악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포 재개
이번 시간에는 악성코드에 관해 알아보는 시간이 되겠습니다. 1. 악성코드란 무엇인가? 악성코드란, 정상적인 목적으로 만드러진 코드가 아니라 사용자에게 손해를 입힐 목적으로 작성된 모든 코드들을 통칭하는 것입니다. 이렇게 악의적인 목적으로 작성된 코드에 장비가 노출된다면 장비 사용에 여러가지 지장이 발생할 수 있다고 해서 악성 코드를 사전에 방지, 탐지, 격리 제거하는 일이 아주 중요합니다.고 볼 수 있습니다. 영어로는 Malicious Code 아니면 Malware라고 불리는데 여기에서 Malicious Code 똑같은 경우 악성 코드라는 의미에 가장 부합하는 단어이지만 실제로는 Malware라는 단어가 더 많이 사용됩니다.
2. 악성코드의 탐지. 악성코드를 격리하거나 제거하기 위해서는 악성코드를 탐지하는 일이 선행되어야 합니다.
PEview PE 구조 확인
DOS에서 .exe 실행파일에서 사용되는 파일형식인 MZ 시그니처를 가지고 있음을 확인했습니다. This program cannot be run in DOS mode라는 것을 보아 이 프로그램은 DOS 에서 실행할 수 없고 Window 환경에서 실행해야함을 알 수 있었어요. 현실 운영체제에서 실행되는 파일의 정보가 있는 IMAGE NT HEADERS의 IMAGE FILE HEADER 부분에서 Time date stamp를 통해 2015년 8월 14일 만드러진 것을 확인하였습니다.
백도어Backdoor
백도어란 무엇일까?
Backdoor는 공격자로부터 명령을 전달받아 추가 악성코드를 설치하거나 키로깅, 스크린샷 같은 정보 수집 그리고 악의적인 명령을 수행할 수 있으며 RATRemote Administration Tool을 포함하는 악성코드입니다. 가장 많은 비율을 차지하는 Remcos는 상용 RAT 악성코드로서 많은 공격자들이 사용하고 있는 악성코드 중 하나입니다. 기본적으로 스팸메일의 첨부 자료를 통해 유포되거나, 최근에는 취약한 MSSQL 서버를 대상으로 하는 공격에도 코발트 스트라이크와 함께 사용되고 있습니다.
그 외에도 NanoCore, AveMaria, njRAT, Async 등이 큰 줄기를 차지하고 있습니다.
트로이 목마Trojan Hors
트로이 전쟁 당시에 목마에 숨어 있던 병사들이 트로이를 멸망 시킨것을 비유하여 소비자 몰래 숨어든다는 사상 입니다.
컴퓨터 시스템에서 정상적인 기능을 하는 프로그램으로 가장해 다른 프로그램 안에 숨어 있다가 그 특정 상황이 오거나 프로그램이 실행될 떄 본인이 활성화 하는 악성 프로그램입니다. 실행되는 순간 시스템에 직접적으로 손해를 줍니다. 백도어 기능으로도 이용됩니다.
다운로더Downloader
다운로더란 무엇일까?
Downloader는 주로 자체적인 기능보다는 최종적으로 추가 악성코드를 설치하는 것이 목적인 악성코드입니다. 다운로더 유형은 종류가 많지 않고 그 중에서도 GuLoader가 반절 이상의 많은 비율을 차지합니다. GuLoader는 추가 악성코드를 다운로드하여 실행시키는 형식으로 동작하며, 예전에는 진단을 우회하기 위해 비주얼 베이직Visual Basic 언어로 패킹되어 있었으나 최근에는 NSIS 인스톨러 형태로 유포되고 있습니다.
원래 이름은 클라우드아이CloudEye로 알려져 있으며 GuLoader로 이름 붙여진 이유는 다운로드 주소로 구글 드라이브가 자주 사용되기 때문입니다. 그 외에도 SmokeLoader와 BeamWinHTTP가 속합니다.
Wireshark 네트워크 패킷 캡쳐 및 분석
dns 서버에 aton.co.kr를 쿼리했을 때 aton.co.kr 도메인 이름이 존재하지 않음을 나타내는 것을 확인했습니다. 기초평가 했을 때 해당 악성코드는 대부분의 백신에서 악성코드로 진단하고 있습니다. 윈도우 환경에서 실행되며 Trojan,adware,Downloader 진단명을 가지고 있었어요. 정적평가 시 패킹이 되어있지 않았고 exe 실행파일이며 2015년 8월 14일 만들어졌고 네트워크 행위를 할 수 있다는 것을 확인하였으며 aton.co.kr 도메인 주소와 연관이 있으며 nskSetup.exe 자료를 설치하거나 실행할 것임을 추정할 수 있었어요.
자주 묻는 질문
PEview PE 구조
DOS에서 . 좀 더 구체적인 사항은 본문을 참고하시기 바랍니다.
백도어Backdoor
백도어란 무엇일까?Backdoor는 공격자로부터 명령을 전달받아 추가 악성코드를 설치하거나 키로깅, 스크린샷 같은 정보 수집 그리고 악의적인 명령을 수행할 수 있으며 RATRemote Administration Tool을 포함하는 악성코드입니다. 궁금한 내용은 본문을 참고하시기 바랍니다.
트로이 목마Trojan
트로이 전쟁 당시에 목마에 숨어 있던 병사들이 트로이를 멸망 시킨것을 비유하여 소비자 몰래 숨어든다는 사상 입니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.