엔진으로 업데트한 후, 정밀 검사(수동 검사)를 통한 시스템 전체 검사를 수행한다.

백신으로 조치되지 않는 경우, 안철수연구소 홈페이지(www.ahnlab.com)의 '바이러스 신고센터'(또는 지금 보시는 페이지 상단)를 통해 문의 접수 후 지원받을 수 있다.


5. 진단 현황

현재 V3 제품에서는 아래와 같이 진단 가능하다.

Win-Trojan/Agent.55808.JO (2011.06.03.00)
Win-Trojan/Zbot.59392.K (2011.06.07.00)
Win-Trojan/Zbot.59392.R (2011.06.08.01)
Trojan/Win32.Zbot

[표 1] V3 진단 리스트

이후에도 추가적인 관련 악성코드 발견시, 신속하게 V3 엔진에 반영될 예정이다.

댓글