3.3 DDoS 분석보고서 Ver 8.0 2011.03.09 잉카인터넷시큐리티대응센터 ( 대응팀공식블로그 :: http://erteam.nprotect.com/ )
1. 분석개요 1.1. 목적 2011 년 3 월 3 일이후접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg :: Hexcmp :: Wireshark :: IDA Pro
1.4. 패턴버전및업데이트로그 - 패턴버전 :: 2011.03.09.02 - 패턴업데이트로그 2011년 3월 3일 02번째긴급업데이트 ( 23시 20분경완료 ) Trojan/W32.Dllbot.40960 Trojan/W32.Dllbot.46432 Trojan/W32.Dllbot.71008 2011년 3월 4일 01번째긴급업데이트 ( 01시 00분경완료 ) Trojan/W32.Agent.10240.OO Trojan/W32.Agent.11776.OF 2011년 3월 4일 02번째긴급업데이트 ( 11시 00분경완료 ) Trojan/W32.Agent.118784.ACE Trojan/W32.Agent.131072.YG 2011년 3월 4일 03번째긴급업데이트 ( 11시 30분경완료 ) Trojan/W32.Agent.20480.AZR Trojan/W32.Agent.11776.OG 2011년 3월 4일 04번째긴급업데이트 ( 17시 15분경완료 ) Trojan/W32.Agent.126976.XY Trojan/W32.Agent.16384.ALF 2011년 3월 4일 05번째긴급업데이트 ( 18시 30분경완료 ) Trojan/W32.Agent.42320 Trojan/W32.Agent.46416.B 2011년 3월 4일 06번째긴급업데이트 ( 22시 20분경완료 ) Trojan/W32.Agent.24576.BGE Trojan/W32.Agent.10752.PI 2011년 3월 5일 02번째긴급업데이트 ( 12시 30분경완료 ) Trojan/W32.Agent.77824.AMN Trojan/W32.Agent.71000.B Trojan/W32.Agent.13312.MD Trojan/W32.Agent.36864.BZN 2011년 3월 5일 03번째긴급업데이트 ( 13시 15분경완료 ) Trojan/W32.Agent.27648.OV 2011년 3월 6일 01번째긴급업데이트 ( 14시 30분경완료 ) Trojan/W32.Agent.16384.ALI Trojan/W32.Agent.16384.ALJ Trojan/W32.Agent.24576.BGF Trojan/W32.Agent.57948.C 2011년 3월 7일 03번째긴급업데이트 ( 20시 46분경완료 )
Trojan/W32.Agent.56167 Trojan/W32.Agent.24576.BGG 2011년 3월 9일 02번째긴급업데이트 ( 21시 53분경완료 ) Trojan/W32.Agent.57344.BDK Trojan/W32.Agent.42488.B Trojan/W32.Agent.45056.AUY
2. 악성코드분석 2.1. 전체시나리오 [ 그림 1. DDoS 전체동작시나리오 ] - 웹하드업체의설치모듈이나업데이트모듈이존재하는서버를해킹한이후공격자가정상모듈을동일명칭의악성다운로드모듈로변경한다. 변경된모듈은사용자가웹하드업체관련프로그램을실행할경우웹하드로부터악성파일을다운로드후감염시키며좀비 PC의역할을수행해함께생성되는 data파일내에기록된 URL로 DDoS 공격을수행한다. 또한함께다운로드되는악성파일에의해사용자 PC를파괴하는동작 ( MBR 파괴및특정확장자파일삭제 ) 을수행한다.
2.2. 정밀분석 [ 그림 2. 파일간의동작과정 ] - 웹하드관련실행파일이동작해웹하드서비스업체의서버로부터악성파일을다운로드받은후동작되면추가로악성코드를다운받아설치한후 DDoS 공격, MBR 파괴및특정파일삭제동작을하는악성파일을생성한다. 또한안티바이러스업체의업데이트를방해하기위해 hosts 파일을변조한다.
2.2.1. SBUpdate.exe - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: SBUpdate.exe (10KB), SBUpdate.exe (12KB) 3월 4일 4차샘플 :: bobo.exe (12KB ), filecity.exe ( 20KB ) 3월 5일 9차샘플 :: ZIOFILE.exe ( 13KB ), newsetup2.exe ( 27KB ) 3월 6일 10차샘플 :: jzsltpcy.exe ( 16KB ), [ 임의의파일 ].exe( 57KB, 16KB ) - 동작 사용자 PC 정보유출 ( PC 및도메인명등 ) Anti-Monitoring 함수명 :: FindWindowA( ) 비교문자열 PROCMON_WINDOW_CLASS 18467-41 흔적제거 자체삭제 Batch 파일실행 Cache 파일제거 함수명 :: DeleteUrlCacheEntryA( ) 대상 URL :: hxxxxxp://sub.sharebox.co.kr/sbupdate.exe 1) 사용자 PC 정보유출 [ 그림 3. 사용자정보유출 ] - 사용자 PC 의기본정보 ( 도메인명등 ) 을확인한후 Send( ) 를통해원격지에전달 한다. 감염 PC 에대한정보수집이목적인것으로추정된다.
2) Anti-Monitoring [ 그림 4. Monitor Tool 체크 ] - 특정모니터링툴이동작하고있는지 FindWindowA( ) 를통해서윈도우의 class를얻어와특정 class 명과비교한다. 특정문자열과동일할경우모니터링으로간주해추가동작을수행하지않고삭제동작으로수행한다.
3) 흔적제거 [ 그림 5. 자체삭제동작 ] - Batch 파일을통해최초숙주로추정되는 SBUpdate.exe 파일과삭제동작을수행 하는 batch 파일을제거한다. [ 그림 6. Url Cache 삭제 ] - 함수 DeleteUrlCacheEntryA( ) 를통해최초다운로드된 URL 과관련된 Cache 를제 거한다. 이는최초유포지를확인하기어렵게하기위함이다.
2.2.2. Host.dll - 접수일자및변종샘플 ( 추정 ) 3월 4일 3차샘플 :: Host.dll ( 116KB ), ntcm63.dll ( 128KB ) 3월 5일 9차샘플 :: svki65.dll ( 76KB ) 3월 7일 11차샘플 :: [ 임의의파일 ].exe ( 55KB ) 3월 9일 12차샘플 :: [ 임의의파일 ].exe ( 42KB, 44KB ), errsvc.dll ( 56KB ) - 동작 파일 Drop 및서비스등록 [Random]svc.dll ( 예 :: mltisvc.dll ) 관련파일 :: faultrep.dat [Random]svc.dll ( 예 :: watrsvc.dll ) 관련파일 :: tlntwye.dat [Random]svc.dll ( 예 :: sisosvc.dll ) 관련파일 :: noise03.dat 공격지목록파일 Drop Tljoqgv.dat 업데이트방해 1) 파일 Drop 및서비스등록 [ 그림 7. 서비스등록부분 ] - 각기능별로나눠진악성코드및악성코드별 Data 파일을생성해서비스로등록해재부팅후에도동작이가능하도록한다. - 3월 9일접수된변종샘플의경우동작시연결하고자하는 C&C 서버에대한정보뿐만아니라복호화키등필요한정보가있어야동작하는형태로변형되었다.
2) 업데이트방해 [ 그림 8. Hosts 파일변조부분 (1) ] - 이전 7.7 DDoS 대란처럼안티바이러스업체의 Update 경로를방해하며이를위 해사용자 PC 의 hosts 파일을 [ 그림 8] 과같이변조한다. [ 그림 9. hosts 파일변조부분 (2) ]
3) 공격지목록파일 Drop ( 40개 URL 존재 ) - 공격대상 naver.com // daum.net // auction.co.kr // hangame.com dcinside.com // gmarket.co.kr // cwd.go.kr // mofat.go.kr nis.go.kr // unikorea.go.kr // assembly.go.kr // korea.go.kr dapa.go.kr // police.go.kr // nts.go.kr // customs.go.kr mnd.mil.kr // jcs.mil.kr // army.mil.kr // airforce.mil.kr navy.mil.kr // usfk.mil // dema.mil.kr // kunsan.af.mil kcc.go.kr // mopas.go.kr // kisa.or.kr // ahnlab.com fsc.go.kr // kbstar.com // wooribank.com // hanabank.com keb.co.kr // shinhan.com // jeilbank.co.kr // nonghyup.com kiwoom.com // daishin.co.kr // korail.com // khnp.co.kr - 1 차접수샘플과 3 차접수샘플에의해생성된공격지 URL 은동일하다. - 9 차접수샘플에의해생성된공격지 URL 은다음과같다. cwd.go.kr // kbstar.com
2.2.3. sfofsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: [ 랜덤 ]svc.dll ( 46KB ) 3월 4일 3차샘플 :: [ 랜덤 ]svc.dll ( 46KB ) 3월 7일 11차샘플 :: [ 랜덤 ]proc.dll ( 24KB ) - 동작 MBR 파괴 특정확장자파일삭제 1) MBR 파괴 [ 그림 10. MBR 파괴 ] - MBR 을가리키는물리디스크의첫번째 Sector 를 Hex 0x00 으로채워파괴한다. 이전 7.7 DDoS 와다르게복구정보를저장하지않아복구가불가능하다. [ 그림 11. 동작시간확인부분 ] - MBR 파괴동작시간은함께동작하는 noise03.dat 파일의정보를기준으로구분된다. [ 그림 9] 와같이 2011년 3월 4일 11시 40분 20초이후일경우만동작이수행된다.
[ 그림 12. MBR 파괴동작부분 (1) ] [ 그림 13. MBR 파괴동작부분 (2) ] - 3월 6일접수된신규샘플의경우 dat 파일에등록된시간을확인하지만시간과상관없이무조건동작하는부분이포함되어있다. 따라서특정일자에 MBR을파괴하도록했던기존 7.7 DDoS 샘플및최초접수되었던샘플과차이가있다.
[ 그림 14. MBR 파괴이후발생하는 BSOD ] - MBR 이파괴된경우위와같은 BSOD 가발생하는것을확인하였다. [ 그림 15. 변종샘플 MBR 파괴부분 ] - 3 월 7 일접수된변종샘플의경우이전샘플과다르게시간정보를갖고있는 dat 파일을사용하지않고바로파괴동작을수행한다.
- 이번변종의 MBR 파괴동작은 OS Version에따라파괴를위해덮어쓰는크기를다르게한다. Windows Kernel Version이 6 이상인 Windows Vista, Windows 7, Windows 2008의경우 512Bytes를, 6이아닌경우무조건 0x400000을덮어써파괴하는형태를띄고있다. - MBR 파괴에따른문제에대한조치를위해자사블로그의내용을참고하기바란다. 대응팀블로그 :: http://erteam.nprotect.com/133 2) 특정확장자파일삭제 [ 그림 16. 확장자비교부분 ]
[ 그림 17. 압축파일생성후정상파일제거확인 ] - ( 윈도우폴더 ) 및 ( 프로그램파일폴더 ) 를제외한모든폴더를확인하면서모든파일 의확장자를확인후일치하는확장자의경우파일을파괴한다. - 3 월 3 일 (1 차 ) 에접수된샘플은원본파일을삭제하고, 파일크기만큼 Hex 0x00 으 로채운후랜덤패스워드를사용하여.cap 파일로압축한다. - 3차, 11차샘플은파일크기만큼 Hex 0x00으로채우는방식으로파일을파괴한다. - 삭제대상확장자.doc //.docx //.docm //.wpd //.wpx.wri //.xls //.xlsx //.mdb //.ppt.pptx //.pdf //.hwp //.hna //.gul.kwp //.eml //.pst //.alz //.gho.rar //.php //.asp //.aspx //.jsp.java //.cpp //.h //.c //.zip
2.2.4. wsfcsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: wsfcsvc.dll ( 40KB ) 3월 4일 3차샘플 :: watrsvc.dll ( 40KB, Host.dll 이생성하는동일샘플 ) 3월 5일 9차샘플 :: wtvtsvc.dll ( 36KB, svki65.dll 이생성하는동일샘플 ) - 동작 DDoS 공격수행 기법 :: UDP 공격, ICMP 공격, CC 공격 1) DDoS 공격수행 - UDP 공격 [ 그림 18. UDP 공격패킷 ] - ICMP 공격 [ 그림 19. ICMP 공격패킷 ]
- CC 공격 [ 그림 20. CC 공격패킷 ] - 하나의공격대상에대해 3 가지공격을모두수행하는형태를갖고있으며 공격기법을나누는조건은별도로없었다. 2) 공격시간확인 [ 그림 21. DDoS 공격시간관련 ] - Dat ( tlntwye.dat ) 파일내에공격시간과관련된정보를갖고있다. 해당 dat 파일은 DLL 파일을생성하는숙주 ( 접수된샘플중 Host.dll ) 가생성하며현재 3월 4 일 6시 30분에공격이되도록설정되어있다.
2.2.5. meitsvc.dll - 접수일자및변종샘플 ( 추정 ) 3월 3일 1차샘플 :: meitsvc.dll ( 70KB ) 3월 4일 3차샘플 :: mltisvc.dll ( 70KB, Host.dll이생성하는동일샘플 ) 3월 5일 9차샘플 :: messsvc.dll ( 70KB, svki65.dll이생성하는동일샘플 ) - 동작 원격지연결및파일다운로드 [ 그림 22. 원격지서버접속시도 ] - 원격지서버에연결해파일다운로드가예상되나현재서버접근차단으로인해정확한동작은확인되지않았다. - 연결서버 IP 208.xxx.xxx.242:443 212.xxx.xxx.211.443 59.xxx.xxx.43:443 120.xxx.xxx.10.443 203.xxx.xxx.244:443 210.xxx.xxx.228:53 147.xxx.xxx.216:443 59.xxx.xxx.11.443 212.xxx.xxx.42:443 63.xxx.xxx.71:443-9차접수샘플의연결서버 IP 131.xxx.xxx.163:12236 57.xxx.xxx.48:64 80.xxx.xxx.136:16416 69.xxx.xxx.8:2448 224.xxx.xxx.232:815 89.xxx.xxx.139:59493 224.xxx.xxx.48:64
57.xxx.xxx.48:64 80.xxx.xxx.144:16416 29.xxx.xxx.64:29952
2.3. 진단치료 - 패턴버전 :: 2011.03.09.02 [ 그림 23. 진단 / 치료화면 ] - 전용백신다운로드경로 http://avs.nprotect.net/freeav/nprotecteavdllbot.com