3.3 DDoS 분석보고서 Ver 4.0 2011.03.05 잉카인터넷 시큐리티대응센터
1. 분석개요 1.1. 목적 2011년 3월 3일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그 - 패턴버전 :: 2011.03.05.05 - 패턴업데이트로그 2011년 3월 3일 02번째긴급업데이트 ( 23시 20분경완료 ) Trojan/W32.Dllbot.40960 Trojan/W32.Dllbot.46432 Trojan/W32.Dllbot.71008 2011년 3월 4일 01번째긴급업데이트 ( 01시 00분경완료 ) Trojan/W32.Agent.10240.OO Trojan/W32.Agent.11776.OF 2011년 3월 4일 02번째긴급업데이트 ( 11시 00분경완료 ) Trojan/W32.Agent.118784.ACE Trojan/W32.Agent.131072.YG 2011년 3월 4일 03번째긴급업데이트 ( 11시 30분경완료 ) Trojan/W32.Agent.20480.AZR Trojan/W32.Agent.11776.OG 2011년 3월 4일 04번째긴급업데이트 ( 17시 15분경완료 ) Trojan/W32.Agent.126976.XY Trojan/W32.Agent.16384.ALF 2011년 3월 4일 05번째긴급업데이트 ( 18시 30분경완료 ) Trojan/W32.Agent.42320 Trojan/W32.Agent.46416.B 2011년 3월 4일 06번째긴급업데이트 ( 22시 20분경완료 ) Trojan/W32.Agent.24576.BGE Trojan/W32.Agent.10752.PI
2011년 3월 5일 07번째긴급업데이트 ( 12시 30분경완료 ) Trojan/W32.Agent.77824.AMN Trojan/W32.Agent.71000.B Trojan/W32.Agent.13312.MD Trojan/W32.Agent.36864.BZN 2011년 3월 5일 08번째긴급업데이트 ( 13시 15분경완료 ) Trojan/W32.Agent.27648.OV
2. 악성코드분석 2.1. 전체시나리오 [ 그림 1. DDoS 전체동작시나리오 ] - Sharebox Update 모듈이존재하는서버가해킹된이후공격자가 SBUpdate.exe ( Sharebox 업데이트모듈 ) 을악성프로그램으로변경한다. 변경된모듈은사용자에관련프로그램을실행할경우정상업데이트파일처럼다운로드후실행되며 SBUpdate.exe가실행된 PC는추가적인동작 ( 다운로드 ) 으로인해감염되어좀비 PC의역할을수행해함께생성되는 tljoqgv.dat내에기록된 URL로 DDoS 공격을수행한다.
2.2. 정밀분석 [ 그림 2. 파일간의동작과정 ]
2.2.1. SBUpdate.exe - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: SBUpdate.exe (10KB), SBUpdate.exe (12KB) 3월 4일 4차샘플 :: bobo.exe (12KB ), filecity.exe ( 20KB ) 3월 5일 9차샘플 :: ZIOFILE.exe ( 13KB ), newsetup2.exe ( 27KB ) - 동작 사용자 PC 정보유출 ( PC 및도메인명등 ) Anti-Monitoring 함수명 :: FindWindowA( ) 비교문자열 PROCMON_WINDOW_CLASS 18467-41 흔적제거 자체삭제 Batch 파일실행 Cache 파일제거 함수명 :: DeleteUrlCacheEntryA( ) 대상 URL :: hxxxxxp://sub.sharebox.co.kr/sbupdate.exe 1) 사용자 PC 정보유출 [ 그림 3. 사용자정보유출 ] - 사용자 PC 의기본정보 ( 도메인명등 ) 을확인한후 Send( ) 를통해원격지에전달 한다. 감염 PC 에대한정보수집이목적인것으로추정된다.
2) Anti-Monitoring [ 그림 4. Monitor Tool 체크 ] - 특정모니터링툴이동작하고있는지 FindWindowA( ) 를통해서윈도우의 class 를 얻어와특정 class 명과비교한다.
3) 흔적제거 [ 그림 5. 자체삭제동작 ] - Batch 파일을통해최초숙주로추정되는 SBUpdate.exe 파일과삭제동작을수행 하는 batch 파일을제거한다. [ 그림 6. Url Cache 삭제 ] - 함수 DeleteUrlCacheEntryA( ) 를통해최초다운로드된 URL 과관련된 Cache 를제 거한다. 이는최초유포지를확인하기어렵게하기위함이다.
2.2.2. Host.dll - 접수일자및변종샘플 ( 추정 ) 3월 4일 3차샘플 :: Host.dll ( 116KB ), ntcm63.dll ( 128KB ) 3월 5일 9차샘플 :: svki65.dll ( 76KB ) - 동작 파일 Drop 및서비스등록 [Random]svc.dll ( 예 :: mltisvc.dll ) 관련파일 :: faultrep.dat [Random]svc.dll ( 예 :: watrsvc.dll ) 관련파일 :: tlntwye.dat [Random]svc.dll ( 예 :: sisosvc.dll ) 관련파일 :: noise03.dat 공격지목록파일 Drop Tljoqgv.dat 업데이트방해 1) 파일 Drop 및서비스등록 [ 그림 7. 서비스등록부분 ] - 각기능별로나눠진악성코드및악성코드별 Data 파일을생성해서비스로등록해 재부팅후에도동작이가능하도록한다.
2) 업데이트방해 [ 그림 8. 업데이트방해 ] - 이전 7.7 DDoS 대란처럼안티바이러스업체의 Update 경로를방해하며이를위 해사용자 PC 의 hosts 파일을 [ 그림 8] 과같이변조한다. 3) 공격지목록파일 Drop ( 40개 URL 존재 ) - 공격대상 naver.com // daum.net // auction.co.kr // hangame.com dcinside.com // gmarket.co.kr // cwd.go.kr // mofat.go.kr nis.go.kr // unikorea.go.kr // assembly.go.kr // korea.go.kr dapa.go.kr // police.go.kr // nts.go.kr // customs.go.kr mnd.mil.kr // jcs.mil.kr // army.mil.kr // airforce.mil.kr navy.mil.kr // usfk.mil // dema.mil.kr // kunsan.af.mil kcc.go.kr // mopas.go.kr // kisa.or.kr // ahnlab.com fsc.go.kr // kbstar.com // wooribank.com // hanabank.com keb.co.kr // shinhan.com // jeilbank.co.kr // nonghyup.com kiwoom.com // daishin.co.kr // korail.com // khnp.co.kr - 1차접수샘플과 3차접수샘플에의해생성된공격지 URL은동일하다. - 9차접수샘플에의해생성된공격지 URL은다음과같다. cwd.go.kr // kbstar.com
2.2.3. sfofsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: sfofsvc.dll ( 46KB ) 3월 4일 3차샘플 :: sisosvc.dll ( 46KB, Host.dll이생성하는동일샘플 ) - 동작 MBR 파괴 특정파일삭제 1) MBR 파괴 [ 그림 9. MBR 파괴 ] - MBR 을가리키는물리디스크의첫번째 Sector 를 Hex 0x00 으로채워파괴한다. [ 그림 10. 동작시간확인부분 ] - MBR 파괴동작시간은함께동작하는 noise03.dat 파일의정보를기준으로구분된다. [ 그림 9] 와같이 2011년 3월 4일 11시 40분 20초이후일경우만동작이수행된다.
2) 특정확장자파일삭제 [ 그림 11. 확장자비교부분 ] [ 그림 12. 압축된파일후정상파일제거확인 ] - ( 윈도우폴더 ) 및 ( 프로그램파일폴더 ) 를제외한모든폴더를확인하면서모든파일의확장자를확인후일치하는확장자의경우파일을 cab으로압축한후 cab 파일내의데이터는파일크기만큼 Hex 0x00으로채우고정상파일은삭제한다.
- 비교대상확장자.doc //.docx //.docm //.wpd //.wpx.wri //.xls //.xlsx //.mdb //.ppt.pptx //.pdf //.hwp //.hna //.gul.kwp //.eml //.pst //.alz //.gho.rar //.php //.asp //.aspx //.jsp.java //.cpp //.h //.c //.zip
2.2.4. wsfcsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: wsfcsvc.dll ( 40KB ) 3월 4일 3차샘플 :: watrsvc.dll ( 40KB, Host.dll 이생성하는동일샘플 ) 3월 5일 9차샘플 :: wtvtsvc.dll ( 36KB, svki65.dll 이생성하는동일샘플 ) - 동작 DDoS 공격수행 기법 :: UDP 공격, ICMP 공격, CC 공격 1) DDoS 공격수행 - UDP 공격 [ 그림 13. UDP 공격패킷 ] - ICMP 공격 [ 그림 14. ICMP 공격패킷 ]
- CC 공격 [ 그림 15. CC 공격패킷 ] - 하나의공격대상에대해 3 가지공격을모두수행하는형태를갖고있으며 공격기법을나누는조건은별도로없었다. 2) 공격시간확인 [ 그림 16. DDoS 공격시간관련 ] - Dat ( tlntwye.dat ) 파일내에공격시간과관련된정보를갖고있다. 해당 dat 파일은 DLL 파일을생성하는숙주 ( 접수된샘플중 Host.dll ) 가생성하며현재 3월 4 일 6시 30분에공격이되도록설정되어있다.
2.2.5. meitsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: meitsvc.dll ( 70KB ) 3월 4일 3차샘플 :: mltisvc.dll ( 70KB, Host.dll이생성하는동일샘플 ) 3월 5일 9차샘플 :: messsvc.dll ( 70KB, svki65.dll이생성하는동일샘플 ) - 동작 원격지연결및파일다운로드 [ 그림 17. 원격지서버접속시도 ] - 원격지서버에연결해파일다운로드가예상되나현재서버접근차단으로인해정확한동작은확인되지않았다. - 연결서버 IP 208.71.147.242:443 212.62.100.211.443 59.125.224.43:443 120.161.118.10.443 203.196.252.244:443 210.145.163.228:53 147.175.129.216:443 59.120.179.11.443 212.102.5.42:443 63.163.221.71:443-9차접수샘플의연결서버 IP 131.196.12.163:12236 57.59.36.48:64 80.255.21.136:16416 69.239.139.8:2448 224.80.81.232:815 89.89.195.139:59493 224.163.48.48:64
57.29.36.48:64 80.255.21.144:16416 29.52.48.64:29952
2.3. 진단치료 - 패턴버전 :: 2011.03.05.05 [ 그림 18. 진단 / 치료화면 ] - 전용백신다운로드경로 http://avs.nprotect.net/freeav/nprotecteavdllbot.com