ASEC Report 5월 ASEC Report 2007. 6 I. ASEC 월간통계 2 (1) 5월악성코드통계 2 (2) 5월스파이웨어통계 11 (3) 5월시큐리티통계 14 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Autorun.inf 파일의정체에대하여 16 (2) 스파이웨어 국산스파이웨어의증가 21 (3) 시큐리티 디지털환경에따른트렌드의변화 24 III. ASEC 컬럼 28 (1) 악성코드분석가입장에서본 PE 구조 28 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
I. ASEC 월간통계 (1) 5월악성코드통계 순위 악성코드명 건수 % 1 2 Win-Trojan/Xema.variant 119 55.1% 2 new Win32/IRCBot.worm.154624.J 17 7.9% 3 5 Win32/Virut 16 7.4% 4 new Win-Trojan/Downloader.69632.AF 11 5.1% 5 new Win-Trojan/InfoStealer.53248.D 10 4.6% 5 new Win32/IRCBot.worm.382464 10 4.6% 7 new VBS/Solow 9 4.2% 8 new Win-Trojan/Downloader.65536.Z 8 3.7% 8 new Win-Trojan/LineageHack.95278 8 3.7% 8 4 Win32/IRCBot.worm.variant 8 3.7% 합계 216 100.0% [ 표 2-1] 2007 년 5 월악성코드피해 Top 10 월악성코드피해동향 2007년 5월악성코드 Top10에는전월에 4위였던아이알씨봇 (Win32/IRCBot.worm.variant) 이 8위로하락하였으며, 전월의 1위였던 Win-Trojan/Downloader.38400.I은 Top10순위에서밀려났다. 바이럿 (Win32/Virut) 은 5위로순위가두단계상승하였다. 1월에서 4월까지꾸준히 Top10중 7종을차지하였던트로이목마류가 5월에이르러 Top10중 5종만속하는약세를보였다. 5월악성코드 1위는 Win-Trojan/Xema.variant이며, 지난달에비해한단계상승하였으며, 이외순위에는새로운트로이목마및기타악성코드가 Top10에진입하였다. 5 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1-1] 과같으며, 1 위인 Win- Trojan/Xema.variant 이외의나머지 9 개악성코드들의비율을비교하면근소한차이임을확 인할수있다. Copyright AhnLab Inc,. All Rights Reserved. 2
5 월악성코드피해 Top 10 3.7% 3.7% 3.7% Win-Trojan/Xema.variant 4.2% Win32/IRCBot.worm.154624.J Win32/Virut 4.6% 4.6% Win-Trojan/Downloader.69632.AF Win-Trojan/InfoStealer.53248.D Win32/IRCBot.worm.382464 VBS/Solow Win-Trojan/Downloader.65536.Z 5.1% Win-Trojan/LineageHack.95278 Win32/IRCBot.worm.variant 7.4% 7.9% 55.1% [ 그림 1-1] 2007 년 5 월악성코드피해 Top 10 [ 그림 1-2] 에서와같이 1월부터꾸준히감소하던피해신고는 4월에증가하다가 5월이되면서다시감소하였음을알수있다. 잠시증가하였던 4월에는아이알씨봇 (IRCBOT) 변형의다수출현이피해신고가증가한원인이었고, 금월은광범위하게확산되는웜 ( 메스메일러, 봇 ) 보다는인터넷사이트, 게시판으로전파되는트로이목마위주로확산됨으로써피해건수가감수되는것으로보인다. Copyright AhnLab Inc,. All Rights Reserved. 3
2,500 2007 년월별피해신고건수 2,000 2,057 1,500 1,000 1,558 1,617 1,264 1,111 500 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-2] 2007 년월별피해신고건수 5월악성코드 Top 10 전파방법별현황 [ 표 1-1] 의악성코드피해 Top 10에서확인된악성코드는 [ 그림 1-3] 과같이전파방법을기준으로구분될수있다. 5 월악성코드 Top10 의전파방법별현황 스크립트 4% 웜 16% 트로이목마바이러스스크립트웜 바이러스 7% 트로이목마 73% [ 그림 1-3] 2007 년 5 월악성코드 Top 10 의전파방법별현황 5 월에도변함없이트로이목마류가가장많은피해를발생시켰으며, 점유률은 73% 로전월 (53%) 에비해증가하였으며, 웜의경우전월 (31%) 에비해소폭하락하였다. 바이러스는바 Copyright AhnLab Inc,. All Rights Reserved. 4
이럿 (Win32/Virut) 의순위가두단계올랐으나점유율은반대로하락하였다. 피해신고된악성코드유형현황 2006년 5월에피해신고된악성코드의유형별현황은 [ 그림 1-4] 와같다. 2007 년 5 월악성코드유형별현황 드롭퍼 11.5% 유해가능 4.9% 스크립트 2.4% 웜 10.0% 웜트로이목마바이러스드롭퍼유해가능스크립트 바이러스 2.5% 트로이목마 68.8% [ 그림 1-4] 2007 년 5 월피해신고된악성코드유형별현황 전체피해신고에서의악성코드유형을확인해보면, 트로이목마가 68.8% 로가장많았으며그다음은드롭퍼가 11.5% 였고, 3위는웜으로 10% 를차지하였다. 그외유해가능프로그램이 4.9%, 뒤를이어스크립트가 2.4%, 바이러스는 2.5% 였다. 이중주요악성코드유형인트로이목마, 바이러스, 웜에대한피해신고비율을따져보면 [ 그림 1-5] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 5
2007 년 5 월웜, 트로이목마, 바이러스피해신고비율 90% 84.62% 80% 70% 60% 50% 40% 30% 20% 10% 0% 12.37% 3.02% 웜 트로이목마 바이러스 [ 그림 1-5] 2007 년 5 월웜, 트로이목마피해신고비율 월별피해신고된악성코드종류현황 [ 그림 1-6] 에서와같이피해신고된악성코드종류는 1월부터 3월까지꾸준히감소하다가 4월에소폭상승하고다시 5월에이르러다시소폭감소된것을알수있다. 2007 년월별피해신고악성코드종류 1200 1000 1097 1061 800 600 630 829 725 400 200 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-6] 2007 년월별피해신고악성코드종류개수 Copyright AhnLab Inc,. All Rights Reserved. 6
국내신종 ( 변형 ) 악성코드발견피해통계 5 월한달동안접수된신종 ( 변형 ) 악성코드의건수는 [ 표 1-2], [ 그림 1-7] 과같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 3 월 67 323 79 2 9 0 0 0 8 0 492 4 월 84 334 78 0 5 0 0 0 17 0 518 5 월 53 331 59 0 4 0 0 0 34 0 481 [ 표 1-2] 2007년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달은전월대비 8% 정도악성코드수가감소하였다. 이는지난달에다수발견되었던 Win32/IRCBot.worm ( 이하악성 IRCBot 웜 ) 과 Win32/Zhelatin.worm ( 이하젤라틴웜 ) 등의감소로기인한것으로분석된다. 악성 IRCBot 웜경우지난달알려진 MS RPC DNS 서버관련취약점을이용한변형이증가하였다가해당취약점을이용한악성 IRCBot 웜이크게피해를주지못하자변형제작율이떨어진것으로추정된다. 이는취약점사용으로인한확산및감염성공률이높다면제작자들은적극적으로사용했을것이라는추정에근거한다. 또한젤라틴웜의감소는이웜의제작자가변형을유포를하지않아자연스럽게감소하였다기보다는 V3 엔진에젤라틴웜이사용한다형성루틴과실행압축형태를진단할수있는 Generic 한진단함수를개발하여엔진에반영한결과로보인다. 5월신종 ( 변형 ) 악성코드유형 7% 1% 5% 트로이목마 6% 드롭퍼웜 (IRC) 12% 웜 (Mail) 유해가능 파일 ( 바이러스 ) 69% [ 그림 1-7] 2007 년 5 월신종및변형악성코드유형 [ 그림 1-8] 에서와같이젤라틴웜변종에대한고객접수샘플및타사샘플에대한엔진반 영비율이뚜렷하게감소하였다. 물론이를기반으로실제샘플수가감소했다고분석할수 는없으나본리포트의기초가되는통계자료는안철수연구소가고객으로부터접수받은샘 Copyright AhnLab Inc,. All Rights Reserved. 7
플을첫번째기준으로작성하기때문에국내외다른업체및기관과의악성코드관련통계와차이가발생할수있다. 또한악성코드에대한피해가국지적으로뚜렷하기때문에최근들어악성코드통계를타사와비교하기에는다소무리가있다. 해당악성코드는주로국외 ( 북미또는유럽지역 ) 에서피해가많았으나, 국내에서는국외에비하여뚜렷한피해를주지않고있다. 이는해당악성코드가은폐형으로일반사용자들이쉽게감염여부를알아채지못하기때문에피해나샘플신고가그다지원할하지못하기때문이다. 6000 Win32/Zhelatin.worm Generic 진단적용후엔진반영수치 5000 4000 3000 2000 1000 0 1월 2월 3월 4월 ~5월 10일 ~5 월 30 일 [ 그림 1-8] Win32/Zhelatin.worm Generic 진단적용후엔진반영수치 [ 그림 1-9] 와같이악성코드유형별로웜과드롭퍼유형의감소가눈에띄고, 유해가능프로 그램은오히려지난달과비교하여 2 배증가한수치를보이고있다. Copyright AhnLab Inc,. All Rights Reserved. 8
악성코드유형병증감현황 90 80 70 60 50 84 53 78 59 4 월 5 월 40 34 30 20 17 10 0 웜드롭퍼유해가능 [ 그림 1-9] 2007 년 5 월감소및증가악성코드유형 웜과드롭퍼는지난달대비 37%, 24% 정도하락하였다. 드롭퍼의감소원인은중국발악성코드의영향이크다고하겠다. 드롭퍼대부분이온라인게임의사용자계정을훔쳐내는유형이 80% 이상차지하고있으며감소도역시해당유형의악성코드가많았다. 따라서드롭퍼에서 Drop 된트로이목마의수도지난달과비교하여 7% 정도감소하였다. 유해가능프로그램의경우지난달에언급했던 Win-AppCare/Virtumond ( 이하버추몬드 ) 의증가율이뚜렷하다. 팝업광고를노출하는증상이있는이유해가능프로그램은악성코드로분류되기도하는데, 안철수연구소는해당악성코드의진단율을놓이기위해서 Generic 한진단방법을연구중에있으며조만간그결과를토대로엔진에반영할예정이다. 실행파일을감염시키는바이러스는이번달에 4 종이발견되었다. 모두신종으로다음과 같다. - Win32/Alman: Win-Trojn원형과 B 형이존재한다. B 형은암호화된바이러스바디를가지고있으므로진단을위해서는복호화작업이필요하다. - Win32/Expiro: 감염된파일은 *.IVR 이란확장자로변경해두며이는중복감염여부를체크할때사용한다. - Win32/Klest: 마지막섹션에 652 바이트만큼의쉘코드를추가한다. 해당쉘코드는특정호스트로부터파일을다운로드받도록하는코드가담겨있다. - Win32/Mebangki: 후위형바이러스로감염된파일은.TNT 섹션이추가되며 14,516 바이트증가한다. Copyright AhnLab Inc,. All Rights Reserved. 9
다음 [ 그림 1-10] 은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라 인게임의사용자계정을탈취하는트로이목마의추세이다. 2007 년온라인게임사용자계정탈취악성코드추세 250 200 214 150 130 164 145 136 100 50 0 07 년 01 월 2 월 3 월 4 월 5 월 [ 그림 1-10] 온라인게임사용자계정탈취트로이목마현황 1 전월대비 7% 정도감소율을보이고있다. 이러한감소율은 2월을제외하고최근 3개월간하락수치를보이고있다. 이는다음과같은원인에기인한것으로추정된다. - 국내온라인게임보안솔루션의고도화 - 대만및중국현지자국온라인게임시장의활성으로타켓게임변경 - 중국내주식시장광풍으로인한악성코드제작율하락 - 계정탈취로인한아이템현금화후중국및대만발전화사기업체설립위정리내용중현재중국경제상황과국내의피해상황을유추하여보고일부는필자나름대로약간의상상력을추가해서정리한것도있다. Copyright AhnLab Inc,. All Rights Reserved. 10
(2) 5월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Adware/BHO.Adod.65536 9 1% 2 New Win-Downloader/Rogue.Nv.202240 7 1% 3 New Win-Adware/Boome.205824 7 1% 4 New Win-Adware/BHO.Adod.98304 6 1% 5 New Win-Downloader/Adod.49238 6 1% 6 New Win-Downloader/ToolBar.OK.49235 6 1% 7 New Win-Adware/Irich.200704 5 1% 8 New Win-Downloader/Rogue.BioPCmedic.353280 5 1% 9 New Win-Downloader/Bagle.117163 4 1% 10 New Win-Spyware/Rizo.19918 4 1% 기타 453 90.0% 합계 498 100% [ 표1-3] 2007년 5월스파이웨어피해 Top 10 2007 년 5 월스파이웨어피해 Top 10 1% 1%1%1%1% 1% 1% 1% 1%1% 89% Win-Adware/BHO.Adod.65536 Win-Downloader/Rogue.Nv.202240 Win-Adware/Boome.205824 Win-Adware/BHO.Adod.98304 Win-Downloader/Adod.49238 Win-Downloader/ToolBar.OK.49235 Win-Adware/Irich.200704 Win-Downloader/Rogue.BioPCmedic.353280 Win-Downloader/Bagle.117163 Win-Spyware/Rizo.19918 기타 [ 그림 1-11] 2007 년 5 월스파이웨어피해 Top 10 2007 년최근 6 개월간의스파이웨어피해통계를살펴보면피해통계상위 Top 10 에위치 한스파이웨어중그어느것도다음달통계의피해통계 Top 10 에오르지않았다는사실 을알수있다. 이점은 2007 년발견된모든스파이웨어가꾸준한피해를입히고있지않다 Copyright AhnLab Inc,. All Rights Reserved. 11
는사실을말해준다. 2007 년발견된스파이웨어중변형의배포주기가짧은스파이웨어크 립터 (Win-Spyware/Cryprt) 와온라인게임계정유출목적의스파이웨어를제외하고는꾸준 한피해를입힌스파이웨어를찾아보기는힘들다. 2007년 5월가장많은피해신고접수건수를기록한애드웨어어도드 (Win- Adware/Adod.65536) 는허위안티-스파이웨어프로그램과같은다른스파이웨어에의해사용자동의없이설치되는 BHO(Browser Helper Object, 브라우저도우미개체 ) 형태의애드웨어이다. 애드웨어어도드가설치된시스템에서 IE 브라우저가강제로종료되는증상은 IE 브라우저의확장기능으로동작하는애드웨어어도드의자체오류에의한것으로, 이때문에 2007년 5월 7일많은피해신고가접수되었다. 애드웨어어도드이외에도피해통계 Top 10 의대부분은국내에서제작된애드웨어가차지하고있는것도 5월피해통계의특징이다. 2007 년 5 월유형별스파이웨어피해현황은 [ 표 1-4] 와같다. 전체스파이웨어피해신고건수는전월인 4 월에비하여약 100 건정도증가하였으며, 피해 통계 Top 10 의내용을반영하듯전체피해통계수치에서도국내에서제작 / 배포되는애드웨 어에의한피해신고가크게증가하였다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 3월 123 100 25 69 1 14 6 0 0 338 4월 233 94 52 81 2 23 7 6 0 498 5월 320 109 22 122 2 10 2 9 0 596 [ 표 1-4] 2007년 5월유형별스파이웨어피해건수 Copyright AhnLab Inc,. All Rights Reserved. 12
5월스파이웨어발견현황 5 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-5], [ 그림 1-12] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 3월 48 17 10 20 0 5 2 0 0 102 4월 105 20 13 30 1 5 3 3 0 180 5월 143 29 5 46 1 4 1 3 0 232 [ 표 1-5] 2007년 5월유형별신종 ( 변형 ) 스파이웨어발견현황 2007년 5월발견된스파이웨어 0% 0% 2% 1% 0% 스파이웨어류 20% 2% 애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 13% 62% [ 그림 1-12] 2007 년 5 월발견된스파이웨어프로그램비율 [ 표 1-5] 와 [ 그림 1-12] 2007년 5월발견된신종및변형스파이웨어통계를보여준다. 4 월에비하여약 29% 증가한 232건의신종및변형스파이웨어가발견되었다. 최근 3개월간꾸준히새로운변형이발견되고있는스파이웨어크립터 (Win-Spyware/Crypter) 의경우 40 건의새로운변형이발견되었으며, 온라인게임계정유출목적의스파이웨어도약 30건의변형이발견되었다. Copyright AhnLab Inc,. All Rights Reserved. 13
(3) 5월시큐리티통계 [ 그림 1-13] 과같이 2007년 5월에는마이크로소프트사에서총 9개의보안업데이트를발표하고, 발표된업데이트는모두긴급 (Critical) 에해당된다. 이중에서오피스취약점들 (MS07-023, MS07-024, MS07-025) 에대한패치가포함되었으며, Exchange 서버관련취약점인 MS07-026, DNS 서버관련취약점인 MS07-029가포함되어있다. 14 공격대상기준 2006 년 5 월 ~ 2007 년 5 월 MS 보안패치분류현황 12 패치갯수 10 8 6 4 시스템 IE 오피스어플리케이션서버총수 2 0 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 4 월 5 월 [ 그림 1-13] 2006 년 5 월 ~ 2007 년 5 월공격대상기준 MS 보안패치현황 [ 그림 1-13] 을보면, 전반적으로 2007 년에들어와서, 오피스및 IE 취약점이증가추세에 있는것을알수있다. 2007 년에이슈가되고있는마이크로소프트취약점은인터넷익스플로러 VML 취약점인 MS07-004, Animated Cursor Handling 취약점인 MS07-017, 그리고 DNS 서버취약점인 MS07-029 등이있다. 그리고몇몇국내 ActiveX 관련취약점도발견되었다. 2007년에들어와서도오피스취약점의증가추세는꾸준하다. 오피스취약점공격을방지하기위해서는신뢰되지않은사이트접속및오피스 / 아래한글파일이메일로첨부해서오는경우에주의가필요하며, 보안패치를반드시해야한다. 아울러 Anti-Virus 제품및개인방화벽제품또한필요하다. Copyright AhnLab Inc,. All Rights Reserved. 14
2007 년 5월웹침해사고현황 웹사이트침해사고현황 180 170 160 140 120 100 109 118 101 91 경유지유포지 80 60 40 32 63 62 47 68 20 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 0 [ 그림 1-14] 웹사이트침해사고현황 2007년 5월의침해 / 악성코드유포사이트의수는 91/68이다. 2007년 4월과비교하여침해사이트의수는 10개감소하였지만유포사이트의수가 19개증가하였다. 이는악성코드유포지를다양하게하여보안장비나 Anti Virus 프로그램의대응을무력화하려는시도로분석된다. 악성코드배포유형은 2007년 4월과마찬가지로 MS07-017(Ani) 취약점이전체의 68% 로과반수이상을차지하고있다. 이러한현상은 MS07-017취약점이후 Internet Explorer(IE) 과관련하여새롭게발견된취약점이없기때문인것으로보인다. 앞으로새로운 IE의취약점이발견되기전까지는 MS07-017 취약점을이용한악성코드유포하는비율이과반수이상을차지하는현상이계속하여유지될것으로보인다. Copyright AhnLab Inc,. All Rights Reserved. 15
II. ASEC Monthly Trend & Issue (1) 악성코드 Autorun.inf 파일의정체에대하여 이번달악성코드이슈로는먼저윈도우정품인증을가장한트로이목마가국외에서보고되었는데일종의사회공학기법을이용한형태였다. 그리고새로운형태의 SSDT 후킹을시도하여자신의은폐모듈을숨기는악성코드가국, 내외에서보고되었다. 이새로운시도로기존의은폐형악성코드탐지툴로부터자신을우회하기때문에이목이집중되었다. 또한최근들어가장큰이슈가집중되는플래쉬메모리에생성되는 autorun.inf 파일의정체에대해서알아본다. 윈도우정품인증을가장한트로이목마 Win-Trojan/Kardphisher는윈도우정품인증을가장하여사용자로하여금신용카드정보를입력하도록유도하는트로이목마이다. 이트로이목마는마치윈도우정식인증을위하여그럴듯한메시지와절차로사용자로하여금신용카드정보를입력받고이것을탈취한다. 무엇보다도이트로이목마는실행된후자신을가장상위로활성화하기때문에다른응용프로그램이나화면으로전환할수가없게된다. 개인정보와카드입력을받는방법은특별한기법이아닌단지 Fake 된화면을보여주는일종사회공학기법에불과한다. 최근 MS 는윈도우와 IE 7 에대하여정품인증을강화하면서이것을노리고사용자의민감한개인정보를갈취하는트로이목마가출현한것으로보인다. [ 그림 2-1] Win-Trojan/Kardphisher 실행화면 1 Copyright AhnLab Inc,. All Rights Reserved. 16
[ 그림 2-2] Win-Trojan/Kardphisher 실행화면 2 새로운형태의 SSDT 후킹을시도하는트로이목마 Win-Trojan/Almanahe 이라고명명된이악성코드는기존과다른 SSDT (System Service Descriptor Table) 후킹을이용하여기존의알려진루트킷진단프로그램에서진단되지못하도록자신을숨긴다. 이트로이목마가사용한 SDT 후킹기법은후킹주체가악성코드모듈이아닌정상 ntoskrnl.exe를가르킨다. 즉, 서비스함수포인터의위치에대해서해당트로이목마는서비스주체인 ntoskrnl.exe를가르키도록했다. 후킹주체인은폐된커널드라이버가악성코드자신이아닌 ntoskrnl.exe 를보이도록해서 우회한다. 그러나후킹된함수까지숨기지는못하므로이를통하여 SSDT 후킹여부는확인 될수있다. [ 그림 2-3] Win-Trojan/Almanahe 의 SSDT 후킹함수및주체 Copyright AhnLab Inc,. All Rights Reserved. 17
이트로이목마는실행파일을감염시키는바이러스증상도가지고있으며, 또한일부온라인 게임의사용자계정을훔쳐내는증상도있다. V3 는이또한 Win32/Alman 이라고명명했고 진단 / 치료가가능하다. 플래쉬메모리에생성된 Autorun.inf 의정체는? 근래들어이동식드라이브 ( 대부분 USB 방식의플래쉬메모리스틱 ) 에생성된 Autorun.inf 의정체에대한문의가다수접수되고있다.. 매체에대한단가하락과대량생산은자연스럽게이러한미디어에대한접근을쉽게하므로요즘플래쉬메모리스틱을한개이상은보유하고있다고해도과언이아니다. 따라서이러한미디어를대상으로악성코드를감염시키려는악성코드제작자들의노력이계속되고있다. 그렇다면왜? 이동식드라이브를감염대상으로하는것일까? 이는예전에플로피디스켓에부트바이러스나파일바이러스를감염시켰던것과같이좀더확산력을높이기위해서이다. 또한그당시에는없었던 Autorun.inf 파일을이용하여자동으로실행할대상을지정하여악성코드를사용자의도와는관계없이실행및감염그리고확산시키려는데목적이다. VBS/Solow는 Autorun.inf 파일을생성하는대표적인악성코드이다. 이외에도스크립트형태가아닌 *.EXE 확장자를갖는실행파일형태의악성코드도있다. VBS/Solow는각드라이브루트폴더비롯하여이동식드라이브루트폴더에 Autorun.inf 파일을생성한다. 이러한활동을 200초마다반복적으로실행하기때문에사용자가 Autorun.inf 파일을삭제해도다시생성된다. 생성된 Autorun.inf 파일은특정드라이브또는이동식드라이브에생성된악성코드복사본을실행하도록하는명령이포함되어있다. 예를들어플래쉬메모리스틱에 Autorun.inf 파일이있다면해당플래쉬메모리를 USB 포트에연결한후바탕화면의내컴퓨터를선택하여플래쉬메모리스틱이연결된이동식드라이브를클릭할경우 Autorun.inf 에의해서악성코드가자동으로실행된다. 고객들이많이질문하는내용은크게 2 가지로다음과같다. - Autorun.inf 파일의삭제후재생성 - Autorun.inf 파일과악성코드파일을수동으로삭제한경우바탕화면에서내컴 퓨터를이용하여각드라이브접근불가 Copyright AhnLab Inc,. All Rights Reserved. 18
먼저 Autorun.inf 파일의재생성은위에서언급한것처럼 VBS/Solow 는 200초마다반복적으로각드라이브에대한 Autorun.inf 파일을생성한다. 또한해당악성코드는스크립트웜으로자신이실행되기위해서일종의인터프리터인 WScript.exe 라는파일을실행함으로써자신의스크립트를실행한다. 그러므로프로세스에서실행중인 WScript.exe를종료하지않으면 Autorun.inf파일이재생성되는원인이된다. 중요한것은 WScript.exe는정상적인윈도우파일이므로삭제해서는안된다. 두번째로 Autorun.inf 파일과악성코드를사용자가직접삭제한경우내컴퓨터를이용한각드라이브접근시다음 [ 그림 2-4] 와같은에러메시지가나오고드라이브열기가불가능한경우가발생할수있다. [ 그림 2-4] VBS/Solow 레지스트리미치료시나오는에러메시지 이는자동실행되기위해서각드라이브에대한클래스 ID가저장된레지스트리키를변경해주지않았기때문이다. 이키는각드라이브의클래스 ID 가저장된하위키에 Autorun.inf 에의해서자동실행되도록대상파일이기록되어있다. 따라서이하위키를변경또는삭제하지않으면드라이브열기를시도할때마다레지스트리키값에명시된파일이존재하지않는다는메시지를출력하고열기가불가능해진다. 물론탐색기를통해서나다른파일관리자를이용해서는각드라이브탐색은가능하다. 구글 Adsense 의부정클릭유도한사건 5 월중순 MSN 메신저로다음과같은메시지가국내외퍼졌다. www.whoadmit( 제거됨 ).com <- Find out who deleted and blocked you from the MSN 위링크를클릭하여자신의 MSN 메신저아이디와비밀번호를입력하면자신을버디리스트에서차단하거나삭제한것을알려준다고한다. 하지는이는사용자를속이는것이고, 입력받은계정과비밀번호를이용하여 MSN 서버로부터버디리스트를받아와위링크를현재온라인된모든사용자에게발송하는사건이있었다. 초기에는이링크를보내는별도의악성코드가있다고추정하였지만, 실제로는그렇지않고, 위링크의주소로들어가 MSN 계정을입력하면현재로그인된자신의 MSN 메신저는로그아웃이되고, 입력받은계정으로 MSN 서버로로그인하여버디리스트를가져와위링크를보내는것으로최종분석되었다. Copyright AhnLab Inc,. All Rights Reserved. 19
또한해당링크의페이지는구글의 Adsense 광고가다수노출되어있었다. 이러한점을종합해보면위링크의방문자들로하여금구글 Adsense 의부정클릭을유도하여돈을벌어드리려는것으로위와같은웹페이지와호스트를운영하는것으로추정된다. 만약위링크에서자신의 MSN 계정을입력했다면혹시있을지모르는개인정보도용을예방하기위해서라도 MSN 계정의비밀번호를지금변경할것을권장한다. Copyright AhnLab Inc,. All Rights Reserved. 20
(2) 스파이웨어 국산스파이웨어의증가 Win-Adware/Adod 5월초, 다수의고객으로부터 Internet Explorer( 이하 IE) 가동작하지않는다는신고가접수되어인터넷대란이또다시일어나는것은아닌지, 많은사람들을우려케하였지만다행히특정애드웨어가설치된 PC에서만발생하는문제로밝혀졌으며그주범은 Win- Adware/Adod였다. Win-Adware/Adod가 PC에설치되면 BHO(Browser Helper Object) 와 Toolbar가등록된다. 본래의동작은 IE의주소표시줄에입력되는한글키워드를감시하여특정한글키워드가입력되면제작사와제휴된검색사이트의검색결과를노출하도록되어있다. 그러나 BHO로등록되는모듈이버그를포함한채로배포되었고, IE가시작되면서 BHO 모듈을로딩할때, Win-Adware/Adod의잘못제작된 BHO 모듈이로딩되면서오류가발생하여, 이로인하여 IE가실행되자마자종료되었다. 대부분의애드웨어는 Win-Adware/Adod와같은문제점을시한폭탄처럼안고있다고볼수있다. 애드웨어제작업체들대다수가프로그램개발시간단히동작만확인할뿐, 별도의품질테스트과정을거치지않기때문에언제어느시점에서시스템에치명적인오류를야기할지모르며이와같은사례는허다하다. 이러한문제는시스템의중요부분과관련이있을경우더욱큰문제가될수있는데, Win- Adware/Adod와같이 IE의중요한프로그램의일부모듈로동작하거나시스템드라이버로등록되는경우시스템을망가뜨리거나주요어플리케이션사용에불편을주는등사용자에게큰불편을줄수있다. 특히시스템드라이버로등록되는경우는 BSOD(Blue Screen of Death) 를발생시키거나윈도우가부팅되지않는상황까지발생할수있다. 과거 Win-Adware/Rogue.CC가등록한루트킷드라이버로인하여레지스트리에관련한작업시매번 BSOD가발생한사례가있는데, 이경우사용자는일반적인방법으로는 Win-Adware/Rogue.CC를제거할수없어더욱큰문제가되었다. 스파이웨어나애드웨어제작자들에게시스템의오류를발생하지않도록테스트를잘해달라 고요구할수는없는노릇이기에, 현재로서는이러한것들이설치되지않도록사용자가주의 하거나안티 - 스파이웨어프로그램을사용하여이들을제거하는수밖에없다. Copyright AhnLab Inc,. All Rights Reserved. 21
국산스파이웨어피해급증 최근국산스파이웨어로인한사용자피해신고가크게증가하였다. 발견되는스파이웨어의수는국외에서제작된것이훨씬많으나그피해신고는국내에서제작된것들로인한피해신고가더많아지고있다. 외국산스파이웨어의경우, 동일한스파이웨어대해피해신고가다수접수되는것은보안취약점을이용하거나바이러스혹은웜에의해배포되어그확산력이컸기때문인반면, 국산의경우는난이도가높은해킹기법은사용되지않았으나그피해신고는비슷하거나오히려많았다. 물론지역적인이유로그런것일수있겠지만유독국산스파이웨어로인한피해가증가한이유는무엇일까? 이는국내 UCC 산업의발전과관련이있는것으로보인다. 과거, 카페나게시판등에단순히 ActiveX 코드를삽입하는것이전부였다면, 요즘은블로그를이용하여 UCC 동영상을보기위해서는 ActiveX 컨트롤을설치해야한다는식으로사용자들을속이고있다. 일부 UCC 동영상사이트에서동영상재생을위해서는 ActiveX를설치해야한다는점을교묘히이용한것이다. 국내유명포털사이트를보면대부분메인페이지에 실시간인기검색어 라는제목으로사용자들이많이입력하는키워드의목록이나오는데, 이키워드로검색을하면관련된 UCC 동영상을볼수있다는제목의글을어렵지않게찾을수있다. 그런데이글들중에일명 낚시글 이라고불리는사용자를속이는글들이함께노출된다. 스파이웨어배포자들은더욱많은사람들에게자신의사이트가노출되도록하기위해 실시간인기검색어 로등록된키워드가들어간글을무작위로생성하고검색사이트에노출되기만을기다린다. 그리고국내유명검색사이트에서는보다많은 UCC 확보를위해기계적으로이를검색 DB에저장하고결국사용자에게보여지는것이다. 이러한낚시글을클릭해보면 UCC 동영상관련사이트인것처럼사용자들을완전히속이고, ActiveX 컨트롤을설치할것을요구한다. 아래의 [ 그림 2-5] 는 UCC와는전혀관련이없으며단순히이미지로만제작된허위 UCC 동영상사이트이다. 그림의동영상재생기역시가짜이다. 설치되는 ActiveX 컨트롤은동영상재생과는전혀관련이없으며설치할경우다수의스파이웨어가설치된다. Copyright AhnLab Inc,. All Rights Reserved. 22
[ 그림 2-5] 허위 UCC 동영상사이트 보다많은 UCC 사이트를검색하려는검색사이트의헛점을스파이웨어배포자들이잘이용하고있는샘이다. 물론검색사이트에서이러한사이트를발견하는즉시차단하는등의조치를취하고있는것으로보이지만아직미미하며, 이로인한피해는지속적으로증가하고있는실정이다. Copyright AhnLab Inc,. All Rights Reserved. 23
(3) 시큐리티 디지털환경에따른트렌드의변화 마이크로소프트사에서이번 2007년 5월에발표한보안업데이트는총 7개로모두긴급 (Critical) 에해당하는업데이트들이다. 이중 DNS 서버의 RPC 원격코드실행취약점은지난 4월패치가공개되기이전에공격코드가공개되어있었던만큼, DNS 시스템을운영하는사용자는바로패치를적용할것을권고한다. 이것은 DNS 서버서비스에바인딩되어있는 RPC 에조작된공격패킷을보내임의의코드를실행할수있고이미 IRCBot 악성코드에서해당코드를사용하여공격하는것이확인된만큼주의가필요하다. 다음은악의적인공격에이용될수있는원격코드실행취약점과살펴볼만한주요취약점 들에대한목록이다. 위험등급 취약점 PoC 긴급긴급긴급긴급 마이크로소프트엑셀원격코드실행취약점 (MS07-023) 023) 무 마이크로소프트워드원격코드실행취약점 (MS07-024) 024) 무 마이크로소프트오피스원격코드실행취약점 (MS07-025) 025) 무 윈도우 DNS 서버의 RPC 원격코드실행취약점 (MS07-029) 029) 유 긴급 긴급 Samba 원격코드인젝션취약점 Sun JDK(Java Development Kit) 이미지처리취약점 [ 표 2-1] 2007년 5월주요 MS 취약점패치 무 유 유닉스기반에서많이사용되고있는삼바 (SAMBA) 는윈도우의파일공유와같은기능을제공해주고있는프로그램으로서사용자의입력파라미터로 /bin/sh 와같은인자가넘어올경우원격지에서명령어실행이가능하다. 삼바 3.0.0 3.0.25rc3 버전을사용하고있는사용자는최신의버전으로사용할것을권고하며관련정보는삼바사이트 (http://www.samba.org) 에서얻을수있다. 데이터의분실사건사고의현장 5 월은다른달과달리데이터분실사고등이많이발생하였다. 데이터분실은기업또는개 인의입장에서큰피해를줄수있는부분중의하나이다. 특히많은자료들이이제디지털화 되어가며과거에몇백페이지종이들이유출되어야했다면이제는작은이동형장치에더 많은정보들이유출될수있는환경에놓여있다. 최근해외투자사로유명한 JP 모건이고객 과직원의개인정보가들어있는백업테이프를분실한사건이발생하였다. 백업테이프를 이동하는과정에서분실된것으로알려지고있는데대략 47,000 명정도의고객이포함되었 다고한다. 이외미국교통보안국 (TSA:Transportation Security Administration) 이대략 100,000 여명의직원개인정보가담긴하드드라이브를분실한것으로알려졌다. TSA 직원 Copyright AhnLab Inc,. All Rights Reserved. 24
의 2002년 1월부터 2005년 8월사이의직원정보들로이름, 사회보장번호, 은행계좌정보등이포함되었다고하며이메일을통해직원들에게이소식을알렸다고한다. 이드라이브가 TSA의본사에서분실된것으로보고있으며 FBI 와미국정보국에서이사건을조사중이라고한다. 이렇게한순간에많은양의데이터가유출될수있는만큼기업들은이러한데이터분실에대해서도대비책을세워두어야한다. 웹공간의 10% 가위험하다고요? 여러분들이방문하고있는웹사이트는항상안전할까요? 방문한사이트가신뢰할수있으며악의적인요소가포함되어있지않은페이지로만들어져있다고믿고있었다면이제다시생각해보아야할것이다. 세계적인터넷검색업체중하나인구글에서흥미로운발표를하였는데, 4백5십만개의웹페이지를분석한결과그중 10% 가악의적코드를포함하고있었다는것을발표하였습니다. 안철수연구소시큐리티대응센터에서도국내의웹해킹을추적, 검토등을통해서상당히많은수가감염되어있을것으로추정하고있었지만구글의자료가이를뒷받침하는증거가되었다. 10% 인 45만여개의웹사이트가악의적코드를설치하는데, 이는주로사회공학적기법으로사용자를유혹할만한제목의링크로유도를한다. 예를들면, 포르노사이트또는유명소프트웨어다운로드등이해당된다. 이러한악의적코드의설치는주로마이크로소프트사의인터넷익스플로러의취약점을이용하는것으로밝히고있다. 그렇다면왜 IE 의취약점을주로이용하는것인가? 이유는바로 IE 의사용률이전세계적으로가장높기때문이다. 많이사용되지않는브라우저의취약점보다는많이사용되는브라우저취약점을이용하는것이보다감염을쉽게시키기위한방법이기때문이다. 악의적코드설치로인한피해는즐겨찾기의변경, 툴바설치, 브라우저의시작페이지변경등이해당되며키로거등의설치를통해사용자계정정보를빼내가기도한다. 웹환경의변화에따라전통적인방법의악성코드감염에서이제는웹으로그방법이많이옮겨지고있다. 이에대한대책으로는사용하는컴퓨터에최신의보안패치설치와의심되는사이트는방문하지않고안티바이러스, 개인용방화벽등과같은보안제품의설치를통해피해를최소화할수있다. 오피스취약점을파헤쳐본다. 이번달에도오피스관련많은취약점 (MS07-023, MS07-024, MS07-025) 이발생하였는데 오피스취약점은무엇이고이를통해어떠한피해들이발생할수있는지살펴보도록한다. 사용자들이많이묻는주요한질문몇가지에대해서알아볼것이다. Copyright AhnLab Inc,. All Rights Reserved. 25
1. MS 오피스취약점이란무엇인가? 오피스프로그램은대다수사용자가이용하는응용프로그램으로스프레드시트프로그램인엑셀 (Excel), 문서작성 / 편집프로그램인워드 (Word), 프리젠테이션관련프로그램인파워포인트 (PowerPoint), 데이터베이스관련프로그램인 (Access), 이메일프로그램인아웃룩 (OutLook) 등으로구성되어있다. MS 오피스취약점은이러한오피스프로그램및오피스라이브러리에버그 (Bug) 가존재하는것을말한다. 사용자가악의적으로조작된오피스파일 (File) 을읽는과정에서, 사용자가관리자권한으로로그인되어있는경우취약점을악용한공격자는프로그램의설치, 보기, 변경, 데이터삭제등과같은권한을얻게되어시스템을완전히제어할수있게된다. 하지만, 취약점을이용한공격에성공하기위해서는사용자의개입이필요하다. 그러나, MS 오피스프로그램이기업의많은컴퓨터에설치되어있어위험의심각도가높다고볼수있다. 2. MS 오피스취약점동향및피해사례 MS 오피스취약점은 2006년상반기부터본격적으로나타나기시작하였다. MS 사의보안패치중에 2006년과 2007년 5월까지 MS 오피스공격에이용될수있는취약점은총 22 건이다. 이것은같은기간동안의전체보안패치중약 21.5% 정도를차지하고있다. 취약점을이용한공격에는조작된파일을특정 / 불특정사용자에게메일또는웹으로전달하 여사용자가해당오피스파일 (File) 읽는경우임의의코드또는악성코드를실행할수있 게된다. 악성코드는 V3 진단명으로 PP97M/Exploit-PPDropper, X97M/Exploit.Excel, X97M/Exploit.ControlExcel 등이존재하며, 내부코드에트루잔 (Trojan) 및다운로더 (Downloader) 등이포함되어져있기도하며, 최근에는특정오피스취약점을공격하는자동제작기가중국에서발견되기도하였다. 외국뿐만아니라국내에서도 MS 오피스취약점을이용한공격이발생하고있는데, 이러한공격은주로특정목적을가지고수행되는것으로보이며, 개인및기업등의민감한정보를노리는것으로파악된다. MS 오피스취약점은제로데이 (Zero-Day) 공격에도자주사용이되고있기때문에, 주의가필요하다. 3. MS 오피스종류에따라취약점이발견되는것인지? 엑셀, 워드, 파워포인트개별로취약점이발견되며또한오피스공통라이브러리에서취약점 Copyright AhnLab Inc,. All Rights Reserved. 26
이발견되는경우도존재하며공격형태는유사하다고볼수있다. 4. 사용자가주의해야할점 1) 오피스프로그램의보안패치를주기적으로해야한다. 2) 오피스파일을메일또는웹으로받은경우에는신뢰되지않은사용자이거나신뢰되지않은웹사이트인경우에주의가필요하다. 3) Anti-Virus 제품및개인방화벽을사용한다. 4) 네트워크관리자는네트워크보안제품의사용을고려한다. 5) 네트워크관리자는메일서버에서오피스파일이첨부된이메일 (E-Mail) 을필터링 (Filtering) 하는것을고려할수도있다. Copyright AhnLab Inc,. All Rights Reserved. 27
III. ASEC 컬럼 (1) 악성코드분석가입장에서본 PE 구조 1. 악성코드와 PE(Portable Executable) 파일의조우 PE 파일이라부르는형식은플랫폼에관계없이 Win32 운영체제시스템이면어디든실행가능한프로그램을뜻한다. PE 파일 (*.EXE, *.DLL) 의실행을위해서는운영체제에실행파일의정보를제공할필요가있는데, 예를들면실행파일의기계어코드위치, 아이콘및그림파일등의위치, 해당파일이실행될수있는플랫폼의종류, 운영체제가파일을실행시킬때첫시작코드의위치등수많은정보를제공하여야한다. 이와같은다양한정보들이저장된곳이 PE 파일의처음에위치한 PE 헤더구조체이다. 악성코드를분석하여보면 PE 헤더구조체에흥미로운정보들이많이존재하고있음을알수있다. 악성코드의크기를줄이기위해헤더정보를속이거나, 바이러스에감염되어원본파일의헤더가변경되기도한다. 또한특정악성코드만의고유한정보가숨어있기도하며, 일반정상파일에서는있을수없는값들이들어있기도하다. 2. 현재의악성코드가 DOS 시절의헤더를이용한다? PE 파일은 IMAGE_DOS_HEADER 구조체로시작한다. 이는 DOS 시절에사용되던실행파 일의헤더로서실행파일이 DOS 에서실행되었을때 DOS 운영체제에알려줘야할정보들 이담겨있다. 다음은 IMAGE_DOS_HEADER 구조체이다. typedef struct _IMAGE_DOS_HEADER { WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e_ss; WORD e_sp; WORD e_csum; WORD e_ip; // Magic number // DOS.EXE header // Bytes on last page of file // Pages in file // Relocations // Size of header in paragraphs // Minimum extra paragraphs needed // Maximum extra paragraphs needed // Initial (relative) SS value // Initial SP value // Checksum // Initial IP value Copyright AhnLab Inc,. All Rights Reserved. 28
WORD e_cs; // Initial (relative) CS value WORD e_lfalc; // File address of relocation table WORD e_ovno; // Overlay number WORD e_oemid; // OEM identifier (for e_oeminfo) WORD e_oeminfo; // OEM information; e_oemid specific WORd e_res2[10]; // Reserved words LONG e_lfanew; // File address of new exe header } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; 그러나, 이것은 DOS 운영체제를위해제공하는정보들이기때문에현재 Windows 환경에서는필요치않다. 대다수의필드들은무시되며 e_magic 및 e_lfanew 필드만이유용한정보가된다. e_magic 필드는 IMAGE_DOS_HEADER의시작을나타내는것으로항상 MZ 라는문자열로시작을한다. 그리고 e_lfanew 필드는 IMAGE_DOS_HEADER 다음에나오는헤더파일의오프셋값을가지고있다. 그외의필드들은 Windows에서파일을실행시켰을때이용되지않는다. 다음 [ 그림 3-1] 은일반적인실행파일의 IMAGE_DOS_HEADER의값이다. [ 그림 3-1] IMAGE_DOS_HEADER 정보 이위의값들은만일 DOS Mode 실행시 Dos Stub 실행을목적으로지정된값들로이헤더뒤에따르는문자열 This program cannot be run in DOS mode 을출력해주기위해지정된값들이다. Dos가아닌 Windows 모드에서실행시켰을경우에는이용되지않는다. 그러나몇몇악성코드를분석하다보면실제사용되지않는필드값들이악성코드에의해사용되고있는흥미로운사실을발견할수있다. 다음 [ 그림 3-2] 는악성코드에서많이사용되는실행압축방식의하나인 Upack의 IMAGE_DOS_HEADER 부분이다. [ 그림 3-2] Upack 의 IMAGE_DOS_HEADER 정보 앞서설명한 IMAGE_DOS_HEADER 와는확연한차이를보인다. e_magic 및 e_lfanew 필 드이외의값들이 KERNEL32.DLL, LoadLibraryA, GetProcAddress 등의문자열로채 Copyright AhnLab Inc,. All Rights Reserved. 29
워진것을확인할수있다. 이들문자열들은동적링크를위한함수호출에필요한문자열들로실행압축인 Upack에서필요한라이브러리함수 (DLL) 들을가져다쓰는루틴을위해존재한다. 여기서는범용실행압축모듈인 Upack을통해실제이용되지않는필드들을활용하는사례를다루었지만, 악성코드들역시필요한정보들의보관을위해 IMAGE_DOS_HEADER 의빈공간을적절히이용하고있다. 3. e_lfanew 필드가 IMAGE_DOS_HEADER 범위안을가리키고있다? IMAGE_DOS_HEADER의 e_lfanew 필드는다음에올헤더위치의파일오프셋을가리키고있다. 즉, 실제 PE 파일의시작이라고할수있는 IMAGE_NT_HEADER의시작오프셋값을가지고있다. 다음 [ 그림 3-3] 은일반적인실행파일의 e_lfanew 필드의값인 0x0000000E 위치의값을보여준다. [ 그림 3--3] IMAGE_DOS_HEADER 의 e_lfanew 정보 위그림과같이일반적인실행파일은다음에올헤더위치의파일오프셋을가리키고있다. 0x000000E0 위치에있는헤더는 IMAGE_NT_HEADER 로써다음과같은구조체로정의가 되어있다. typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADER32, *PIMAGE_NT_HEADER32; Copyright AhnLab Inc,. All Rights Reserved. 30
첫필드인 Signature는 PE 헤더의시작을알리는값으로 PE 라는문자열이들어가게된다. 그렇기때문에 IMAGE_DOS_HEADER의 e_lfanew 필드가가리키는위치를가보면 PE\0\0 과같은문자열이나타나게된다. IMAGE_FILE_HEADER와 IMAGE_OPTIONAL_HEADER32는 PE 구조체의세부적인값들로지정된구조체이다. 그럼 e_lfanew 필드는언제나자신보다뒤에있는영역을가리키고있는것일까? 일반적인실행파일의경우그렇다고할수있다. 그러나몇몇악성코드들에서는다음 [ 그림 3-4] 와같은모습이보여지기도한다. [ 그림 3-4] 악성코드에서의특이한 e_lfanew 정보의예 일반적인실행파일과다르게 IMAGE_DOS_HEADER의 e_lfanew 필드가자신보다앞의영역을가리키고있다. 이와같이다소일반적이지않은형태로구조체가정의되더라도각필드에맞는값들이채워진다면운영체제가파일을읽어들여서실행하는것에는문제가되지않는다. 특히 IMAGE_DOS_HEADER의첫필드와마지막필드를제외하고는현재이용되지않기때문에전혀문제가되지않는다. 단, IMAGE_NT_HEADER 구조체의시작이앞으로이동하게되면 e_lfanew 필드값이 PE 헤더값과겹치게되므로, e_lfanew 필드값과매칭되는 PE 헤더의값 (BaseOfData) 에문제가없어야만한다. 다음 [ 그림 3-5] 를살펴보면 IMAGE_DOS_HEADER의 e_lfanew 필드는파일오프셋으로 0x00000010을가리키고있다. 그리고 IMAGE_NT_HEADER의앞부분에위치한이용되지않는 IMAGE_DOS_HEADER의영역에 KERNEL32.DLL 문자열을숨겨두었다. IMAGE_NT_HEADER를보면 PE 헤더의시작뒤를보면파일오프셋 0x0000002A 부분부터 LoadLibraryA 문자열이있는것을확인할수있다. [ 그림 5] 악성코드가삽입한 IMAGE_DOS_HEADER 내의문자열정보 해당영역은 IMAGE_NT_HEADER 에멤버로등록된구조체인 Copyright AhnLab Inc,. All Rights Reserved. 31
IMAGE_OPTIONAL_HEADER 의영역으로각대칭되는필드는다음그림 [2-6] 과같다. [ 그림 2-6] IMAGE_OPTIONAL_HEADER 정보 Major Linker Version, Minor Linker Version, SizeOfCode, SizeOfInitializedData, SizeOfUninitializedData의값이된다. Major 및 Minor Linker Version 필드는실행파일을만든링커의버전을담고있으며, SizeOfCode 필드는모든코드섹션들의사이즈를합한크기이다. SizeOfInitializedData 필드는코드섹션을제외한초기화된데이터섹션의전체크기를나타내며, SizeOfUninitializedData 필드는초기화되지않은데이터섹션의바이트수를나타낸다. 일반적인실행파일의경우이러한값들은거의쓰이지않는다. 4. 다른컴퓨터의정상적인실행파일과내컴퓨터의정상적인실행파일이다르다? 일반적으로같은플랫폼에서의같은실행파일의경우직접링커를통해실행파일을만들지않는이상 ( 즉, 일반적으로제공되는어플리케이션을설치했을경우에는 ) 같은속성을가지게된다. 그러나이실행파일헤더의특정몇몇부분이다를경우에는실행파일이감염되었음을의심해볼수있다. [ 그림 3-7] 과 [ 그림 3-8] 에서진단명 Tufic.C에감염전후의 explorer.exe 파일의차이를확인해볼수있다.. Copyright AhnLab Inc,. All Rights Reserved. 32
[ 그림 7] Tufic.C 감염전 Number of Sections 정보 [ 그림 8] Tufic.C 감염후 Number of Sections 정보 [ 그림 2-7] 은 Tufic.C 감염되기이전의 IMAGE_NT_HEADER에속한 IMAGE_FILE_HEADER의값이며, [ 그림 2-8] 은감염된이후의모습이다. 박스안의 NumberOfSections 필드를살펴보면감염된이후에값이 1만큼증가한것을확인할수있다. Tufic.C는원본파일의맨뒤에바이러스를첨가시키는 Appending 바이러스의한유형으로바이러스를추가할부분을만들기위해섹션의수를하나증가시켜놓은것이다. [ 그림 2-9] Tufic.C 감염후추가된섹션정보 [ 그림 2-9] 는추가된섹션헤더의모습이다. 여기에서상당히많은악성코드정보를얻을 수있으며, 이러한정보는악성코드분석에큰도움을준다. 우선섹션의이름은.adate 임을 알수있다. Tufic.C 와같이바이러스감염시섹션이름을특정문자열로주게되면, 바이러 Copyright AhnLab Inc,. All Rights Reserved. 33
스감염여부에대한기초적인판단정보가되기도한다. VirtualSize는감염파일이운영체제에의해로드되었을때, 이섹션의이미지상의크기를나타내어준다. 이것은바이러스코드의길이를짐작할수있다. RVA는실행파일이운영체제에의해로드되었을때메모리상의위치정보이며, 감염파일을분석할때바이러스코드를확인할수있다. SizeOfRawData는파일상에서섹션의크기에대해알수있으며, 치료할때사용된다. PointerToRawData는파일상의섹션위치를알수있으며이것또한치료할때사용된다. Characteristics은해당섹션의속성을나타내는플래그의집합이다. 바이러스가생성한섹션의플래그는 IMAGE_SCN_CNT_CODE, _EXECUTE, _READ, _WRITE 등의속성이지정되어있으며각각은 코드를포함하고있다, 실행가능한섹션이다, 읽기가능섹션이다, 쓰기가능섹션이다 는것을의미한다. [ 그림 3-10] 에서와같이섹션정보이외에수정되는것이더있는지확인을해보면중간부분에서와같이몇개의필드가수정된것을확인할수있다. [ 그림 3-10] Tufic.C 감염전 / 후의 IMAGE_OPTIONAL_HEADER 정보 IMAGE_NT_HEADER에속해있는 IMAGE_OPTIONAL_HEADER32 구조체의필드값들이다. 왼쪽이감염이전의 explorer.exe 파일이며, 오른쪽이감염이후의 explorer.exe 파일이다. 감염전 / 후를비교해보면, 세부분이바뀐것을확인할수있는데, 첫번째 SizeOfCode는앞서설명과같이모든코드섹션의사이즈를합한크기이며그크기가증가한것을확인할수있다. 또한맨마지막의 SizeOfImage는운영체제가이실행파일을로드할때확보 / 예약해야할메모리상의크기를가리킨다. 이또한 SizeOfCode가증가한크기만큼증가한것을확인할수있다. Copyright AhnLab Inc,. All Rights Reserved. 34
중요한것은 AddressOfEntryPoint 인데이부분은운영체제가실행파일을로드했을때, 이실행파일의코드시작점을나타낸다. Tufic.C에감염되었을경우에는이와같이코드진입점이변경되며변경된코드진입점은바이러스의시작주소를가리키게된다. 이것은바이러스분석에결정적자료가된다.( 물론이처럼 AddressOfEntryPoint 필드를변경하지않고, 실제시작코드를변경하는바이러스들도존재한다.) 변경된원본 AddressOfEntryPoint 는바이러스가나중에원본파일을정상실행시키기위해서임의의위치에백업을해둔다. 5. Import Address A Table 정보를이용한악성코드분석 DLL(Dynamic Link Library) 은서로다른프로그램이실행된후공통적으로사용하는함수들을하나로묶어두고이를필요로할때동적으로링크하여사용하는공유라이브러리파일이다. 각각의프로그램에서하나의함수를공통적으로사용하게되므로메모리가절약되고, 주프로그램과함께컴파일되는정적링크에비해상대적으로작은사이즈를가지는잇점이있다. 최대한간략하게만들어야하는악성코드역시필요한함수를동적링크하는것이일반적이므로, 함께링크되는 DLL 함수정보를살펴보면악성코드가의도하는목적을유추할수있다. PE 구조에서해당정보를보관하고있는 Import Address Table을찾아가보기로한다. 1) PE 파일의시작 (e_magic) 에서 0x3C 만큼이동하면 IMAGE_NT_HEADERS 시작오프셋 값 (e_lfanew) 을찾을수있다 2) IMAGE_NT_HEADERS 시작오프셋 (Signature) 에서 0x80 만큼이동한지점이 Import Directory RVA 구조체정보이다. 구조체엔트리에대한의미는 WinNT.H 파일에다음과같 이정의되어있다. typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; Copyright AhnLab Inc,. All Rights Reserved. 35
[ 그림 3-11] Import Directory RVA 정보 3) Import Directory RVA에대한 FileOffset으로이동하면동적으로링크하는 DLL 파일들의구조체 (IMAGE_IMPORT_DESCRIPTOR) 정보를확인할수있다. 다음은 Win- Trojan/Backdoor.40960.B 에서동적으로링크하는 DLL 및그에따른함수 (Import Address Table) 정보를일부발췌한것이며, 이를통해해당악성코드는 URL 접속및정보유출, 불특정파일다운로드등의증상을유추해볼수있겠다. urlmon.dll: Internet Explorer의구성요소로, 웹사이트에서반환된 URL과정보를처리한다 WS2_32.dll: Windows Socket API, WSAStartup 함수를통해 DLL을로딩하여사용한다 [ 그림 3-12] IMAGE_IMPORT_DESCRIPTOR 정보 (Win-Trojan/Backdoor.40960.B) Copyright AhnLab Inc,. All Rights Reserved. 36
[ 그림 3-13] Import Address Table 정보 (Win-Trojan/Backdoor.40960.B) 6. Import Address Table 정보를은닉한악성코드분석 레지스트리및파일 I/O, 소켓연결, 프로세스관련함수호출은악성코드들이즐겨사용하며, 이를통하여안티바이러스프로그램및분석가들도악성여부를판단하는기초자료로사용한다. 이러한특성을인지한악성코드제작자들은치료백신업데이트및분석지연을목적으로 DLL 정보및호출함수정보를은닉하게되는데실행압축 (Packer), 암호화 (Encrypt) 등을사용하는것이일반적이며, 일부악성코드는 PE 구조체의 Import Address Table 정보를메인루틴에서생성하기도한다. 1) GetProcAddress() 함수주소획득호출함수들의주소정보획득을위해서 DLL 핸들, 함수명을인자값으로 GetProcAddress() 를호출하며, GetProcAddress() 함수에대한주소정보는메인루틴상의 kernel32.dll 에서획득한다. 다음은 Win32/MaDang 에서 GetProcAddress() 함수주소를획득하는과정을보여준다. [ 그림 3-14] GetProcAddress 함수에대한주소획득과정 (Win32/MaDang) Copyright AhnLab Inc,. All Rights Reserved. 37
2) 함수명추출을위한서브루틴호출 LoadLibrary() 를통해 DLL핸들이확보되면, GetProcAddress() 인자값으로사용할함수명을추출해야하는데, Win32/MaDang 에서는다소변칙적인함수호출과정을이용한다. 일반적인함수호출은서브루틴이호출되면복귀주소 (Return Address) 가스택에쌓이고 (PUSH) 서브루틴종료시복귀주소를스택에서꺼내어 (POP) 메인루틴으로복귀하는과정을밟는다. 다음은 Win32/MaDang 에서위와같은함수호출과정으로스택에쌓인값이복귀주소를가리키지않고함수명을가리킬수있음을보여준다. [ 그림 3-15] 함수명추출을위한서브루틴호출과정 (Win32/MaDang) 3) 호출함수들의주소정보획득다소변칙적인함수호출과정을통해필요한함수명이스택에저장되었고 DLL핸들또한확보되었다. 최종적으로 GetProcAddress() 함수호출을통해메인루틴에서사용될함수들의주소정보를모두획득하면 Import Address Table 이완성된다. Copyright AhnLab Inc,. All Rights Reserved. 38
[ 그림 3-16] 호출함수들의주소정보획득과정 (Win32/MaDang) 7. PE(Portable Executable) 구조체와악성코드분석가의조우 악성코드를분석하다보면이이외에도많은흥미로운것들을발견할수있다. 그러나앞에서언급을했듯이모든악성코드들이이러한특성들을가지고있는것은아니며, 정상파일은이러한특성을가지지않는것은아니다. 다만악성코드들에서발생빈도가더높을뿐이다. 이러한정보들은악성코드의악의적인동작들과는관계가없는것들은많지만, 악성코드를분석하고악성 / 정상을판단하는것에결정적인힌트가되어주기도한다. 또한각악성코드만의 PE 헤더특성을악성코드진단에이용할수있으며바이러스와같은경우에는정상파일을감염시켜 PE 헤더의내용을바꾸는동작을수행할가능성이높기때문에치료함수를제작하기위해서이러한 PE 헤더의바뀐부분에대한파악이중요하다. 그러므로 PE 구조체와악성코드분석은떼어낼래야뗄수없는관계이다 Copyright AhnLab Inc,. All Rights Reserved. 39