japanese site
온라인강좌책메일다운로드동아리쇼핑기술지원기업정보갤러리동영상 블로그
『신개념 4단계 리눅스기술지원 시스템 공개』

※ 『무료 리눅스 배포판 배송서비스』 ※

 
MS06-040worm(wgareg.exe) 분석
조회 : 5,289  


자료 : 한국정보보호진흥원(KISA)

 

 

1. 개요
윈도우 서버 서비스의 취약점으로 인한 원격코드 실행 취약점(MS06-040)을 악용하
여 확산되는 웜이 8월12일 경 출현하여 전파활동을 시작하였다. 이 웜은 감염 후 IRC
서버에 접속하여 공격자로부터 명령을 전달받으며, 감염 PC의 파일검색, 파일 다운로
드, 타 시스템 DoS 공격 등의 악성기능을 수행할 수 있는 것으로 확인되었다.
윈도우 서버 서비스 취약점 (MS06-040)은 MS로부터 패치가 최근(2006.8.9)에 배포되
었으므로 아직 패치가 적용되지 않은 취약 PC가 다수 일 것으로 추정되어 감염피해에
대한 주의가 필요하다.
2. 전파 방법
o 윈도우 서버 서비스 취약점 (MS06-040)을 통한 전파
이 웜은 윈도우 서버 서비스 취약점 (MS06-040) 공격을 통하여 전파된다. 윈도우의
기본 네트워크 서비스를 공격하므로 취약한 PC일 경우는 사용자 개입 없이 자동으로
웜에 감염되게 된다.
*아래패킷은 웜 감염 시 네트워크 트래픽을 Dump 한 결과이다. MS06-040 취약점 공격을
위하여 파이프 rowser를 오픈요청 후 srvsvc (4b324FC8-1670-01D3-1278-5A47BF6EE188)
에 대한 요청이 발생한다. 공격 성공 후에는 웜이 전송되는 것으로 관찰되었다.
(그림) browser를 오픈 요청
(그림) srvsvc 에 대한 요청
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
(그림) Exploit 과정
(그림) 웜 전송
o AIM (AOL) 메신져를 통한 전파
AIM 메신져를 웜 전파에 악용하기 위한 기능도 관찰되었다. 웜에는 AIM 메신져 윈
도우를 찾아 문자열을 입력하는 기능이 있는데, 공격자는 웜 숙주사이트 링크를 입력
하여 메신져 상대방에게 전달함으로써 숙주 사이트 클릭을 유도할 것으로 보인다 .
※ 상대 이용자가 웜에 의해서 전송된 사이트 URL을 클릭 할 경우에 감염
- 메신져 전파 루틴 분석
웜 코드 내에는 사용 중인 메신져를 통하여 메신져 상대방에게 문자열을 전송하
는 루틴이 존재한다. 메신져를 사용하고 있는 상대방 이용자들에게 웜 숙주 URL
주소를 전송하여 감염을 유도하는 기능인 것으로 보인다.
i) 사용 중인 AIM(AOL) 메신져 윈도우를 찾는다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
ii) 메신져에 문자열이 입력된 후
buttondown, buttonup 이벤트가 발생한다.
☞ 결과적으로 웜에 의해서 입력된 내용이 메신져 상대에게 전송됨.
※메신져를 통하여 전송되는 구체적인 메세지 내용(ex.웜 숙주 URL 등)은
공격자가 웜에 원격 명령전달을 통하여 알려줄 것으로 추정.
3. 감염 시 악성 기능
o 악성코드 설치
- 파일 생성
윈도우 시스템 폴더에 wgareg.exe 파일 생성
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
- 부팅 시 wgareg.exe를 자동으로 로드하도록 서비스에 등록한다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
o 백도어 기능
웜은 IRC 서버에 접속하여 공격자로부터 명령을 전달받는다. 명령전달을 받기 위해
접속하는 사이트는 다음과 같다.
- bniu.ho[생략]ehot.com,
- ypgw.w[생략]an.com
* 접속 포트: TCP 18067
IRC 서버 접속 후에는 채널 n1 에 join 한다.
공격자로부터 명령을 전달받아, 악성기능을 수행한다.
악성기능 예는 다음과 같다.
* 공격자는 감염 PC내의 파일을 검색하여, 검색 결과를 확인할 수 있다.
웜 코드 내의 검색을 위한 루틴은 다음과 같다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
* 검색결과는 공격자에게 [findfile]%356s%.240s 형태로 출력된다.
* 외부 사이트로부터 감염PC로 파일을 다운로드 하기 위한 루틴이 존재한다.
* 웜 코드내에는 아래와 같이 syn, dos, scan 공격관련 문자렬이 코딩되어 있다.
<공격 명령 관련 문자열 및 패킷 발생률 관련 출력 포맷>
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
o 감염 후 특이사항
- DCOM 기능을 비활성화 시킨다
HKEY_LOCAL_MACHINESoftwareMicrosoftOLE
"EnableDCOM"="N"으로 설정
- 공유 네트워크에 대한 anonymous 접근을 제한한다.
HKLMSYSTEMCURRENTCONTROLSETCONTROLLSA
"restrictanonymous" = "00000001" 설정
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 관리목적 공유폴더 (Admin$ 공유)를 사용 불가능하게 한다.
HKLMSYSTEMcurrentcontrolsetserviceslanmanserverparameters
autoshareserver, autosharewks 값을 0로 설정
- 윈도우 XP SP2 개인 방화벽을 OFF 시킨다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
(그림) 감염 시 개인방화벽 OFF 예
4. 타 시스템 감염을 위한 공격력
Wgareg.exe가 타 PC를 감염시키기 위하여 발생시키는 공격패킷 발생빈도는 다른 웜
에 비하여 크지 않은 것으로 관찰되었으나, 명령전달이 가능해질 경우는 공격빈도가
보다 높아질 가능성이 있다. (현재 명령전달사이트는 차단조치 됨)
o 타 웜과의 공격빈도 비교
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
5. 위험 요소
o MS06-040 패치는 최근에 배포되어(2006.8.9) 아직 업데이트가 안된 PC가 다수일
것으로 보여 주의가 필요하다.
※ wgareg.exe 웜 외에도 향후 이 취약점을 악용하여 전파되는 웜들이 계속적으로
출현할 것으로 예상됨
6. 사전 예방 방법
o WindowsOS 최신 패치를 적용하도록 한다.
o 백신을 최신으로 업데이트 하며, 실시간 감시기능을 활성화 한다.
o NW Segment Gateway 단에서 TCP 139, 445 포트를 차단하여 로컬 네트워크에서
의 확산 가능성을 최소하도록 한다.
※운영되고 있는 시스템 중 해당 포트를 사용하는 시스템이 있는지 확인 후 차단.
7. 감염 시 치료 방법
1. 안전모드로 부팅한다.
2. 윈도우 시스템 폴더의 wgareg.exe 파일을 삭제한다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
3. 재부팅 한다.
4. 악성코드가 생성/변경한 레지스트리를 삭제 및 원래의 상태로 복원시킨다.
- 윈도우 하단에 있는 “시작” → “실행” 메뉴 클릭 후 regedit를 입력하여 레지스트리
편집기를 실행시킴
- 레지스트리 편집기를 이용하여,
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
의 wgareg 폴더를 삭제
- HKEY_LOCAL_MACHINESoftwareMicrosoftOLE
“EnableDCOM" 선택 후 마우스 오른쪽 버튼을 클릭하여
데이터 값을 "y"로 수정
- HKEY_LOCAL_MACHINE
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
softwarepoliciesmicrosoftwindowsfirewalldomainprofile
내의 “enablefirewall = 00000000”을 삭제
- HKLMsoftwarepoliciesmicrosoftwindowsfirewallstandardprofile
내의 “enablefirewall = 0000000”을 삭제
- HKLMSYSTEMcurrentcontrolsetserviceslanmanserverparameters 내의
autoshareserver = dword:00000000 삭제
autosharewks = dword:00000000 삭제
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center 내의
AntivirusDisableNotofy = "dword:00000001" 삭제
AntivirusOverride = "dword:00000001" 삭제
FirewallDisableNotify = "dword:00000001" 삭제
FirewallDisableOverride = "dword:00000001" 삭제


[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1545


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
krcert
인터넷 침해사고대응지원센터의
허락하에 본 사이트에서 pdf 파일 형식으로 배포 됩니다.

 
   
 


『신개념 4단계 리눅스기술지원 시스템 공개』

CentOS 리눅스 전문서적 국내최초출시

 
회사소개 | 보도기사 | 채용안내 | 광고안내 | 이용약관 | 개인정보취급방침 | 책임한계와 법적고지 | 불편사항 신고하기 | 사이트맵
ㅇ 서울 : 서울특별시 강남구 노현로79길 66, 402호(역삼동,청송빌딩)  ㅇ 부산 : 부산광역시 해운대구 우동 1470 에이스하이테크21 914호
ㅇ 대표 : 1544-8128 ㅇ부산직통 : 051-744-0077 ㅇ서울직통 : 02-856-0055 ㅇ FAX : 02-6280-2663
ㅇ 사업자번호 : 128-86-68239 ㅇ 통신판매업 신고번호 : 2013-부산금정-0035호 ㅇ 개인정보책임자 : 이재석
ㅇ 상호명 : (주) 수퍼유저 ㅇ 대표자 : 박성수
Copyright ⓒ (주)수퍼유저. All rights reserved.

 아 이 디
 비밀번호
회원 가입 | 비밀번호 찾기

블로그~
 
▷ 해킹보안
PC보안(Windows)
리눅스 보안
해킹/보안 프로그램
네트웍 장비 보안
해커즈랩 문제 분석
개념/기타
ACL(Access Control List)
DoS/DDoS
웜/악성코드
책제목
리눅스서버관리실무바이블v3.0


저자 박성수
페이지수 2,032 pages
펴낸곳(주)수퍼유저

리눅스 서버 구축 및 관리에 필요한 거의 모든 부분과 전반적인 실무 기법들을 다루고 있음
책제목
리눅스보안관리실무(2/E)


저자홍석범
페이지수 820 pages
펴낸곳(주)수퍼유저

리눅스 보안에 관련된 내용을 종합적으로 쓴 책. 저자의 명성 그대로 보안관련의 모든 내용이 그대로 담겨져 있다.