[악성코드분석] 네트워크 행위를 하는 악성코드 분석 최종.

1. 개요.

1-1. 개요

악성 코드 란 사용자 컴퓨터에 악의적인 영향을 끼칠 수 있는 모든 소프트웨어를 통칭하며, 악 성코드의 유형에는 여러가지가 있으며 대표적으로 컴퓨터바이러스와 웜, 트로이 목마 등이 있습 니다. 현재 분석할 악성코드는 adware이며, 네트워크 행위를 하며, Virusshare를 통하여 샘플을 구 했습니다.

1-2. 파일 정보

exe형식,adware

1-3. 분석 도구.

- 기초 분석 : virustotal : 악성코드 감염 파악.

- 정적 분석 : PEView : PE 구조 분석.

Exeinfo PE : 패킹 여부 파악.

InnoExtractor : 파일의 세부 내역 파악.

- 동적 분석 : Autoruns : 시작프로그램 분석 관리.

Currports : 네트워크 모니터링.

Process Explorer : 실행 중인 프로세스 정보 수집.

Process monitor : 프로세스 동작 확인.

SmartSniff : 네트워크 패킷 간 통신 정보 파악.

Wireshark : 오픈 소스 패킷 분석.

1-4. 기초분석 : Virustotal 에서 진단한 결과, 32개의 백신프로그램에서 악성코드로 인식,adware추정.

2.정적분석

2-1. 파일 구조 파악.

- MZ 확장자(도스모드에서 exe) , 윈도우 32에서만 실행됨.

- 컴파일 시기 : 2016년 4월 6일.

2-2. 파일의 패킹 파악.

- Virual Size와 size of raw data 차이 : 8 , 압축되지 않은 것으로 추정 => 이지만, innoextractor로 보아, 아님.

- InnoExtractor : 여러개의 파일의 집합체이며, 이 중 하나의 악성코드에 감염된 파일이 포함된 파일로 추정.

3. 동적분석.

3-1. 모니터링.

- 러시아 프로그램

- 파일설치시 여러가지 파일을 묶어서 설치하도록 유도함

- 실행과정 : 크롬 확장프로그램에 파일 추가됨.

Yandex 라는 프로그램이 설치됨.

시작프로그램에 2가지 프로그램이 등록됨.

어도비 플레시 플레이어라는 프로그램이 실행됨.

바탕화면에 Yandex가 설치됨.

크롬에 즐겨 찾기에 추가됨.

3-2. Autoruns.

- 시작프로그램을 분석과 관리하는 툴.

- Run키 ( Window OS 실행시 자동실행됨) : Browser Manager, GoogleChromeAutoLuancher,YandexSearechBand) 등록됨.

- Task Scheduler( 자동실행됨) : Yandex

===> 자동실행되는 프로그램 : Browsermanager/GoogleChromeAutolaunch/YandexSearchBand/Yandex

3-3. Currports

- 사용하고 있는 로컬 컴퓨터에 열려 있는 모든 tcp,ip,udp를 보여줌.

- 이 곳에 포착된 5.45.205.243이 악성 ip이며(virustotal 검색결과), 해당 ip와 통신하는 Browser Manager가 악성코드와 통신하는 것으로 추정 됨.

3-4. Process Explorer

- 현재 실행중인 프로세스 정보 수집.

- Browser, BrowserManager, searchbandapp64 오픈 됨.

3-5. Process Monitor

- 레지스트리와 파일, 프로세스 스레드, 네트워크 동작 등을 실시간으로 캡처하는 프로그램.

- YandexPackSetup.exe, af~(악성샘플 본이름) 포착됨.

3-6. Smartsniff

- 패킷 간의 통신정보 확인.

- 악성 ip 목록

1. 5.45.205.244/242 ( cdn.yandex.net)

2. 87.250.250.119/77.88.21.119 (mc.yandex.ru)

3. 178.154.131.216(yastatic.net)

4. 5.45.205.242/243/244 (mc.yandex.ru)

5. 255.255.77/77.88.55.77(Yandex.ru)

6. 178.154.131.217(static.yandex.net)

3-7. Wireshark.

-DNS 서버가 DNS 쿼리에 요청하여 Yandex 가 실행됨.

1단계) 클라이언트가 통신하고자 하면 임의의 포트번호 51242를 클라이언트 프로그램에 할당하 고 클라이언트는 이 포트번호 51242를 포함한 SYN을 서버에 전송합니다. 이때 통신을 하는 최초 의 ip 5.45.205.221은 악성 ip가 아닙니다.

2단계) 서버는 클라이언트의 SYN요청을 받고 SYN Received상태, 클라이언트에게 연결을 허용한다 는 의미의 SYN+ACK패킷 전송합니다. 이 단계에서 중간에 tcp를 재전송하며 ip를 바꿔서 통신을 하는데 변경해서 통신하는 과정에서 사용되는 5.45.205.245는 악성 ip입니다.

3단계) 클라이언트는 연결 요청에 대한 서버의 응답을 확인했다는 의미로 ACK패킷을 서버에 전 송합니다.

- Get 메소드를 이용하여 Yandex-pack, Yandex-exe, Yandexpacksetup.exe 를 다운로드합니다. 이 중 Yandexpack의 ip (5.45.205.211)이 악성 ip입니다. 이 악성코드는 전부는 악성이 아니지만 일부 악 성프로그램때문에 악성코드로 추정됩니다.

3-8. 네트워크 행위를 하는 악성코드 탐지 패턴.

alert tcp 악성 ip any -> any any (msg: "adware",sid:1000001;)

Wireshark와 smartsniff를 통해 탐지된 악성 ip와 통신하는 tcp를 캡처하는 snort rule을 만들었습니다.

4.결론

4-1. 결론.

- exe 형식을 가진 악성코드.

- adware

- 파일의 전체가 아닌, 몇가지 요소들만(yandex-pack,browsermanager) 악성.

- 파일을 다운 받으면 시스템이 느려지면, 여러가지 종류의 파일이 설치됨.

- Browsermanager는 컴퓨터 시작과 동시에 자동실행 됨.

- ip를 바꿔가면서 악성사이트에 접속하게 만드는 특징이 있음.

4-2. 대응방안.

- 1. 정기적인 백신프로그램 응용 프로그램 보안 업데이트.

1-1 운영체제 및 MS사 응용프로그램 업데이트

◼ 업데이트는 서버 시스템에만 필요한 것이 아니라, 일반 응용 프로그램에도 보안 상 의 취약점이 생길 수 있으므로 이미 설치된 응용프로그램도 정기적인 업데이트가 필 요합니다.

1-2 백신프로그램 업데이트

◼ 백신사들 마다 매주 업데이트가 이뤄지며 긴급한 경우 수시로 업데이트를 함. 항상 최신 버전으로 유지하고 백신사에서 발표하는 경보를 주시해야함.

◼ 안철수연구소, 하우리 : 매주 수요일 정기 업데이트

◼ 시만텍코리아, 트랜드마이크로 : 매주 목요일 정기 업데이트 (미국시간으로 수요일))

2. 잠재적으로 문제를 야기할 수 있는 설정 점검.

2-1. 파일 확장자 숨김 설정해제

2-2. 처음 보는 파일 확장자 실행 주의