보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

압축 프로그램으로 위장한 백도어 악성코드 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-01-11

정상 프로그램, 특히 사람들이 많이 찾는 유명 프로그램으로 위장한 악성코드는 전통적인 공격 방식이라 할 수 있다. 특히 유명 유틸리티 프로그램으로 가장한 악성코드는 지속적으로 발견되고 있으며, 이러한 유포 방식을 이용하는 악성코드는 인터넷 뱅킹 정보를 노리는 뱅키(Banki)나 악의적인 백도어(Backdoor)류 등이 주를 이루고 있다. 최근에도 국내 유명 압축 유틸리티 프로그램으로 위장한 백도어 악성코드가 발견됐다. 

 

 

[그림 1] 유명 압축 프로그램으로 위장한 악성코드

 

백도어는 원래 유사 시 장애 해결이나 유지 보수 등의 관리를 위해 시스템에 의도적으로 남겨둔 일종의 보안 허점으로, 악의적으로 이용되는 경우 보안상 치명적인 문제를 일으킬 수 있다. 특히 정상적인 로그인 절차를 거치지 않고 트로이목마를 침투시켜 백도어로 이용하는 경우, 시스템 침입 사실 은폐는 물론이고 재침입을 위한 백도어 추가 설치 등이 가능하기 때문에 위험하다.

 

이번에 발견된 백도어 악성코드는 윈도우(Windows)의 DEP(Data Execution Prevention: 데이터 실행 방지)를 우회하기 위해 2개의 API를 이용한다. DEP는 프로그램이 동적으로 생성하는 코드의 실행을 막는데, 악성코드의 특정 메모리 상에 입력된 쉘코드(Shellcode)가 그 대표적인 예다.

 

분석 결과, 해당 악성코드의 특정 문자열에는 악성코드명, Mutex, C&C 주소 등이 확인됐다. 또한 C:\Windows 경로에 자가 복제 및 실행하며, 해당 복제 파일의 실행이 실패하면 또 다른 경로에 (C:\Documents and Settings\Administrator\Application Data) 추가로 자가 복제 뒤 실행된다.

 

 

[그림 2] 특정 경로에 자가 복제

 

이후 시스템 시작 시 자동 실행되기 위해 런(Run) 레지스트리 키에 자기 자신을 등록한다. 또한 20초 간격으로 C&C 서버와의 통신을 시도한다. 분석 당시에는 C&C 서버에 접속이 되지 않았으나, C&C와 접속이 이뤄지면 [그림 3]과 같이 사용자 시스템 내의 다양한 정보들을 탈취하고 추가적인 명령을 수신했을 것으로 보인다. 

  

[그림 3] 악성코드가 탈취하는 정보

 

V3 제품에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

​Trojan/Win32.Bezigate (2017.01.03.06)

 

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.