출처 :  안랩 > 보안이슈 

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23506&dir_group_dist=0



최신 보안 위협 및 대응책 점검

 

IT에서 정보보안(Information Security)은 정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미한다. 반면, 보안 위협(Security Threat)이란 어떠한 목적 하에 정보의 안전성을 위협하는 행위를 일컫는다. 정보보안의 역사가 시작된 이래로 수많은 보안 위협과 다양한 공격 기법이 생겨났다. 그리고 이러한 보안 위협의 중심에 있는 것이 바로 악성코드(Malware). 모든 보안 위협이나 최신 지능형 공격에서 악성코드가 사용되는 것은 아니다. 하지만 가장 많이 사용되고 있는 것이 악성코드를 이용한 공격임에는 틀림없다. 


이 글에서는 최근 사회적 이슈가 되고 있는 악성코드를 이용한 보안 위협인 랜섬웨어, 파밍, 스피어 피싱이 무엇인지 알아본다. 또한 그 예방법과 안랩 제품을 이용한 대응책에 대해 소개한다.

 


사이버 인질, 랜섬웨어

 

랜섬웨어(Ransomware)는 ransom(몸값)과 software(소프트웨어)의 합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭이다. 
랜섬웨어는 이미 해외에서는 수년 전부터 등장한 공격수법이나 그 동안 국내에서는 큰 영향력은 없었다. 그러나 지난해 PC 감염 사례가 보고되기 시작한 이후 최근에는 국내 일부 기업과 기관의 피해 사례가 발생한 것으로 알려지고 있다. 특히, 모바일을 겨냥한 랜섬웨어, 게이머들의 돈을 노리는 랜섬웨어가 발견되는 등 점점 수법이 더욱 정교해지고 그 피해 사례도 늘어나고 있는 추세이다.

 

랜섬웨어는 스팸 메일을 보내 사용자들에게 첨부 파일을 클릭하도록 유도하는 방식이 가장 많이 쓰이고 있으며, SNS(Social Network Service)나 포털을 통한 악성코드 다운로드 형태로도 유포되고 있다.  

 

사용자가 이메일에 첨부된 파일을 클릭하면 PC 화면에 랜섬웨어에 감염되었다는 메시지와 함께 PC에 저장된 사진이나 문서 파일 등을 복잡한 알고리즘으로 암호화해 알아볼 수 없게 만든다. 또한 공격자는 이 파일의 암호를 풀기 원한다면 금전을 보낼 것을 요구한다. 파일에 대한 몸값은 페이팔과 같은 온라인 결제 서비스나 비트코인과 같은 온라인 가상화폐를 요구하기도 한다.

 

[그림 1] 비트코인을 요구하는 랜섬웨어

 

대표적인 랜섬웨어는 다음과 같다.  

 

■ 심플로커(SimpleLocker): 모바일 랜섬웨어의 일종으로 스마트폰의 사진이나 동영상, 문서를 암호화해서 금전을 요구한다. 2014년 5월부터 꾸준히 발견되고 있다.


■ 크립토락커(CryptoLocker): 피해자 PC의 파일을 암호화한 후 비트코인이나 현금을 요구하며, 돈을 보내지 않으면 이를 풀어주지 않겠다고 협박한다.


■ 스케어웨어(Scareware): 이 랜섬웨어는 가장 단순한 형태의 악성코드로 대체로 가짜 안티바이러스 프로그램이나 바이러스 제거 툴로 위장해 PC에 문제가 많으니 돈을 내고 이를 고쳐야 한다고 경고한다. 이런 류의 랜섬웨어 가운데 일부는 PC를 사용할 수 있게 하지만, 대신 경고창과 팝업으로 도배를 해서 불편을 주는가 하면 아예 프로그램 작동이 되지 않게 하는 경우도 있다.


■ 락-스크린(Lock-Screen): 이 랜섬웨어에 감염되면 PC를 전혀 사용할 수 없다. 일반적으로 풀 사이즈 윈도 창을 여러 개 띄우는데 FBI나 사법부 로고를 박아놓고 불법 다운로드 등으로 법을 어겼으니 벌금을 내야 한다며 협박하기도 한다.

 

[그림 2] 파일을 암호화하고 금전을 요구하는 크립토락커

 

랜섬웨어에 감염된 경우, 금전을 지불하더라도 대부분 파일을 정상화할 수 없으므로 사전 예방이 무엇보다 중요하다. 지금부터 랜섬웨어에 대한 예방법과 랜섬웨어에 감염됐을 경우 암호화된 데이터를 복구할 수 있는 방법을 알아보자.


최근 보고된 랜섬웨어는 대부분 스팸 메일을 통해 확산되고 있다. 따라서 출처가 불분명하거나 분명한 출처의 이메일이라도 스팸성으로 의심되면 메일이나 첨부 파일의 실행을 자제하고 삭제해야 한다. 또한 자신이 사용하는 OS별 방법에 따라 업무 및 기밀 문서 등의 주요 파일을 백업하고, 백업한 파일은 PC 저장 장치 외에 외부저장 장치에 별도로 저장하는 것이 안전하다. 

 

중요한 문서라면 ‘읽기전용’으로 설정하는 것도 피해 예방에 도움이 된다. 대부분의 랜섬웨어는 파일을 수정하면서 암호화를 시도하기 때문에 중요 파일을 수정하거나 편집한 후에는 읽기전용으로 속성을 변경하면 일부 랜섬웨어에 의한 파일 수정(암호화)을 막을 수 있다. 즉, 중요도가 매우 높은 문서의 속성을 읽기전용으로 설정하여 보관하다가 수정이 필요하면 해당 속성을 해제한 후 수정하고, 수정이 끝나면 다시 속성을 읽기전용으로 바꾸어 보관하는 것이다.

 

PC 못지 않게 ‘심플로커(SimpleLocker)’와 같이 안드로이드 기반의 스마트폰 내 정보를 ‘인질’로 잡고, 금전을 요구하는 스마트폰 랜섬웨어도 자주 발견되고 있다. 따라서 스마트폰 사용자는 공식 마켓 외에는 앱 다운로드를 자제하고 '알 수 없는 출처[소스]'의 허용 금지를 설정하는 것이 좋다. 공식 마켓에도 악성 앱이 업로드되는 경우가 있으므로 앱 다운로드 전 평판 정보를 확인해야 한다. 또한, 해당 앱은 스미싱을 통해서도 전파될 수 있으므로, 문자 메시지나 SNS 등에 포함된 URL 실행을 자제하고, 모바일 전용 보안 앱이나 스미싱 탐지 앱 등을 설치 및 실행하는 것이 좋다. 랜섬웨어에 감염되면 스마트폰을 안전모드(단말기 제조사 별로 상이)로 부팅한 후 [설정] → [기기관리자(휴대폰 관리자)] 메뉴에서 랜섬웨어를 포함하고 있는 악성 앱의 비활성화에 체크한다. 이후 애플리케이션 목록에서 해당 앱을 제거하면 된다.

 

 

진짜 같은 가짜, 파밍(Pharming)


파밍(Pharming)이란 합법적인 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤 개인정보를 탈취하는 공격 기법이다. 최근 파밍 공격은 사용자 PC에 악성코드를 감염시켜 은행 사이트에 접속할 경우 가짜 사이트로 연결되도록 조작해 금융 정보를 빼내는 공격 방법으로 가장 많이 사용되고 있다.

 

현재 공격자가 파밍 악성코드를 유포하기 위해 가장 많이 사용하는 방식은 아래와 같다.


■ 다른 프로그램에 포함시킨 채 유포 : 웹하드 프로그램 또는 기타 불필요한 프로그램(Potentially Unwanted Program, 이하 PUP) 범주에 포함될 수 있는 프로그램 내에 인터넷 뱅킹 정보 탈취 악성코드를 숨기는 방식을 이용한다. 즉 원래의 프로그램은 정상적으로 실행시킨 후 악성코드는 백그라운드에서 동작하여 사용자의 공인인증서를 탈취하고, 보안카드 번호 등의 정보를 입력하도록 유도하는 홈페이지로 자동으로 이동하도록 시스템을 조작한다. 사용자는 대부분 다운 받은 프로그램 내에 악성코드가 함께 포함되어 있어 사용자는 시스템이 조작되었다는 사실을 인지하지 못한다다. 따라서 자신이 접속하는 은행 또는 포털 사이트를 정상 사이트로 착각하고 주요 정보를 입력하게 될 우려가 있다.

 


[그림 3] 다른 프로그램에 PUP 파일을 포함시켜 유포한 사례

 

■ 취약한 웹사이트 변조를 통한 유포 : 다수의 사람들이 방문하면서도 보안이 취약한 웹사이트를 파악하여, 일부 웹 페이지를 변조하고 공격자가 제작한 악성코드가 유포될 수 있도록 하는 방법이다. 이때 자바(JAVA) 취약점 등을 함께 악용하는 경우가 많다. 본래는 정상적으로 사용되고 있는 웹사이트에 접속하고 있기 때문에, 대다수 사용자는 자신이 방문 중인 사이트에서 악성코드를 유포하고 있다는 사실을 자각하지 못한 채 시스템이 감염될 수 있다.

 

파밍 악성코드를 예방하기 위해서는 우선 보안 업데이트와 안티바이러스 제품 사용 등 기본 보안 수칙을을 생활화하고, 출처가 불분명한 파일의 다운로드나 이메일의 클릭을 금지한다. 또한 PC 내에 공인인증서를 저장하기 보다는 외부 저장매체에 저장하는 것이 비교적 안전하다. 가능하다면 온라인을 통한 금융거래 시에는 공인인증서와 보안카드 외에 추가 인증 방식을 사용하는 것이 좋다.


특히 주의할 점은 모든 금융 정보의 입력을 요구하는 금융기관은 없다는 것이다. 따라서 과도하게 금융 정보를 요구할 때는 비정상적인 서비스임을 인지하고 정보를 입력하지 말아야 한다. 이외에도 공인인증서를 유출하는 파밍 악성코드에 감염됐다면 신속하게 금융기관에 공인인증서 폐기 요청과 보안카드 재발급을 신청하는 대처도 필요하다.

 

 

사람의 마음마저 속이는 표적형 공격, 스피어 피싱

 

스피어 피싱(Spear Phishing)은 ‘창, 창으로 찌르다’라는 의미의 영어 단어 스피어(Spear)와 ‘사용자를 속이기 위한 사기 이메일 및 기타 행위’를 의미하는 보안 용어인 피싱(Phishing)의 합성어이다. ‘불특정 다수가 아닌 특정인(조직)을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 이용해 악성 웹사이트로 유도 또는 악성 첨부 파일로 악성코드에 감염시키는 일종의 온라인 사기 행위’로 정의할 수 있다.


사용자가 속을 법한 내용의 메일에 악성코드를 첨부하는 것은 상당히 고전적인 공격 방식이다. 그러나 문제는 이런 방법이 아직도 효과가 있다는 점이다. 때문에 보안 전문가들은 ‘최대의 보안 취약점은 바로 사람’이라고 지적하고 있다. 특히 악의적인 목적으로 발송된다는 점은 동일하지만 스피어 피싱이 스팸 메일 등과 구별되는 점은 ▲불특정 다수가 아닌 특정 기관 또는 기업을 노린다는 점(표적성) ▲기밀 정보 유출, 시스템 파괴 등 구체적인 목표를 위한 악성코드를 이용한다는 점(심각성) ▲정상적인 파일로 보이거나 의심하기 어려울 정도로 실제 메일처럼 보이게 하는 점(정교함) 등을 들 수 있다.

 

지능형 공격이라 일컬어지는 APT(Advanced Persistent Threat) 공격 등 고도의 사이버 공격의 시발점으로 많이 이용되고 있는 스피어 피싱. 이로부터 개인과 그 개인이 속한 조직을 보호하려면 조직과 개인 모두의 노력이 필요하다.


기업 및 기관은 스피어 피싱의 심각성에 대해 충분히 인지하고 전반적인 관점에서 대응 방안을 마련해야 한다. 특히 스피어 피싱이 어떻게 APT 등 심각한 공격으로 이어질 수 있는지 맥락을 파악하는 것이 중요하다. 스피어 피싱을 통해 침투하는 악성코드는 특정한 대상을 노리고 특별하게 제작되는 맞춤형 악성코드인 경우가 대부분이다. 따라서 기존에 알려진 악성코드에 대응하기 위한 안티바이러스는 물론, 알려지지 않은 악성코드에 대응할 수 있는 다계층적인 보안 솔루션에 대한 고려도 필요하다. 또한 정기적인 보안 교육과 내부 보안 담당자 육성 등의 노력도 동시에 진행되어야 한다.

 

이와 함께 개인의 관심과 노력이 스피어 피싱의 피해를 예방하는 데 상당한 효과를 거둘 수 있다. 우선, 조금이라도 수상한 메일의 첨부 파일이나 URL을 실행하지 않는 것이 스피어 피싱을 막기 위한 가장 확실한 방법이다. 또한 주로 사용하는 소프트웨어 프로그램의 제조사에서 제공하는 보안 패치나 업데이트는 반드시 적용해야 한다. 특히 문서 파일과 같은 비실행형 파일을 이용하는 스피어 피싱 공격이 증가하는 추세인 만큼 소프트웨어 업데이트는 더욱 중요하다. 아울러 회사 PC에서 실수로라도 모르는 사람에게서 받은 파일이나 내용이 엉성하거나 조잡한 파일을 열었을 때는 즉시 사내 보안 담당자에게 연락해 적절한 조치를 취할 수 있도록 해야 한다.


실제 APT 사례를 통해 확인된 바와 같이 스피어 피싱은 정보 유출부터 시스템 파괴까지 막대한 피해를 유발하는 공격의 시작점이 될 수 있다. 조직과 그 조직에 속한 개인의 노력이 동반되어야만 스피어 피싱의 위협을 피할 수 있다.

 

 

AhnLab MDS, 주요 보안 위협 대응 사례


최근 가장 큰 이슈가 되고 있는 랜섬웨어, 파밍, 스피어 피싱의 특징과 예방 방법에 대해 알아보았다. 지금부터는 안랩의 차세대 지능형 위협 대응 보안 솔루션인 안랩 MDS가 이들 보안 위협에 어떻게 대응하는지 자세히 소개하고자 한다.


안랩 MDS는 신종 악성코드 및 익스플로잇에 대한 ‘탐지-분석-모니터링-대응’ 프로세스를 통해 APT로 일컬어지는 타깃 공격, 고도화된 공격에 효과적으로 대응하는 솔루션이다.

 

1. 랜섬웨어 공격과 대응 프로세스


해커는 공격 대상으로 삼고 있는 사용자가 자주 방문하는 포털 사이트 내 블로그 또는 소셜 네트워크서비스 사이트에 최신 유행하는 화면보호기(scr 확장자)를 가장한 악성코드를 등록해 놓는다. 공격 대상인 사용자가 아무런 의심 없이 해당 사이트를 이용하면서 화면보호기 파일을 다운로드 후 설치한다. 사용자 입장에서는 원하던 최신 유행 화면보호기가 정상적으로 설치된 것으로 보이나, 해당 화면보호기 실행과 동시에 새로운 악성 파일이 은밀하게 다운로드되어 설치된다.


이후 해당 파일은 랜섬웨어로써 사용자의 PC 내 하드디스크를 암호화시키고 강제로 재부팅시킨다. 재부팅 시에는 정상적인 운영체제 부팅이 동작하지 않는 대신 “특정 계좌로 돈을 입금해야 암호를 풀 수 있는 비밀번호를 제공한다”는 랜섬웨어 특유의 협박성 메시지가 보여진다. 이 상태에서 입금하지 않고 비밀번호를 제시하지 못하면, 영구적으로 PC 내 하드디스크를 복호화할 수 없는 상황이 된다. 
 


[그림 4] 포털•SNS의 다운로드에 의한 랜섬웨어 공격 프로세스

 

그럼, 동일한 랜섬웨어에 감염된 상황에서 MDS가 어떻게 효과적으로 대응할 수 있는지 살펴보자.


[그림 5]의 2번과 3번 단계에서 은밀하게 다운로드되는 랜섬웨어 악성코드가 실행되는 시점에 MDS 에이전트는 ‘의심스러운 신규 실행 파일’이라고 판단하여 ‘실행 보류(execution holding)’ 기능을 가동시킨다. 

 

MDS 에이전트에 의해 실행이 보류된 상태에서 MDS는 동적 분석을 통해서 해당 랜섬웨어에 대한 악성 여부를 판정한다. 동적 분석이 완료된 이후에 MDS 에이전트는 ‘실행이 보류된 의심 파일’이 악성이라는 결과를 전달받고 해당 파일을 삭제•격리 조치함으로써 사용자의 PC를 ‘최신 신종 랜섬웨어’로부터 안전하게 보호한다.




[그림 5] 안랩 MDS의 랜섬웨어 대응 프로세스

 

2. 파밍 공격과 대응 프로세스


앞서 랜섬웨어 공격 사례는 인터넷 사용자가 ‘자발적인 클릭’을 통해서 공격이 이뤄졌다면 이번에는 사용자가 아무런 인지 없는 상태에서 ‘악성코드가 자동으로 설치되는 다운로드 실행(drive-by-download)’ 사례다. 

 

해커는 우선 다운로드 실행 방식으로 사용자 인지 없이 악성코드를 감염시킬 수 있는 ‘자바(Java) 취약점 공격’을 수행하는 익스플로잇을 내포한 웹사이트를 준비한다. 일반적으로 해당 웹 서버는 기존에 해킹해 놓은 다른 웹 서버를 활용한다. 선택된 자바 취약점은 공격 대상 사용자의 PC에 설치된 취약한 JVM(Java Virtual Machine) 소프트웨어를 공격함으로써 임의의 명령을 실행하게 된다. 이와 같은 공격 대상 사용자가 특정 웹사이트의 방문을 기다렸다가 공격하는 ‘워터링홀(Watering-hole)’ 공격을 통해서 사용자는 아무런 인지 없이 파밍 공격이 가능한 악성코드에 감염된다. 

 

해당 악성코드는 부팅 시에 자동으로 실행될 수 있도록 시작프로그램 및 윈도 서비스로 자신을 등록하며, 호스트(hosts) 파일을 변조해서 특정 금융사이트에 대한 DNS 쿼리가 해커가 준비한 피싱 사이트로 유도될 수 있도록 조작한다. 

 

다운로드 실행 공격 특성 상 아무런 인지 없이 파밍 악성코드에 감염된 사용자는 평상 시처럼 온라인 뱅킹 서비스를 이용하기 위해서 특정 금융 사이트에 접속한다. 이 과정에서 사용자는 정상적인 금융 사이트에 접속했음을 웹 브라우저 상에 보여지는 도메인 이름을 통해서 확인할 수 있지만, 이것은 해커가 사전에 준비한 ‘정상 금융 사이트와 100% 동일하게 만들어진 파밍 사이트’이다. 사용자는 아무런 의심 없이 해당 사이트가 지시하는 대로 ‘주민등록번호, 계좌번호, 보안카드 비밀번호 등’의 개인정보를 입력하게 되고, 해커는 해당 정보를 바탕으로 실제 온라인 뱅킹을 통해서 계좌를 이체하는 등 부정 금융 거래를 수행한다.
  

[그림 6] 뱅커 및 파밍 공격 프로세스 

 

 

그러면 MDS가 구축된 고객 상황에서 동일한 파밍 악성코드 유입에 대해서 어떻게 대응하는지 살펴보자.


자바 취약점 공격을 통해서 악성 파일이 다운로드되어 실행되는 시점에 MDS 에이전트는 ‘의심스러운 신규 실행 파일’이라고 판단하여 ‘실행 보류(execution holding)’ 기능을 가동시킨다. 

 

MDS 에이전트에 의해서 실행이 보류된 상태에서 MDS는 동적 분석을 통해서 해당 의심 파일에 대한 악성 여부를 판정하게 된다. 동적 분석이 완료된 이후에 MDS 에이전트는 ‘실행이 보류된 의심 파일’이 최종적으로 악성이라는 결과를 전달받고 해당 파일을 삭제•격리 조치함으로써 사용자의 PC를 ‘최신 신종 파밍 악성코드’로부터 안전하게 보호한다.

 


[그림 7] 안랩 MDS의 뱅커 및 파밍 대응 프로세스

 

3. 스피어 피싱 공격과 대응 프로세스


이번 사례는 특정 타깃 공격에 흔히 이용되는 스피어 피싱 공격이다. 해커는 특정 사용자가 관여하고 있는 업무 분야 관련 내용과 제목을 갖는 악성 문서를 제작한다. 해커는 악성코드에 감염된 문서에 암호를 걸어서 기존 보안장비를 통한 분석을 방해했으며, 악성코드 문서를 통해서 2차적으로 ‘키로깅 악성코드’를 SSL 트래픽을 통해서 다운로드 받는 치밀함을 보이고 있다. 

 

아무런 의심 없이 관련 분야 문서로 생각하고 해당 문서를 읽어 본 사용자의 PC에는 키로깅 악성코드가 설치되고, 키로깅을 통해서 내부 중요 자산 서버에 접속하는 계정 정보 등은 C&C 서버로 전달된다. 이후 해커는 ‘원격제어 악성 프로그램’을 설치하여 해당 PC를 통해서 원하는 내부 시스템에 접속하고, 2차적으로 수집한 내부 기밀 정보를 유출하게 된다. 

 

 
[그림 8] 스피어 피싱 공격 프로세스 

 

위와 같은 이메일을 통한 스피어 피싱 공격 과정에서 MDS는 차별화된 기술을 통해서 대응 가능하다.  

 

암호가 설정된 ‘의심 파일’이 첨부된 메일에 대해서 만약 이메일 본문 내 ‘암호해제용 비밀번호’를 추출할 수 있는 경우라면 MDS는 문서형 악성코드 분석에 최적화된 동적 콘텐츠 분석 기술(DICA, Dynamic Intelligent Content Analysis)을 통해서 ‘의심 행위 여부’와 상관 없이 문서 애플리케이션의 제로데이 취약점까지도 정확하게 탐지할 수 있다.
 

 


[그림 9] 안랩 MDS의 스피어 피싱 대응 프로세스

 

만약, 중간에서 비밀번호도 추출하지 못하고 SSL 트래픽으로 다운로드되는 ‘키로깅 악성코드’를 네트워크 상에서 탐지하지 못했다 하더라도, 최종적으로 다운로드된 사용자 PC에서 MDS 에이전트는 실행 보류 기능을 통해서 안전하게 의심 파일의 실행을 차단하게 된다.

 

지금까지 안랩 MDS가 랜섬웨어, 파밍, 스피어 피싱에 악용되는 악성코드에 어떻게 대응하는지 자세히 살펴보았다. 이러한 과정을 거쳐서 수집된 신종 악성코드 정보는 안랩 클라우드 분석 시스템을 거쳐 안티바이러스 제품인 V3, 모바일 보안 제품인 V3 Mobile, 네트워크 보안 제품인 트러스가드(TrusGuard) 등 안랩의 모든 보안 제품에 시그니처와 룰로 반영된다.  

 

마지막으로 랜섬웨어, 파밍, 스피어 피싱과 같은 최신 보안 위협에 대응하고 예방하기 위해서는 보안의 3요소인 사람, 기술, 프로세스가 조화를 이루어야 한다. 즉, 자사의 IT 환경에 최적화된 보안 기술, 보안을 위한 업무 프로세스, 그리고 보안에 대한 조직 구성원들의 인식 개선이 무엇보다 중요하다.  @



출처 :  안랩 > 보안이슈 

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23506&dir_group_dist=0


Win32/AimBot.worm.15872
 
최초 입력시간 : 2009. 02. 10 16:32 (GMT+9) 최종 수정시간 : 2009. 02. 11 00:09 (GMT+9)
위험도
높음 매우높음 높음 보통

다른이름 Win-Trojan/Agent.15872.KM, Virus.Win32.PureMorph!IK, Win32:PureMorph, Generic12.BMBL, Trojan.Win32.Inject.oqw, Virus.Win32.PureMorph, Trojan/W32.Agent.15872.AY, Trojan.Win32.Crypt.15872.B 
생성 파일명 7673010, 20410.sys, system.exe
대표적 증상 시스템 관련, 네트워크 관련, 보안상 위험, 네트워크 트래픽 발생, 사용자 정보 유출
활동 플랫폼 윈도우 감염/설치 경로 네트워크, 보안취약점
종류 웜, 백도어 형태 실행파일
들어오는 포트 나가는 포트
제작국 불분명 특정활동일 특정일 활동 없음
최초 발견일 2009-02-09 (현지시각 기준) 국내 발견일 2009-02-09
  증상 및 요약
Win32/Aimbot.worm.15872 는 Win32/IRCBot.worm의 변형 중 하나이다. 웜이 실행되면 윈도우 시스템 폴더에 system.exe와 템프 폴더에 5자리 숫자를 가진 랜덤한 파일명.sys를 생성한다. 그리고 특정 IRC 서버의 채널에 접속하여 오퍼(방장)가 내리는 명령에 따라 다양한 악의적인 기능을 수행하게 된다. 
  상세정보
* 전파 경로

윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점 코드가 포함 되어 있다. 그러나 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 보인다. 이 부분은 추후 분석이 완료되는대로 업데이트 될 예정이다.

네트워크 드라이브나 USB 플래쉬 메모리를 통해 전파되며 악성코드 파일(explorer.exe)와 autorun.inf 파일을 생성한다.


* 실행 후 증상

[파일 생성]

윈도우 시스템 폴더에 랜덤한 7자리 숫자로 된 파일명을 갖는 파일을 생성하는데 악성코드 복사본이다.

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.

* Win32/AimBot.worm.15872 증상 *

실행되는 파일명이 system 이라면 시스템 시간을 2090년 1월 1일로 변경하지 않는다. 다만 "system"이 아닌 다른 이름으로 실행하면 시스템 시간을 2090년 1월 1일로 설정한다. 그리고 윈도우 방화벽 허용 리스트에 자신을 등록해둔다.

부팅 후 자동실행 되기 위해서 다음 레지스트리 값을 생성 시킨다. 해당 레지스트리키는 악성코드가 실행 중 일 때는 접근 할 수가 없다.

Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

그리고 7자리 난수를 발생시켜 system32 폴더에 자기 자신을 복사 해둔다. 5자리 난수를 발생시켜 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 에 sys 파일을 생성한다.

또한 악성코드는 다음과 같은 쓰레드를 생성하는데 하는 증상은 다음과 같다.

- 외부로 부터 메시지를 받기 위한 쓰레드(Thread) 생성
- sex.(제거됨).com에 접속하기 위한 쓰레드 생성
- 자신이 생성한 Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 키 값의 변화를 감지하여 키 값을 삭제 혹은 변경하였을 경우 다시 원래대로 복구한다.

위에서 언급한 랜덤한 5자리 숫자로 된 파일명을 갖는 sys 파일을 생성하는데 V3에서 Win-Trojan/Agent.4096.EI 으로 진단된다.

주) 템프 폴더는 C:\Documents and Settings\사용자 계정명\Local Settings\Temp 폴더이다.


* Win-Trojan/Agent.4096.EI 의 증상 *

1. 다음의 시스템의 네트워크 디바이스에 Attach된 모니터링 드라이버를 제거한다.
Tcpip, Udp, Tcp, IPMULTICAST, Ip
- 방화벽이나 패킷모니터등의 네트워크 감시모듈을 제거한다.

2. ntoskrnl.exe의 Unknown 윈도우보안 함수를 후킹하여 레지스트리의 보안키에 대한 접근을 모니터링하며 Winlogon 프로세스가 호출한 경우 원본함수 호출하지 않는다.
\Registry\Machine\Security\Policy\Secrets\
- 위 레지스트리는 시스템의 사용자계정과 패스워드등의 중요 보안정보를 백업하는 중요키이며, 일반적인 레지스트리 편집기로는 해당 내용을 볼 수 없다. 레지스트리 편집기에는 HKLM\SECURITY 까지만을 확인할 수 있다.

3. \Driver\Atapi 디바이스의 DriverStartIo 함수를 후킹한다.
- 파일시스템 드라이버 입출력시 악성코드 드라이버 모듈 및 레지스트리를 은닉 하도록 한다.

4. ntoskrnl.exe의 IoCallDriver 함수를 후킹한다.
- 해당함수 후킹을 통하여 자신의 파일에 대한 보호한다.

- 시스템 시간을 2090년 1월 1일로 변경한다.

* 기타 증상 *

시스템에 따라서 악성코드가 실행 될 때 블루스크린(BSOD)가 발생 될 수 있다. 이후 같은 증상으로 시스템이 정상적으로 부팅 되지 않을 수 있다. 또한 윈도우 로그온 화면에서 정상적인 로그온을 하지 못하고 시스템이 계속적으로 재부팅 될 수 있다.





Win32/AimBot.worm.15872
치료 가능한 바이러스
* 실행 전 주의 및 참고 사항은 다음과 같습니다.

1. 본 전용백신은 다음과 같은 악성코드만을 진단/치료 합니다.

- Win32/AimBot.worm.15872
- Win-Trojan/Agent.4096.EI

2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다. 그리고 중요한 시스템이라서 안정성이 중시되는 경우 해당 전용백신의 실행을 가급적 권장 하지 않습니다. 본 전용백신은 악성코드의 자기보호 기능을 무력화하는 과정에서 일부 시스템에서는 예상하지 못한 문제가 발생 할 수도 있습니다.

3. 본 전용백신은 악성코드의 자기보호 기능을 무력화 하기 위해서 일련의 작업을 합니다. 이 과정에서 시스템에 따라서 5 ~ 10 초 정도 시간이 소요 됩니다. 따라서 전용백신을 실행 후 또는 검사시작 버튼을 누른 후 또는 치료과정중 일정 시간이 소요 됩니다.

4. 본 전용백신은 다음과 같은 윈도우 OS (32Bit) 에서만 정상적으로 동작 합니다. 따라서 다음 윈도우들의 64Bit 버전에서는 정상동작 하지 않습니다.

- 윈도우 2000 (SP0 ~ SP4)
- 윈도우 XP (SP0 ~ SP3)
- 윈도우 2003 (SP1 ~ SP2, No Service Pack 은 지원 하지 않음)
- 윈도우 비스타 (SP0 ~ SP1)

5. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

6. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주시길 바랍니다.

출처 : http://kr.ahnlab.com

'정보공유' 카테고리의 다른 글

Internet Explorer 8  (0) 2009.03.21
2090 바이러스 전용백신  (0) 2009.02.11
V3 lite  (0) 2009.02.02
.pe.kr 도메인 2년 무료 등록!!  (0) 2008.12.11

+ Recent posts

티스토리 툴바