NOTICE


1. 소 개


 2015년 05월 27일 bhc 치킨 사이트를 통해 뱅키 악성코드가 유포되었습니다.


[그림 1.1.] BHC 사이트 접속 화면


 해당 사이트에 접속하면 “http://wizcom.biz/upfile/bbc/k.exe”로부터 악성코드를 다운로드 받아서 ‘C:\’ 경로에 저장한 뒤 실행됩니다.



[그림 1.2.] 다운로드 되는 악성 파일 확인



2. main.htm 파일 분석


 BHC 치킨 브랜드 사이트 접속으로 받아지는 파일 중에는 main.htm 파일이 있습니다. 해당 파일에는 CK vip Exploit과 vbs 코드가 포함되어 있고 코드 동작으로 인해 cmd.exe 프로세스가 실행됩니다.



[그림 2.1.] cmd.exe 프로세스 실행 확인


[그림 2.2.] cmd.exe 프로세스에 전달되는 명령어


 그 결과 “%TEMP” 경로에 Uninstall.vbs 파일이 만들어지고 해당 파일을 실행해서 루트 경로에 ntdetect.exe 파일이 다운로드 및 실행되도록 합니다.



[그림 2.3.] Uninstall.vbs 파일 생성 확인


 Uninstall.vbs 파일 코드를 살펴보면 첫 번째 파라미터인 “http://wizcom.biz/upfile/bbc/k.exe” 값을 iR에 넣어 다운로드 받고 두 번째 파라미터로 들어오는 C:\\NTDETECT.EXE를 iL에 저장한 뒤 파일 저장 및 실행시키는 것을 알 수 있습니다.



[그림 2.4.] Uninstall.vbs 파일 코드 확인



3. ntdetect.exe 파일 분석


3.1. cmd.exe Process Hollowing

  ntdetect.exe는 Process Hollowing 기법을 사용해서 cmd.exe 프로세스에 악성 PE 데이터를 삽합니다. 이로 인해 cmd.exe 프로세스가 악성 행위를 하게 됩니다.


[그림 3.1.] 악성 svchost 프로세스 동작 확인


3.2. 시작 프로그램 등록

 레지스트리 RUN 키에 자신을 등록해서 Windows가 동작 할 때 ntdetect.exe가 자동으로 실행되게 만듭니다. 해당 경로로 이동하면 ‘5tdDN3Tf’ 값이 등록되어 있는 것을 알 수 있습니다.



[그림 3.2.] 자동 실행 레지스트리 등록 확인


마지막으로 자신의 속성을 숨김 파일로 변경한 뒤 종료됩니다.



4. 악성 cmd.exe 파일 분석


4.1. 시작 프로그램 등록

 악성 cmd.exe는 레지스트리 RUN 키에 자신을 등록해서 Windows가 동작 할 때 자동으로 실행되게 합니다.



[그림 4.1.]시작 프로그램 등록 확인


4.2. 방화벽 허용 프로그램 등록

 INetFwMgr COM 인터페이스와 INetFwAuthorizedApplication COM 인터페이스를 사용해서 자신을 방화벽 허용 프로그램으로 등록합니다. 이로써 악성 cmd.exe는 제약 없이 외부와 통신할 수 있습니다.



[그림 4.2.] cmd.exe를 방화벽 허용 프로그램으로 등록


4.3. DNS 서버 주소 변조

 악성 cmd.exe는 ScriptControl COM 인터페이스를 사용해서 Host PC의 DNS 서버 설정을 ‘127.0.0.1’로 변경합니다.



[그림 4.3.] 감염 PC의 DNS 서버 주소 설정 확인


4.4. DNS Server로 동작

 악성 cmd.exe는 자신이 DNS 서버로 동작하기 위해 UDP 방식의 53번 Socket을 생성한 뒤 수신대기 상태로 들어갑니다. 그리고 사용자가 타깃 URL로 접속을 시도할 때 파밍 사이트로 접속하게 만듭니다. 타깃 사이트 URL 목록은 [그림 4.4.]와 같습니다.


[그림 4.4.] 타깃이 되는 사이트의 URL 정보


4.5. 공인인증서 탈취

 악성 cmd.exe는 공인 인증서를 탈취해서 특정 서버로 전송하는 기능을 가지고 있습니다. 먼저 특정 경로에 NPKI 폴더가 있는지 확인하는데 본 분석 환경에서 악성 cmd.exe가 확인하는 경로 정보는 다음과 같습니다.


[그림 4.5.] 악성 cmd.exe가 확인하는 NPKI 경로 정보


 감염 PC에 ‘NPKI’ 폴더가 있다면 “%TEMP%\Hs_\Appdata\NPKI”에 폴더를 생성하고 공인인증서를 복제한 뒤 “%TEMP%” 경로에 압축합니다.


[그림 4.6.] 공인인증서 복제 확인


그리고 압축된 공인인증서 파일을 “http://69.197.188.18”에 ‘upload.php’로 전송합니다.


4.6. IE 시작 페이지 변경

 Internet Explorer.exe의 시작 페이지를 ‘www.naver.com’으로 변경합니다.


[그림 4.7.] Internet Explorer.exe 시작 페이지 변경 확인



5. 마무리


5.1. 동작 확인

 감염 PC에서 ‘www.naver.com’으로 접속을 시도하면 아래와 같이 가짜 네이버 웹 사이트로 접속됩니다. 화면에 금융감독원 배너 창이 생성되는 것을 확인할 수 있습니다.



[그림 5.1.] 가짜 네이버 웹 사이트 접속 화면


 여기서 배너를 이용해 국내 은행 사이트로 이동하거나 URL 검색으로 타깃 사이트로 접속을 시도하면 마찬가지로 가짜 사이트로 들어가집니다.



[그림 5.2.] 가짜 KB 국민은행 웹 사이트


 사용자가 가짜 사이트에서 로그인을 시도할 경우 다음과 같은 연결이 이루어집니다. 만약 연결된 페이지에서 사용자 개인 정보 및 계좌 번호, 계좌 비밀번호, 보안카드/OTP 인증코드를 입력할 경우 해당 정보는 해커 서버로 전송되고 이로 인해 추가적인 피해가 발생할 수 있습니다.



[그림 5.3.] 사용자 개인 정보 탈취


5.2. 치료 방법


 본 악성코드 수동 치료 방법입니다. 순서대로 따라하시면 됩니다.


1. 작업 관리자를 실행합니다. (Ctrl+Alt+Del을 누르면 됩니다.)


2. 작업 관리자에서 프로세스 탭을 선택하고 ‘모든 사용자의 프로세스 표시' 체크 박스를 해제합니다.



 나열되어 있는 프로세스 중에서 cmd.exe를 종료시킵니다.


4. 복제 파일 삭제

 아래 경로에 악성코드가 동작하면서 생성한 파일들이 있습니다. 윈도우 탐색기에서 해당 경로로 이동 후 삭제하시면 됩니다. 파일을 삭제하지 않으면 다음에 본인의 컴퓨터를 켰을 때 악성코드는 다시 동작합니다.


Win 7 : C:\

Win 7 : C:\%TEMP%


5. 자동 실행 등록된 레지스트리 삭제

 Win+R을 누르고 “regedit”를 입력해서 실행하면 레지스트리 편집기가 실행됩니다. 아래 경로로 이동해서 자동 실행 등록된 값을 삭제합니다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


5. 변경된 설정 복구

 악성코드가 동작하면서 변경한 설정들을 원래대로 돌려놓습니다.



 이 모든 과정이 끝나면 악성코드 치료가 완료됩니다.


 이상으로 '[15.05.27] bhc 치킨 사이트에서 파밍 악성코드 유포'에 대한 포스팅을 마치겠습니다.