annyoung

토렌트를 통한 악성코드 유포 본문

분석생활

토렌트를 통한 악성코드 유포

nopsled 2015. 11. 18. 18:43





- 악성코드 분석 개요
  현재, (검은사제들)2015.720p.HDRip-H264.by-kyh, 그놈이다FATAL INTUITION, 2015.720p.HDRip-H264.by-kyh -, 탐정 파일에 대한 악성코드 유포가 확인 되었습니다. 이 외에도, 여러가지 토렌트(최신 영화)를 대상으로 악성코드 유포를 하고 있는것으로 예상 됩니다.




- 악성코드 분석 내용

BCU확장자 파일은 정상적인 동영상 파일이며 콥스,저작권사,경찰 등의 단속을 피하기 위해 BCU암호화를 진행하였습니다


● Check Bypass, Movie Decrypt 는 일부 백신에서 오진 할 수 있으니 실시간 검사 혹 백신을 종료 하신뒤 실행하여 주시길 바랍니다 ●

● 위 두 프로그램은 절대적으로 바이러스 프로그램이 아닌 보안을 위해 프로그램 '패킹'(보안) 을 해두어서 백신에서 오진 하는 것 입니다 ●


●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●

암호화 해제 압축 파일을 해제 한 뒤 아래 작업을 하셔야 정상적으로 가능하십니다.

Check Bypass 를 실행 (아무 창도 뜨지 않음) -> Movie Decrypt 를 실행 -> Decrypt 버튼을 클릭 -> 탐정 동영상 파일을 선택 -> 암호화 해제 작업 완료 메세지 뜨면 그 후 영화 시청 가능합니다

Check Bypass, Movie Decrypt 를 바이러스로 오해하시는 분들을 위해 VIRUS TOTAL이라는 유명 전 세계 백신으로 검사하는 사이트에서 진행한 내역을 사진으로 첨부할태니 보고 오해하지 마시길 바랍니다.

바이러스로 오진하더라도 바이러스명이 Packed 로 끝나는 부분은 말 그대로 패킹을 해서 그렇습니다. 

  꼭 읽고 보세요.txt에 적혀있는 텍스트 내용이다. 내용을 읽어보면 "탐정" 동영상 파일을 선택하라고 하는데, 처음 유포는 탐정 파일로 시작되었던 것으로 예상된다.




 FileName

 Movie Decrypt.exe

 MD5

 FFF73C18F2042775B0A5CDAA2517A8A4

 SHA-1

 C7D7BC5D8ED26A7BE2BFBB3D9704CDA3B81E64EF

 Packer

 Not used packer

 File Type

 Portable Executable 32 .NET Assembly

.NET으로 프로그래밍된 바이너리. 실질적으로 행동하는 바이너리는 아니다.




[DesignerGenerated]

public class Form1 : Form

{

    // Fields

    private static List<WeakReference> __ENCList;

    [AccessedThroughProperty("Button1")]

    private Button _Button1;

    private IContainer components;


    // Methods

    [DebuggerNonUserCode]

    static Form1();

    [DebuggerNonUserCode]

    public Form1();

    [DebuggerNonUserCode]

    private static void __ENCAddToList(object value);

    [MethodImpl(0x40 | MethodImplOptions.NoInlining)]

    private void Button1_Click(object sender, EventArgs e);

    [DebuggerNonUserCode]

    protected override void Dispose(bool disposing);

    [DebuggerStepThrough]

    private void InitializeComponent();


    // Properties

    internal virtual Button Button1 { [DebuggerNonUserCode] get; [MethodImpl(MethodImplOptions.Synchronized), DebuggerNonUserCode] set; }

}

  실행시키면 위와 같은 화면이 로드되며 소스코드를 보면, 하는거 없이 폼만 로드한다.(즉, 화면만 띄우는 역할을 한다.)

굵은 표시를 한 소스코드는 버튼 클릭을 하면 이벤트가 발생하는데, 발생한 이벤트는 메시지박스를 띄우는 역할을 한다.



[MethodImpl(0x40 | MethodImplOptions.NoInlining)]

private void Button1_Click(object sender, EventArgs e)

{

    Interaction.MsgBox("암호화 해제에 실패하였습니다\r\n잠시후 다시 시도 해주시길 바랍니다 (Error : 1064)", MsgBoxStyle.Critical, "Error");

    ProjectData.EndApp();

}

  메시지 박스를 고정적으로 띄운다. Error code도 고정이다. 그냥 fake message box로 보면 된다.



 FileName

 Check Bypass.exe

 MD5

 6C4F61733A394F83EF99561806F948FA

 SHA-1

 0874202B533AF8303D1EEAB928D7E260B6A2A895

 Packer

 Unknown packer

 File Type

 Borland Delphi 4.0

  델파이로 프로그래밍 되었으며 실질적으로 악성 행위를 하는 악성코드이다.



  윈도우 %TEMP% 경로에 자기자신을 복제하여 드랍한다.



  파이어폭스 자동로그인을 사용한 PC의 경우 sqlite를 복호화한다. select * from moz_logins는 sqlite파일에서 가져오기 위한 쿼리문이며, url, encryptedUsername, encryptedPassword를 가져올 수 있다. 복호화 과정을 거쳐 서버로 전송하는 것으로 확인된다.



FileZilla 디렉토리에서 recentservers.xml에 접근하여 xml parse를 시도한다. (외부로 유출하기 위함)

*recenteservers.xml : Filezila에서 최근 접속한 내용을 저장해두는 역할을 한다.(Host, User, Password)







  지속적으로 C&C에서 특정 명령어를 받는 경우 UDP, Flooding HTTP Flooding, SYN Flooding, Sloworis, ARME와 같은 네트워크 공격을 시도할 수 있도록 프로그래밍 되었다.



darkddoser라는 툴을 사용한 다형성 악성코드로 판별.




악성코드 C&C IP는 45.32.21.95이며 choopa.com에서 호스팅을 받고 있다. 운영체제는 Windows 7 professional K를 사용하며 RDP를 열어 관리를 하고 있는 중이다.




  darkddoser는 Attack, Server update, password crack, server builder로 이루어져 있다.



  Attack에는 보이는 것과 같이 UDP, SYN, HTTP, Slowloris, ARME와 같은 공격이 정의되어 있고 여러가지 설정으로 인하여 세분화된 공격이 가능하다.



  파이어폭스, 파일질라, 윈도우 메신저의 아이디, 비밀번호를 복호화 하여 보여준다.

화면을 보는 기능은 없는듯 하다.





- 악성코드 치료 방법


(혹은, 가장 하단에 첨부된 첨부파일을 다운받아서 실행시켜 주세요.)

1. 안전모드로 부팅한다.


2. 윈도우키+R키를 누른 후 실행이 뜨면 msconfig을 입력한다.



3. svchost라는 시작 항목이 있는데 체크를 해제 해준다. 


4. C:\Documents and Settings\[사용자 컴퓨터 이름]\Local Settings\Application Data\Microsoft에서 svchost.exe를 삭제한다.


5. 재부팅을 한다.






163.exe


위에 추가된 첨부 파일은 악성코드 치료 프로그램입니다.


감사합니다.

Comments