Trojan.KillDisk.MBR 악성코드분석보고서 (V 4.0) ESTsoft Corp. ALTOOLS Division Malware Research 페이지 1 / 17
Table of Contents 1. 분석...1 1-1. 유포경로... 2 1-2. 악성파일분석... 3 1-2-1. 드롭퍼 A 분석... 3 1-2-2. 드롭퍼 B 분석... 10 페이지 2 / 17
1. 악성코드분석 1-1. 유포경로 아직까지 3.20 전산망마비악성코드공격의최초감염경로에대해서는정확하게확인된사항이없다. 아래의그림은악성코드유포에악용된안랩 APC 솔루션에서특정폴더에저장되어있던화면이다. C:\Program Files\AhnLab\APC2\Policy agent\down\runcmd 폴더에 ApcRunCmd.exe, mpftp, mpsetup.ini 파일을확인할수있으며, 남겨진제작자의메시지로추정되는내용도포함되어있다. ( 그림. 제작자가남긴메시지 ) 페이지 3 / 17
1-2. 악성파일분석 현재까지확인된사항을토대로두가지방식 ( 드롭퍼 A, 드롭퍼 B) 으로보고서작성 차후추가되는정보나파일은지속적으로추가 1-2-1. 드롭퍼 A(9263E40D9823AECF9388B64DE34EAE54) - 파일정보 Detection Name MD5 악성행위 Trojan.Agent.TroyM 9263E40D9823AECF9388B64DE34EAE54 드롭퍼역할수행 Trojan.KillDisk.MBR DB4BBDC36A78A8807AD9B15A562515C4 MBR 파괴 Trojan.KillDisk.MBR DC789DEE20087C5E1552804492B042CD 유닉스계열디스크파괴 정상 6A702342E8D9911BDE134129542A045B Command-line SCP/SFTP client 정상 E45CD9052DD3DD502685DFD9AA2575CA Command-line SSH, Telnet client - 파일생성 드롭퍼 A 가실행되면, 사용자의 %TEMP% 폴더를찾아 MBR 파괴, 유닉스계열디스크파괴, 원격 FTP 클라이언트, 원격접속클라이언트 파일생성 ( 그림. %TEMP% 폴더에생성된파일화면 ) - 프로세스종료 페이지 4 / 17
파일이실행되면프로세스목록에서지정된프로세스를종료시킨다. taskkill /F /IM pasvc.exe (AhnLab Policy Center Agent Process) taskkill /F /IM clisvc.exe (Hauri ISMS Client Process) - MBR & VBR 변조드롭행위가종료되면, 시스템폴더하위 %TEMP% 폴더에 ~v3.log 파일이존재하는지확인후, 존재하지않으면마스터부트레코드 (MBR) 와볼륨부트레코드 (VBR) 의일부섹터를 Overwirte 하여정상적인부팅이되지않도록변조시킨다. (Overwirte 문자열은 PRINCPES 채워진다 ) ( 그림. MBR 과 VBR 에쓰여진문자열화면 ) - 파일삭제 해당파일들은윈도우운영체제버전에따라행위가조금달라진다. Windows XP, Windows 2000, Windows Server 2003 일경우에는 MBR 과 VBR 을변조시키며, 페이지 5 / 17
Windows VISTA, Windows Server 2008, Windows 7, Windows Server 2012 일경우에는 MBR & VBR 변조기능과 함께 B ~ Z 드라이브까지모든파일의내용을 PRINCPES. 문자열로 Overwrite 후삭제시킨다. 단, C 드라이브의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 디렉토리는삭제하지않는다. ( 그림. 파일에문자열을쓰는코드화면 ) - 시스템재부팅 MBR 및 VBR 의변조가완료되면 300ms(5 분 ) 가지난후시스템이강제재시작된다. 페이지 6 / 17
( 그림. 시스템을재시작시키는코드화면 ) MBR 과 VBR 이변조된시스템은재부팅시정상적인부팅이되지않는다. ( 그림. 손상된시스템부팅화면 ) 페이지 7 / 17
- 원격접속관리프로그램정보확인 (mremote, Secure CRT) 사용자시스템에원격접속관리프로그램이있는지확인한다. 확인대상은 Secure CRT 와 mremote 프로그램에서서버정보가저장되어있는파일의위치이다. 운영체제가 Windows XP, Windows 2000, Windows Server 2003 일경우에는아래의경로를 (mremote : C:\Documents and settings\[ 사용자계정 ]\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml Secure CRT : C:\Documents and settings\[ 사용자계정 ]\Application Data\VanDyke\Config\Sessions\*.ini) 운영체제가 Windows VISTA, Windows Server 2008, Windows 7, Windows Server 2012 일경우에는아래의경로에서파일을찾게된다. (mremote : C:\Users\AppData\Local\Felix_Deimel\mRemote\confCons.xml Secure CRT : C:\Users\AppData\Roaming\VanDyke\Config\Sessions\*.ini) mremote 프로그램의 confcons.xml 파일이확인되면, 아래의문자열들을추출한다. Username="root" Protocol="SSH" Password= Hostname Descr Panel Port Password 페이지 8 / 17
( 그림. confcons.xml 파일에서문자열을찾는코드화면 ) confcons.xml 파일에서추출된문자열을조합하여감염자의 mremote 설정파일에저장된서버정보를이용해 악성쉘스크립트파일을업로드및실행시킨다. %Temp%\conime.exe -batch -P [port] -l root -pw %Temp%\~pr1.tmp [host]:/tmp/cups %Temp%\alg.exe -batch -P [port] -l root -pw [host] "chmod 755 /tmp/cups;/tmp/cups" 실행시키는 ~prt1.tmp 파일은유닉스계열의디스크를삭제시키는쉘스크립트파일이다. 유닉스시스템의종류에따라조금다른악성행위를실행한다. 페이지 9 / 17
( 그림. 유닉스 OS 정보를찾는스크립트일부화면 ) ( 그림. 유닉스 OS 디스크를파괴시키는스크립트일부화면 ) 17 페이지 10 /
SunOS, AIX, HP-UX OS 가확인되면, DD 명령을이용하여 SunOS 는 80MB, AIX 는 10MB, UP-UX 는 8MB 크기만큼 디스크를 0 으로셋팅한다. Linux OS가확인되면아래의경로를강제삭제시킨다. rm -rf /kernel/ rm -rf /usr/ rm -rf /etc/ rm -rf /home/ 해당분석에서나온내용처럼 mreote 와 Secure CRT 의서버접속정보파일은악의적인행위로사용될수 있으니서버접속정보파일의확장자를.xml 과.ini 파일이아닌다른확장자로변경해서사용하는것도이런 방식에대해서미연에방어할수있습니다. 또한해당프로그램들은시스템들을편하게관리하기위해사용하다보니, 보안사고발생시걷잡을수없는 정보를손실또는유출될수있으니관리자들의보안교육을지속적으로시행하고보안에더욱힘써야한다. 17 페이지 11 /
1-2-2. 드롭퍼 B(9263E40D9823AECF9388B64DE34EAE54) - 파일정보 Detection Name MD5 악성행위 Trojan.Agent.TroyM 123B4529D1A4AE9180F69BBF2AE1C493 드롭퍼역할수행 Trojan.KillDisk.MBR 5FCD6E1DACE6B0599429D913850F0364 MBR 파괴 정상 1742D615123DAD93620E8C641BBF19BA Vms 셋팅파일 - 프로세스종료파일이실행되면프로세스목록에서지정된프로세스를종료시킨다. taskkill /F /IM vrfwsvc.exe taskkill /F /IM vrptsvc.exe taskkill /F /IM vrscan.exe taskkill /F /IM hpcsvc.exe taskkill /F /IM hsvcmod.exe taskkill /F /IM vrfwsock.exe taskkill /F /IM vrmonnt.exe taskkill /F /IM vrrepair.exe taskkill /F /IM vrmonsvc.exe - 파일삭제해당경로에있는파일을삭제한다. C:\Program Files\hauri\SiteClient\VrDown.exe C:\\Program Files\\Hauri\\SiteServer\\VrPatch.exe C:\\Program Files\\Hauri\\SiteServer\\ptUpdate.exe C:\\Program Files\\Hauri\\SiteServer\\vismsupdate\\update.zip C:\\Program Files\\Hauri\\SiteServer\\vismsupdate\\vms1014.zip - 파일생성드롭퍼 B가실행되면, 아래의경로에파일을생성한다. C:\Program Files\Hauri\SiteServer\vismsupdate\update.zip C:\Program Files\Hauri\SiteServer\vismsupdate\vms1014.zip 생성된 zip 파일들에는 Vms 세팅내용이저장된 vmsinit.ini 파일과 MBR 변조를실행하는 OthDown.exe 파일이압축되어있다. 17 페이지 12 /
( 그림. 압축된파일내부화면 ) - 시간확인 드롭된 MBR 파괴파일은 MBR 파괴기능을지정된시간 (2013 년 3 월 20 일오후 2 시 ) 이후부터동작되도록 설계되어있다. 17 페이지 13 /
( 그림. 동작할시간을체크하는코드내용 ) - MBR & VBR 변조 드롭행위가종료되면, 마스터부트레코드 (MBR) 와볼륨부트레코드 (VBR) 의일부섹터를 Overwirte 하여정상적인 부팅이되지않도록변조시킨다. (Overwirte 문자열은 HASTATI 채워진다 ) 17 페이지 14 /
( 그림. MBR 과 VBR 에쓰여진문자열화면 ) - 파일삭제해당파일들은윈도우운영체제버전에따라행위가조금달라진다. Windows XP, Windows 2000, Windows Server 2003 일경우에는 MBR과 VBR을변조시키며, Windows VISTA, Windows Server 2008, Windows 7, Windows Server 2012 일경우에는 MBR & VBR 변조기능과함께 B ~ Z 드라이브까지모든파일의내용을 PRINCPES. 문자열로 Overwrite 후삭제시킨다. 단, C드라이브의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 디렉토리는삭제하지않는다. 17 페이지 15 /
( 그림. 파일에문자열을쓰는코드화면 ) - 시스템재부팅 MBR 및 VBR 의변조가완료되면 300ms(5 분 ) 가지난후시스템이강제재시작된다. 17 페이지 16 /
( 그림. 시스템을재시작시키는코드화면 ) MBR 과 VBR 이변조된시스템은재부팅시정상적인부팅이되지않는다. ( 그림. 손상된시스템부팅화면 ) 17 페이지 17 /