Home > Àüü±â»ç

¾Ç¼ºÄÚµå ¡®Á¦·Î¾×¼¼½º¡¯ ºÐ¼®Çß´õ´Ï...

ÀÔ·Â : 2012-10-07 23:40
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
½º¹Ì¼­ÀÇ º¯Çü...EA ÀÌ¿ëÇØ À©µµ¿ì¿¡¼­ Ä¡·á ´õ¿í Èûµé¾î 


[º¸¾È´º½º ±Ç ÁØ] º»Áö´Â ¾Ç¼ºÄÚµå ¡®Á¦·Î¾×¼¼½º(ZeroAccess)¡¯°¡ Àü ¼¼°è 900¸¸´ë PC¸¦ °¨¿°½ÃÅ°´Â µî Å« ÇÇÇظ¦ À¯¹ß½ÃÅ°°í ÀÖ´Ù°í Áö³­ 9¿ù ¸» º¸µµÇÑ ¹Ù ÀÖ´Ù. ÀÌ·¯ÇÑ Á¦·Î¾×¼¼½º¿¡ ´ëÇÑ ¼¼ºÎ ºÐ¼®Á¤º¸°¡ ASEC(http://ahnlabasec.tistory.com)¿¡ ÀÇÇØ ¹ßÇ¥µÅ ÁÖ¸ñÀ» ²ø°í ÀÖ´Ù.


ASEC¿¡ µû¸£¸é ½º¹Ì¼­(Smiscer) º¯ÇüÀ¸·Î ¾Ë·ÁÁø ¾Ç¼ºÄÚµå Á¦·Î¾×¼¼½ºÀÇ °¨¿°±â¹ýÀ» ÀÌÇØÇϱâ À§Çؼ­´Â EA(Extended Attributes)¿¡ ´ëÇÑ ÀÌÇØ°¡ ¼±ÇàµÇ¾î¾ß ÇÑ´Ù.


EA(Extended Attributes)´Â ¿ø·¡ HPFS(High Performance File System)¿¡ ÀÖ´Â ±â´ÉÀ» NTFS¿¡¼­ ±¸ÇöÇØ ³õÀº °ÍÀ» ¸»Çϸç, ½±°Ô ¼³¸íÇϸé ÆÄÀÏÀÇ Ãß°¡ÀûÀÎ ¼Ó¼ºÀ» ¡®Name=Value¡¯Ã³·³ ȯ°æ º¯¼ö ÇüÅ·ΠÆÄÀÏ¿¡ ºÙÀÌ´Â °ÍÀ» ÀǹÌÇÑ´Ù.


À©µµ¿ì ½Ã½ºÅÛ¿¡¼­´Â ZwSetEaFile°ú ZwQueryEaFile µÎ °³ÀÇ API·Î ÇØ´ç °ªµéÀ» Set ȤÀº Query ÇÒ ¼ö ÀÖ°Ô Á¦°øÇÏ°í ÀÖÀ¸¸ç, FILE_FULL_EA_INFORMATIONÀ̶ó´Â ±¸Á¶Ã¼ÀÇ ¸µÅ©µå ¸®½ºÆ®(Linked List)·Î¼­ EA¸¦ ±¸ÇöÇØ ³õ¾Ò´Ù. ¹°·Ð EaValueLength°¡ 2Byte º¯¼öÀ̹ǷΠÃÖ´ë 64K ¹ÙÀÌÆ®(Byte)±îÁö °ªÀ» ¾µ ¼ö ÀÖ´Ù.



À§ À̹ÌÁö¿Í °°Àº ±¸Á¶Ã¼°¡ ¾Æ·¡ À̹ÌÁö¿Í °°Àº ÇüÅ·ΠÆÄÀϸ¶´Ù È®Àå ¼Ó¼ºÀ¸·Î ºÎ¿©µÉ ¼ö ÀÖ´Ù´Â °Í. ¿¹Àü¿¡ ADS(Alternate Data Steam)¿¡ µ¥ÀÌÅÍ(Data)¸¦ ¼û°Ü³õ¾Ò´ø °Íó·³ ¿©±â¿¡µµ ¾Ç¼ºÄÚµåÀÇ ÄÚµå ȤÀº µ¥ÀÌÅ͸¦ ÀúÀåÇÒ ¼ö ÀÖ´Â ÀͽºÇ÷ÎÀÕ(Exploit)ÀÌ Á¸ÀçÇϸç, À̹ø¿¡ ¹ß°ßµÈ Á¦·Î¾×¼¼½º Á¦ÀÛÀÚ ¿ª½Ã À̸¦ ÀÌ¿ëÇß´Ù´Â °Ô ASEC ÃøÀÇ ºÐ¼®ÀÌ´Ù. 



À̹ø¿¡ ¹ß°ßµÈ Á¦·Î¾×¼¼½º´Â ´ÙÀ½°ú °°Àº ±â´ÉµéÀ» °¡Áö°í µ¿ÀÛÇÏ°Ô µÈ´Ù.


1. À©µµ¿ì(Windows) º¸¾È ÇÁ·Î¼¼½ºµéÀÇ ½º·¹µå(Thread) ÁßÁö

Á¦·Î¾×¼¼½º¿¡ °¨¿°ÀÌ µÇ¸é Á¦·Î¾×¼¼½º´Â ÀÚ½ÅÀÇ ÀÛ¾÷À» À§ÇÏ¿© ¾Æ·¡ À̹ÌÁö¿Í °°Àº À©µµ¿ì ½Ã½ºÅÛÀÇ º¸¾È ÇÁ·Î¼¼½ºÀÇ ½º·¹µå(Thread)µéÀ» ÁßÁö½ÃÄÑ ³õ´Â´Ù.



2. Explorer.exe¿¡ ÄÚµå »ðÀÔ

À©µµ¿ì ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Á¤»ó ½Ã½ºÅÛ ÆÄÀÏ Áß ÇϳªÀÎ Explorer.exe¿¡ 0x430 ByteÀÇ Äڵ带 »ðÀÔÇÏ°í À̸¦ ½ÇÇà½ÃŲ´Ù. ¿©±â¼­ ½º·¹µå(Thread)¸¦ »õ·Î »ý¼ºÇÏÁö ¾Ê°í Explorer.exeÀÇ ½º·¹µå(Thread) Áß¿¡¼­ WaitReasonÀÌ DelayExecutionÀÎ ½º·¹µå(Thread)¸¦ ã¾Æ ÀÌ ½º·¹µå(Thread)°¡ »ðÀÔµÈ Äڵ带 ¼öÇàÇÏ°Ô²û Context¿¡¼­ EIP¸¦ º¯Á¶ÇÏ°Ô µÈ´Ù. ±×¸®°í »ðÀÔµÈ ÄÚµå´Â Explorer.exe ÇÁ·Î¼¼½º¿¡ ·ÎµåµÈ ActionCenter¿Í Wscntfy ¸ðµâÀ» ¾ð·Îµå½ÃÅ°´Â ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.


3. ÆäÀ̷εå(Payload)¿¡ ÀÇÇÑ DLL ÆÄÀÏ »ý¼º

À©µµ¿ì ½Ã½ºÅÛÀÇ ¾Æ·¡ °æ·Î¿¡ Á¢±ÙÇÏ°Ô µÈ´Ù.


\??\C:\Documents and Settings\<User Name>\Local Settings\Applicatuin Data\{043A.....}\


ÇØ´ç °æ·Î¿¡´Â ´ÙÀ½°ú °°Àº ÆÄÀÏ°ú µð·ºÅ丮¸¦ »ý¼ºÇÏ°Ô µÇ´Âµ¥, ±× Áß "@"Àº µ¥ÀÌÅÍ ÆÄÀÏ·Î ½Ã°£Á¤º¸¸¦ Æ÷ÇÔÇÑ Æ¯Á¤Á¤º¸¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù. ±×¸®°í ¡°n¡±Àº PE ÆÄÀÏ·Î Á¦ÀÛÀÚÀÇ ¸í·É¿¡ µû¶ó µ¿ÀÛÇÏ´Â ¾ÇÀÇÀûÀÎ º¿(Bot) ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.


U : µð·ºÅ丮(Directory)

L : µð·ºÅ丮(Directory)

@ : µ¥ÀÌÅÍ(Data) ÆÄÀÏ

n : PE ÆÄÀÏ


4. À©µµ¿ì(Windows) º¸¾È ¹«·ÂÈ­¸¦ À§ÇÑ ½º·¹µå(Thread) »ý¼º

Á¦·Î¾×¼¼½º´Â ½º·¹µå(Thread)¸¦ Çϳª »ý¼ºÇÏ°Ô µÇ´Âµ¥, À©µµ¿ì¿¡ Æ÷ÇԵǾî ÀÖ´Â º¸¾È ±â´ÉµéÀ» ¹«·ÂÈ­½ÃÅ°´Âµ¥ »ç¿ëµÈ´Ù.


1) ƯÁ¤ ¼­ºñ½ºµé Á¦°Å

MsMpSvc, windefend, SharedAccess, iphlpSvc, wscsvc, mpssvc, bfe


2) ƯÁ¤ ÇÁ·Î¼¼½º °­Á¦ Á¾·á

wscntfy.exe, MSASUci.exe, MpCmdRun.exe, NisSrv.exe, msseces.exe


5. CMD ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÏ¿© Äڵ带 »ðÀÔ

Á¦·Î¾×¼¼½º´Â CMD ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÏ¿©, ÇØ´ç ÇÁ·Î¼¼½ºÀÇ ½ºÅÃ(Stack)¿¡ µ¥ÀÌÅ͸¦ »ðÀÔÇÏ°Ô µÈ´Ù. ¾Æ·¡¿Í °°Àº ƯÁ¤ APIµéÀÇ ÆĶó¹ÌÅ͸¦ Â÷·Ê·Î ½ºÅÃ(Stack)¿¡ ³Ö¾î ÄÚµå ¾øÀÌ API ¸¸À¸·Î ½º¹Ì¼­ ÀÚ½ÅÀÇ ÇÁ·Î¼¼½º°¡ Á¾·áµÈ ÀÌÈÄ¿¡´Â Cmd°¡ ÀڽŠÆÄÀÏÀ» »èÁ¦ÇÒ ¼ö ÀÖ°Ô²û Á¶ÀÛÇÏ°Ô µÈ´Ù.


ZwClose -> ZwDelayExecution -> ZwSetInformation -> ZwClose


6. ¿ÜºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â ½Ã½ºÅÛÀ¸·Î Á¢¼Ó ½Ãµµ

Á¦·Î¾×¼¼½º´Â °¨¿° ½Ã½ºÅÛ¿¡¼­ ¿ÜºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â promos.fling.com µµ¸ÞÀÎÀ» °¡Áø ½Ã½ºÅÛ¿¡ ¿ªÁ¢¼ÓÀ» ½ÃµµÇÏ¿© ¼º°øÇÏ°Ô µÇ¸é, °¨¿° ½Ã½ºÅÛ¿¡¼­ ¿î¿µÃ¼Á¦ Á¤º¸ ¹× Á¦·Î¾×¼¼½ºÀÇ µ¿ÀÛ ÁøÇà»óȲµéÀ» Àü¼ÛÇÏ°Ô µÈ´Ù..


7. ÀÚ½ÅÀÇ º¹Á¦º» ¹× ÇãÀ§ InstallFlashPlayer »ý¼º

Á¦·Î¾×¼¼½º´Â ÀÚ½ÅÀÇ º¹Á¦º»À» DLL ÆÄÀÏÀÇ ¼Ó¼º¸¸ ºÎ¿©ÇÑ ´ÙÀ½ msimg32.dll ÆÄÀϸíÀ¸·Î »ý¼ºÇÑ ÀÌÈÄ¿¡ Explorer.exe ÇÁ·Î¼¼½º¿¡ ÀÇÇØ ·ÎµåÇÏ°Ô µÈ´Ù. ±×¸®°í ÇãÀ§ InstallFlashPlayer¸¦ »ý¼ºÇÏ°Ô µÈ´Ù.


8. ExitProcessÀÇ ÈÄÅ·(Hooknig)

Á¦·Î¾×¼¼½º´Â ÀÚ½ÅÀÌ ÇÊ¿ä·Î ÇÏ´Â °¨¿°µÈ ½Ã½ºÅÛÀÇ Á¤º¸µéÀ» ¼öÁýÇÏ¿© Á¦ÀÛÀÚ¿¡°Ô Àü¼ÛÇϱâ Àü¿¡ ÇÁ·Î¼¼½º°¡ °­Á¦·Î Á¾·áµÇ´Â °ÍÀ» ¸·±â À§ÇØ ExitProcess¸¦ ÈÄÅ·ÇÏ°Ô µÈ´Ù.


9. Services.exe¸¦ °¨¿°

Á¦·Î¾×¼¼½º¿¡ ÀÇÇØ EA(Extended Attributes)°¡ ÀÌ¿ëµÇ´Â ºÎºÐÀº Services.exe¸¦ °¨¿°½Ãų ¶§·Î  Services.exeÀÇ Áß°£¿¡ 0x300¹ÙÀÌÆ®(Byte)¸¦ ÀÚ½ÅÀÇ ÄÚµå·Î µ¤¾î ¾²°Ô µÈ´Ù. ¿©±â¼­ µ¤¾î ¾²¿©Áø ÄÚµå´Â ÀڽŠÆÄÀÏ(Services.exe)¿¡¼­ Á¦·Î¾×¼¼½º µå·ÎÆÛ(Dropper)°¡ »ý¼ºÇØ ³õÀº EA(Extended Attributes) µ¥ÀÌÅ͸¦ Àд ¿ªÇÒÀ» ¼öÇàÇÏ°Ô µÈ´Ù.


ÀÌ EA(Extended Attributes) µ¥ÀÌÅÍ¿¡´Â ÆäÀ̷εå(Payload)¸¦ ¼öÇàÇÏ´Â ÄÚµå¿Í ÆÐÄ¡(Patch)ÇÑ 0x300¹ÙÀÌÆ®(Byte)ÀÇ ¿øº» Äڵ带 Æ÷ÇÔÇÏ°í ÀÖ´Ù.


±×·¡¼­ Á¦·Î¾×¼¼½ºÀÇ Á¤È®ÇÑ Ä¡·á¸¦ À§Çؼ­´Â EA(Extended Attributes)¸¦ Àоî ÀÌ 0x300 ¹ÙÀÌÆ®(Byte)¸¦ ã¾Æ ¿ø·¡ À§Ä¡·Î º¹±¸ÇØ ÁÖ¾î¾ß Çϸç ÀÌ ºÎºÐÀÇ µ¿ÀÛÀ» °£·«ÇÏ°Ô µµ½ÄÈ­ ÇÏ°Ô µÇ¸é ¾Æ·¡ À̹ÌÁö¿Í µ¿ÀÏÇÏ´Ù.



¾Õ¼­ ¾ð±ÞÇÑ ¹Ù¿Í °°ÀÌ Á¦·Î¿¢¼¼½º·Î ¾Ë·ÁÁø ½º¹Ì¼­(Smiscer) º¯ÇüÀº À©µµ¿ì ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Á¤»ó ÆÄÀÏÀÎ Services.exe¸¦ °¨¿°½ÃÅ´À¸·Î¼­ ¿ÜºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â ½Ã½ºÅÛ¿¡ Á¢¼ÓÇÏ¿© Á¦ÀÛÀÚ¿¡ ÀÇÇØ ³»·ÁÁö´Â ¾ÇÀÇÀûÀÎ ¸í·ÉµéÀ» ¼öÇàÇÏ°Ô µÈ´Ù.


±×¸®°í EA(Extended Attributes)¸¦ ÀÌ¿ëÇÔÀ¸·Î¼­ À©µµ¿ì ½Ã½ºÅÛ¿¡¼­ Ä¡·á¸¦ ´õ¿í ¾î·Æµµ·Ï ÇÏ°í ÀÖ´Ù. ÀÌ¿Í °ü·Ã ASEC ÃøÀº ¡°Á¦·Î¾×¼¼½º(½º¹Ì¼­ º¯Çü)¿¡ ´ëÇÑ Á¤È®ÇÑ Áø´Ü ¹× Ä¡·á¸¦ À§ÇØ º°µµÀÇ ¡®Win-Trojan/Smiscer Àü¿ë ¹é½Å¡¯À» Á¦ÀÛÇÏ¿© ¹èÆ÷ Áß¿¡ ÀÖ´Ù¡±¸ç, ¡°Àü¿ë¹é½Å ½ÇÇà Àü ÀÛ¾÷ ÁßÀÎ µ¥ÀÌÅÍ´Â ¹Ýµå½Ã ÀúÀåÇÏ°í, Àü¿ë¹é½Å ÀÌ¿Ü¿¡ ´Ù¸¥ ÀÀ¿ë ÇÁ·Î±×·¥Àº ¹Ýµå½Ã Á¾·áÇÒ °Í¡±À» ´çºÎÇß´Ù. 

[±Ç ÁØ ±âÀÚ(editor@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)