[º¸¾È´º½º ±Ç ÁØ] º»Áö´Â ¾Ç¼ºÄÚµå ¡®Á¦·Î¾×¼¼½º(ZeroAccess)¡¯°¡ Àü ¼¼°è 900¸¸´ë PC¸¦ °¨¿°½ÃÅ°´Â µî Å« ÇÇÇظ¦ À¯¹ß½ÃÅ°°í ÀÖ´Ù°í Áö³ 9¿ù ¸» º¸µµÇÑ ¹Ù ÀÖ´Ù. ÀÌ·¯ÇÑ Á¦·Î¾×¼¼½º¿¡ ´ëÇÑ ¼¼ºÎ ºÐ¼®Á¤º¸°¡ ASEC(http://ahnlabasec.tistory.com)¿¡ ÀÇÇØ ¹ßÇ¥µÅ ÁÖ¸ñÀ» ²ø°í ÀÖ´Ù.
ASEC¿¡ µû¸£¸é ½º¹Ì¼(Smiscer) º¯ÇüÀ¸·Î ¾Ë·ÁÁø ¾Ç¼ºÄÚµå Á¦·Î¾×¼¼½ºÀÇ °¨¿°±â¹ýÀ» ÀÌÇØÇϱâ À§Çؼ´Â EA(Extended Attributes)¿¡ ´ëÇÑ ÀÌÇØ°¡ ¼±ÇàµÇ¾î¾ß ÇÑ´Ù.
EA(Extended Attributes)´Â ¿ø·¡ HPFS(High Performance File System)¿¡ ÀÖ´Â ±â´ÉÀ» NTFS¿¡¼ ±¸ÇöÇØ ³õÀº °ÍÀ» ¸»Çϸç, ½±°Ô ¼³¸íÇϸé ÆÄÀÏÀÇ Ãß°¡ÀûÀÎ ¼Ó¼ºÀ» ¡®Name=Value¡¯Ã³·³ ȯ°æ º¯¼ö ÇüÅ·ΠÆÄÀÏ¿¡ ºÙÀÌ´Â °ÍÀ» ÀǹÌÇÑ´Ù.
À©µµ¿ì ½Ã½ºÅÛ¿¡¼´Â ZwSetEaFile°ú ZwQueryEaFile µÎ °³ÀÇ API·Î ÇØ´ç °ªµéÀ» Set ȤÀº Query ÇÒ ¼ö ÀÖ°Ô Á¦°øÇÏ°í ÀÖÀ¸¸ç, FILE_FULL_EA_INFORMATIONÀ̶ó´Â ±¸Á¶Ã¼ÀÇ ¸µÅ©µå ¸®½ºÆ®(Linked List)·Î¼ EA¸¦ ±¸ÇöÇØ ³õ¾Ò´Ù. ¹°·Ð EaValueLength°¡ 2Byte º¯¼öÀ̹ǷΠÃÖ´ë 64K ¹ÙÀÌÆ®(Byte)±îÁö °ªÀ» ¾µ ¼ö ÀÖ´Ù.
À§ À̹ÌÁö¿Í °°Àº ±¸Á¶Ã¼°¡ ¾Æ·¡ À̹ÌÁö¿Í °°Àº ÇüÅ·ΠÆÄÀϸ¶´Ù È®Àå ¼Ó¼ºÀ¸·Î ºÎ¿©µÉ ¼ö ÀÖ´Ù´Â °Í. ¿¹Àü¿¡ ADS(Alternate Data Steam)¿¡ µ¥ÀÌÅÍ(Data)¸¦ ¼û°Ü³õ¾Ò´ø °Íó·³ ¿©±â¿¡µµ ¾Ç¼ºÄÚµåÀÇ ÄÚµå ȤÀº µ¥ÀÌÅ͸¦ ÀúÀåÇÒ ¼ö ÀÖ´Â ÀͽºÇ÷ÎÀÕ(Exploit)ÀÌ Á¸ÀçÇϸç, À̹ø¿¡ ¹ß°ßµÈ Á¦·Î¾×¼¼½º Á¦ÀÛÀÚ ¿ª½Ã À̸¦ ÀÌ¿ëÇß´Ù´Â °Ô ASEC ÃøÀÇ ºÐ¼®ÀÌ´Ù.
À̹ø¿¡ ¹ß°ßµÈ Á¦·Î¾×¼¼½º´Â ´ÙÀ½°ú °°Àº ±â´ÉµéÀ» °¡Áö°í µ¿ÀÛÇÏ°Ô µÈ´Ù.
1. À©µµ¿ì(Windows) º¸¾È ÇÁ·Î¼¼½ºµéÀÇ ½º·¹µå(Thread) ÁßÁö
Á¦·Î¾×¼¼½º¿¡ °¨¿°ÀÌ µÇ¸é Á¦·Î¾×¼¼½º´Â ÀÚ½ÅÀÇ ÀÛ¾÷À» À§ÇÏ¿© ¾Æ·¡ À̹ÌÁö¿Í °°Àº À©µµ¿ì ½Ã½ºÅÛÀÇ º¸¾È ÇÁ·Î¼¼½ºÀÇ ½º·¹µå(Thread)µéÀ» ÁßÁö½ÃÄÑ ³õ´Â´Ù.
2. Explorer.exe¿¡ ÄÚµå »ðÀÔ
À©µµ¿ì ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Á¤»ó ½Ã½ºÅÛ ÆÄÀÏ Áß ÇϳªÀÎ Explorer.exe¿¡ 0x430 ByteÀÇ Äڵ带 »ðÀÔÇÏ°í À̸¦ ½ÇÇà½ÃŲ´Ù. ¿©±â¼ ½º·¹µå(Thread)¸¦ »õ·Î »ý¼ºÇÏÁö ¾Ê°í Explorer.exeÀÇ ½º·¹µå(Thread) Áß¿¡¼ WaitReasonÀÌ DelayExecutionÀÎ ½º·¹µå(Thread)¸¦ ã¾Æ ÀÌ ½º·¹µå(Thread)°¡ »ðÀÔµÈ Äڵ带 ¼öÇàÇÏ°Ô²û Context¿¡¼ EIP¸¦ º¯Á¶ÇÏ°Ô µÈ´Ù. ±×¸®°í »ðÀÔµÈ ÄÚµå´Â Explorer.exe ÇÁ·Î¼¼½º¿¡ ·ÎµåµÈ ActionCenter¿Í Wscntfy ¸ðµâÀ» ¾ð·Îµå½ÃÅ°´Â ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
3. ÆäÀ̷εå(Payload)¿¡ ÀÇÇÑ DLL ÆÄÀÏ »ý¼º
À©µµ¿ì ½Ã½ºÅÛÀÇ ¾Æ·¡ °æ·Î¿¡ Á¢±ÙÇÏ°Ô µÈ´Ù.
\??\C:\Documents and Settings\<User Name>\Local Settings\Applicatuin Data\{043A.....}\
ÇØ´ç °æ·Î¿¡´Â ´ÙÀ½°ú °°Àº ÆÄÀÏ°ú µð·ºÅ丮¸¦ »ý¼ºÇÏ°Ô µÇ´Âµ¥, ±× Áß "@"Àº µ¥ÀÌÅÍ ÆÄÀÏ·Î ½Ã°£Á¤º¸¸¦ Æ÷ÇÔÇÑ Æ¯Á¤Á¤º¸¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù. ±×¸®°í ¡°n¡±Àº PE ÆÄÀÏ·Î Á¦ÀÛÀÚÀÇ ¸í·É¿¡ µû¶ó µ¿ÀÛÇÏ´Â ¾ÇÀÇÀûÀÎ º¿(Bot) ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
U : µð·ºÅ丮(Directory)
L : µð·ºÅ丮(Directory)
@ : µ¥ÀÌÅÍ(Data) ÆÄÀÏ
n : PE ÆÄÀÏ
4. À©µµ¿ì(Windows) º¸¾È ¹«·Âȸ¦ À§ÇÑ ½º·¹µå(Thread) »ý¼º
Á¦·Î¾×¼¼½º´Â ½º·¹µå(Thread)¸¦ Çϳª »ý¼ºÇÏ°Ô µÇ´Âµ¥, À©µµ¿ì¿¡ Æ÷ÇԵǾî ÀÖ´Â º¸¾È ±â´ÉµéÀ» ¹«·ÂȽÃÅ°´Âµ¥ »ç¿ëµÈ´Ù.
1) ƯÁ¤ ¼ºñ½ºµé Á¦°Å
MsMpSvc, windefend, SharedAccess, iphlpSvc, wscsvc, mpssvc, bfe
2) ƯÁ¤ ÇÁ·Î¼¼½º °Á¦ Á¾·á
wscntfy.exe, MSASUci.exe, MpCmdRun.exe, NisSrv.exe, msseces.exe
5. CMD ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÏ¿© Äڵ带 »ðÀÔ
Á¦·Î¾×¼¼½º´Â CMD ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÏ¿©, ÇØ´ç ÇÁ·Î¼¼½ºÀÇ ½ºÅÃ(Stack)¿¡ µ¥ÀÌÅ͸¦ »ðÀÔÇÏ°Ô µÈ´Ù. ¾Æ·¡¿Í °°Àº ƯÁ¤ APIµéÀÇ ÆĶó¹ÌÅ͸¦ Â÷·Ê·Î ½ºÅÃ(Stack)¿¡ ³Ö¾î ÄÚµå ¾øÀÌ API ¸¸À¸·Î ½º¹Ì¼ ÀÚ½ÅÀÇ ÇÁ·Î¼¼½º°¡ Á¾·áµÈ ÀÌÈÄ¿¡´Â Cmd°¡ ÀڽŠÆÄÀÏÀ» »èÁ¦ÇÒ ¼ö ÀÖ°Ô²û Á¶ÀÛÇÏ°Ô µÈ´Ù.
ZwClose -> ZwDelayExecution -> ZwSetInformation -> ZwClose
6. ¿ÜºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â ½Ã½ºÅÛÀ¸·Î Á¢¼Ó ½Ãµµ
Á¦·Î¾×¼¼½º´Â °¨¿° ½Ã½ºÅÛ¿¡¼ ¿ÜºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â promos.fling.com µµ¸ÞÀÎÀ» °¡Áø ½Ã½ºÅÛ¿¡ ¿ªÁ¢¼ÓÀ» ½ÃµµÇÏ¿© ¼º°øÇÏ°Ô µÇ¸é, °¨¿° ½Ã½ºÅÛ¿¡¼ ¿î¿µÃ¼Á¦ Á¤º¸ ¹× Á¦·Î¾×¼¼½ºÀÇ µ¿ÀÛ ÁøÇà»óȲµéÀ» Àü¼ÛÇÏ°Ô µÈ´Ù..
7. ÀÚ½ÅÀÇ º¹Á¦º» ¹× ÇãÀ§ InstallFlashPlayer »ý¼º
Á¦·Î¾×¼¼½º´Â ÀÚ½ÅÀÇ º¹Á¦º»À» DLL ÆÄÀÏÀÇ ¼Ó¼º¸¸ ºÎ¿©ÇÑ ´ÙÀ½ msimg32.dll ÆÄÀϸíÀ¸·Î »ý¼ºÇÑ ÀÌÈÄ¿¡ Explorer.exe ÇÁ·Î¼¼½º¿¡ ÀÇÇØ ·ÎµåÇÏ°Ô µÈ´Ù. ±×¸®°í ÇãÀ§ InstallFlashPlayer¸¦ »ý¼ºÇÏ°Ô µÈ´Ù.
8. ExitProcessÀÇ ÈÄÅ·(Hooknig)
Á¦·Î¾×¼¼½º´Â ÀÚ½ÅÀÌ ÇÊ¿ä·Î ÇÏ´Â °¨¿°µÈ ½Ã½ºÅÛÀÇ Á¤º¸µéÀ» ¼öÁýÇÏ¿© Á¦ÀÛÀÚ¿¡°Ô Àü¼ÛÇϱâ Àü¿¡ ÇÁ·Î¼¼½º°¡ °Á¦·Î Á¾·áµÇ´Â °ÍÀ» ¸·±â À§ÇØ ExitProcess¸¦ ÈÄÅ·ÇÏ°Ô µÈ´Ù.
9. Services.exe¸¦ °¨¿°
Á¦·Î¾×¼¼½º¿¡ ÀÇÇØ EA(Extended Attributes)°¡ ÀÌ¿ëµÇ´Â ºÎºÐÀº Services.exe¸¦ °¨¿°½Ãų ¶§·Î Services.exeÀÇ Áß°£¿¡ 0x300¹ÙÀÌÆ®(Byte)¸¦ ÀÚ½ÅÀÇ ÄÚµå·Î µ¤¾î ¾²°Ô µÈ´Ù. ¿©±â¼ µ¤¾î ¾²¿©Áø ÄÚµå´Â ÀڽŠÆÄÀÏ(Services.exe)¿¡¼ Á¦·Î¾×¼¼½º µå·ÎÆÛ(Dropper)°¡ »ý¼ºÇØ ³õÀº EA(Extended Attributes) µ¥ÀÌÅ͸¦ Àд ¿ªÇÒÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
ÀÌ EA(Extended Attributes) µ¥ÀÌÅÍ¿¡´Â ÆäÀ̷εå(Payload)¸¦ ¼öÇàÇÏ´Â ÄÚµå¿Í ÆÐÄ¡(Patch)ÇÑ 0x300¹ÙÀÌÆ®(Byte)ÀÇ ¿øº» Äڵ带 Æ÷ÇÔÇÏ°í ÀÖ´Ù.
±×·¡¼ Á¦·Î¾×¼¼½ºÀÇ Á¤È®ÇÑ Ä¡·á¸¦ À§Çؼ´Â EA(Extended Attributes)¸¦ Àоî ÀÌ 0x300 ¹ÙÀÌÆ®(Byte)¸¦ ã¾Æ ¿ø·¡ À§Ä¡·Î º¹±¸ÇØ ÁÖ¾î¾ß Çϸç ÀÌ ºÎºÐÀÇ µ¿ÀÛÀ» °£·«ÇÏ°Ô µµ½ÄÈ ÇÏ°Ô µÇ¸é ¾Æ·¡ À̹ÌÁö¿Í µ¿ÀÏÇÏ´Ù.
¾Õ¼ ¾ð±ÞÇÑ ¹Ù¿Í °°ÀÌ Á¦·Î¿¢¼¼½º·Î ¾Ë·ÁÁø ½º¹Ì¼(Smiscer) º¯ÇüÀº À©µµ¿ì ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Á¤»ó ÆÄÀÏÀÎ Services.exe¸¦ °¨¿°½ÃÅ´À¸·Î¼ ¿ÜºÎ ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â ½Ã½ºÅÛ¿¡ Á¢¼ÓÇÏ¿© Á¦ÀÛÀÚ¿¡ ÀÇÇØ ³»·ÁÁö´Â ¾ÇÀÇÀûÀÎ ¸í·ÉµéÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
±×¸®°í EA(Extended Attributes)¸¦ ÀÌ¿ëÇÔÀ¸·Î¼ À©µµ¿ì ½Ã½ºÅÛ¿¡¼ Ä¡·á¸¦ ´õ¿í ¾î·Æµµ·Ï ÇÏ°í ÀÖ´Ù. ÀÌ¿Í °ü·Ã ASEC ÃøÀº ¡°Á¦·Î¾×¼¼½º(½º¹Ì¼ º¯Çü)¿¡ ´ëÇÑ Á¤È®ÇÑ Áø´Ü ¹× Ä¡·á¸¦ À§ÇØ º°µµÀÇ ¡®Win-Trojan/Smiscer Àü¿ë ¹é½Å¡¯À» Á¦ÀÛÇÏ¿© ¹èÆ÷ Áß¿¡ ÀÖ´Ù¡±¸ç, ¡°Àü¿ë¹é½Å ½ÇÇà Àü ÀÛ¾÷ ÁßÀÎ µ¥ÀÌÅÍ´Â ¹Ýµå½Ã ÀúÀåÇÏ°í, Àü¿ë¹é½Å ÀÌ¿Ü¿¡ ´Ù¸¥ ÀÀ¿ë ÇÁ·Î±×·¥Àº ¹Ýµå½Ã Á¾·áÇÒ °Í¡±À» ´çºÎÇß´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>