클라우드 보안 제품을 우회하기 위한 악성코드 발견

미국 현지 시각으로 2011년 1월 18일 마이크로소프트(Microsoft)의 Microsoft Malware Protection Center에서는 블로그 "Bohu Takes Aim at the Cloud"을 통해 최근 많은 보안 업체에서 도입하고 있는 클라우드 안티 바이러스(Cloud Anti-Virus) 소프트웨어의 탐지를 회피하는 기능을 가진 악성코드가 발견되었음을 공개하였다.

이 번에 발견된 클라우드 안티 바이러스 소프트웨어의 탐지를 회피하기 위해 제작된 악성코드는 불법적인 광고와 중국에 위치한 특정 포털 웹 사이트의 사용자 정보 등을 탈취할 목적으로 제작되었다. 그 제작과정에서 중국 일부 보안 업체에서 제작한 클라우드 안티 바이러스 소프트웨어들을 대상으로 그 탐지를 우회하도록 제작되었다.

해당 악성코드는 Nullsoft PiMP로 제작된 인스톨(Install) 파일이며 실행되면 아래 이미지에서와 같이 "SUYU 고청영음"이라는 동영상 프로그램의 설치 파일로 되어 있다.

그러나 사용자가 인지하지 못하도록 백그라운드로 다음 파일들을 시스템에 생성하고 실행하도록 되어 있다.

C:\Program Files\baidu\msfsg.exe (369,664 바이트)

C:\Program Files\baidu\uninst18.exe

생성된 msfsg.exe (369,664 바이트) 파일은 실질적으로 악의적인 기능들과 클라우드 안티 바이러스 소프트웨어의 탐지를 우회하기 위한 다음 파일들을 생성하게 된다.

C:\Program Files\baidu\spass.dll (710,656 바이트)

C:\Program Files\baidu\siglow.sys (17,024 바이트)

C:\Program Files\baidu\siglow.dll (37,888 바이트)

생성된 해당 파일들은 msfsg.exe (369,664 바이트) 파일에 의해 메모리로 모두 로드한 이후에 로컬 시스템에서는 모두 삭제된다. 그리고 사용자에게는 아래와 같은 동영상 플레이어 프로그램을 보여주어 정상적으로 동영상 플레이어가 설치된 것으로 인지하도록 만든다.

생성된 파일들 중에서 실질적으로 클라우드 안티 바이러스 소프트웨어의 탐지를 우회하는 기능을 수행하는 파일은 siglow.sys (17,024 바이트)이다. 해당 드라이버 파일은 siglow 라는 서비스명으로 시스템에 로드되면 네트워크 패킷을 NDIS(Network Driver Interface Specification) 단계에서 후킹하게 된다.

그리고 외부로 전송되는 패킷 중 아래 이미지에서와 같이 드라이버 파일에서 정의한 중국 보안 업체에서 제작한 클라우드 안티 바이러스 소프트웨어의 네트워크 주소 문자열이 포함되어 있을 경우에는 이를 차단하게 된다.

결국 해당 악성코드는 클라우드 안티 바이러스 소프트웨어가 악성코드 탐지를 위해 네트워크로 진단과 관련한 정보들을 전송한다는 점을 악용하여 관련 서버들로 정보 전송을 차단하는 방식으로 탐지를 우회하고자 한 것으로 분석된다.

이 번에 발견된 클라우드 안티 바이러스 소프트웨어를 우회하기 위한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bohu.2229512

Win-Trojan/Bohu.17024

Win-Trojan/Bohu.37888

Win-Trojan/Bohu.710656

이 번에 발견된 해당 Bohu 트로이목마는 최초의 안티 클라우드(Anti-Cloud) 악성코드라는 점에서 큰 의미를 가지고 있으며 역사적으로 악성코드 제작자에 의해 새로운 감염 기법을 적용한 악성코드가 발견되면 이에 대응하기 위해 안티 바이러스(Anti-Virus) 업체에서는 새로운 탐지 및 대응 기법을 개발하는 순환적인 구조를 이루고 있었다.

그러므로 Bohu 트로이목마의 발견은 악성코드 제작자에 의해 클라우드 안티 바이러스 소프트웨어의 탐지 기법들이 파악 및 분석되고 있으며 이를 회피하기 위한 기법들을 적용하기 시작한 것으로 볼 수 있다. 이러한 탐지 회피 기법은 지속적으로 발전하여 새로운 안티 클라우드 기법들이 적용된 악성코드들이 지속적으로 제작될 것으로 예측된다.