japanese site
온라인강좌책메일다운로드동아리쇼핑기술지원기업정보갤러리동영상 블로그
『신개념 4단계 리눅스기술지원 시스템 공개』

※ 『무료 리눅스 배포판 배송서비스』 ※

 
USB이동형 저장장치를 이용하여 전파되는 악성코드 분석
조회 : 6,716  


자료 : 한국정보보호진흥원(KISA)

 

 

 개 요
최근 USB 이동저장 매체를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고
있어 주의가 필요하다. USB 이동저장매체를 이용하여 전파되는 악성코드 중 이번에
확인된 ntion.exe의 경우, 특정 사이트에 접속하여 추가 악성코드를 다운로드
하는 Dropper 기능을 수행하는 것으로 확인되었다. 또한, 웹 서버가 감염될
경우는 웹 서버내의 웹 페이지가 변조되어 해당 웹서버를 방문하는 사용자들에
게도 피해를 발생시킬 수 있다. 대다수 사용자들이 파일이동 및 저장을 위하여 USB
저장매체를 이용하고 있으므로, 부주의한 USB 사용으로 인한 감염피해는 앞으로도 많이
발생할 것으로 보인다. 사용자는 이동저장 매체를 백신으로 주기적으로 점검하고
USB자동실행 기능을 해제하여 피해를 사전예방 하여야 하겠다.
□ USB 이동매체를 이용한 악성코드 전파기법 소개
o 전파 방법
윈도우에서는 사용자 편의를 위하여 USB 이동저장매체 또는 CD를 삽입하였
을 경우, 자동으로 사용자가 원하는 특정 프로그램이 실행되도록 할 수 있다.
최근 이 기능이 악성코드 감염에 악용되는 경우가 많이 발생하고 있다.
☞ 윈도우의 autorun.inf 기능 소개
윈도우에서는 autorun.inf 파일을 통하여 CD나 이동저장매체 연결 시 특정
프로그램이 자동으로 실행되도록 할 수 있다.
※ 일반적으로 사용자가 CD, 또는 USB 이동저장 매체 연결 시 소프트웨어
install이 자동으로 이루어 질수 있도록 하기 위한 목적으로 많이 사용된다.
이 기법을 이용하여 전파활동을 하는 악성코드는 이동식 USB 드라이브를 찾아,
해당 드라이브 내에 악성코드 복제파일을 생성하며, 또한 autorun.inf 파일을 생
성하여 악성코드를 실행하는 코드를 삽입한다.
사용자가 USB 이동식 저장장치를 사용할 경우, autorun.inf 파일이 자동으로
실행되어, 사용자 PC는 자동으로 감염되게 된다.
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
o 피해유형 예

사용자는 USB 전파 웜에 감염된 시스템에서
자신의 이동식 디스크를 사용

USB 전파 웜에 감염된 이동식디스크를
다른 시스템에서 사용
③ 새로운 시스템의 감염
<그림 1> 이동식 디스크를 이용한 악성코드 전파
□ 악성행위
감염 시 다른 추가 악성코드를 다운로드 하거나, 감염 시스템 내에 저장되어
있는 웹 페이지에 악성 스크립트를 삽입한다. 또한, 안티 바이러스 프로그램
종료 등 자기보호 기능도 확인되었다.
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
o 악성코드 Dropper 기능
해당 웜의 실행파일을 분석한 결과 원격지로부터 악성코드로 의심되는 실행
파일을 다운로드 하는 것으로 관찰되었다. 즉, 타 악성코드를 감염시키는
Dropper 기능을 수행하는 것으로 보인다.
<그림 2> 악성코드로 의심되는 실행파일들에 대한 정보
※ 08.01.14 현재, 해당 사이트들은 이미 차단조치 되어 접속이 불가함
o 웹 페이지 파일에 스크립트 코드삽입
해당 웜은 감염된 시스템의 모든 디렉토리를 검색하여 웹페이지 파일에
악성 스크립트 코드를 삽입한다.
웹 서버가 감염될 경우, 서비스 중인 웹 페이지 내에 악성 스크립트가 삽입
되어 해당 웹서버를 방문하는 사용자들에게 피해를 발생시킬 수 있다.
HTM
HTML
JSP
VBS
XML
SHTML
JS
PHP
<그림 3> 감염된 시스템에서 검색하는 확장자 목록
<그림 4> 삽입된 자바스크립트 코드
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
특히, 검색된 파일 확장자 중 PHP파일에는 원격으로부터 인자를 전달받는
PHP코드가 삽입된다.
<그림 5> 삽입된 PHP 및 자바스크립트 코드
o 파일 생성
웜은 자신을 전파하기 위하여 이동식디스크에 "RECYCLER.EXE"라는 이름으
로 자신을 복사하고 “autorun.inf" 으로 자동실행 될 수 있도록 구성한다.
<그림 6> 감염된 이동식 디스크
사용자는 감염된 이동식 디스크를 사용하기 위하여 탐색기에서
더블클릭 또는 자동실행을 선택할 때 복사된 웜(RECYCLER.EXE)이
활동을 시작하게 된다.
특히, 시스템에 이동식 디스크가 연결되어 있지 않으면 아래와 같은 에러
팝업을 지속적으로 발생시킨다.
<그림 7> 이동식 디스크가 연결되지 않은 경우 에러 메시지
또한, 웜은 감염된 시스템에 자신의 복사본인 "ntion.exe"와 Explorer
프로세스에 인젝션 되는 "ntion.dll"을 생성한다.
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
- C:Windows tion.exe
- C:Windowssystem32 tion.dll
- C:Windowssystem32drivers tion.exe
<그림 8> 감염된 시스템에 생성되는 악성코드들
o 레지스트리 변경
또한, 시스템 재부팅 후 지속적으로 동작을 위하여 Explorer 프로세스에 자신을
인젝션 시키도록 레지스트리를 변경한다.
- HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run/
DataAccess (C:Windows tion.exe)
- HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run/
WinFile (C:Windowssystem32drivers tion.exe)
<그림 9> 재부팅 후 활동을 위한 Explorer 레지스트리 등록
o 자기보호 기능
- 감염된 시스템에 안티 바이러스 프로그램이 동작하는 경우 웜은 해당 프로
세스를 강제로 종료시키며, 자신의 동작을 숨기기 위하여 레지스트리 편
집기(REGEDIT.EXE)와 시스템 편집기(MSCONFIG.EXE) 등의 모니터링 도
구와 안티 바이러스 프로그램의 실행을 방해한다.
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
OfficeScanNT
Norton
ZoneAlarm
McShield
V3MonSvc
MskService
McTaskManager
Symantec Core LC
kavsvc (Kaspersky)
<그림 10> 안티 바이러스 프로세스의 종료
KAV.EXE
CCAPP.EXE
NVSVC32.EXE
SPIDERUI.EXE
UPGRADE.EXE
SPIDERNT.EXE
MONSVCNT.EXE
MONSYSNT.EXE
TRIALREG.EXE
SUPDATE.EXE
AUTORUNS.EXE
ICESWORD.EXE
MCSHIELD.EXE
REGEDIT.EXE
MSCONFIG.EXE
<그림 11> 특정 프로그램의 실행방해
- 웜은 감염된 시스템에서 자신을 숨기기 위하여 숨김 파일을 표시하지 않도
록 윈도우즈 탐색기의 폴더속성을 지속적으로 변경시킨다.
<그림 12> 폴더속성 변경
- HKLM/SOFTWARE/Microsoft/CurrentVersion/Explorer/Advanced/Folder/Hidden/
SHOWAL/CheckedValue (0)
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
□ 이동형 저장장치 자동실행 방지
윈도우즈의 특정 서비스 항목을 사용하지 않는 것으로 감염된 이동식 디스크
에서 악성코드가 실행되는 것을 막을 수 있다.
① 시작→설정→제어판→관리도구→서비스로 들어가 ‘Shell Hardware Detection’을 선택
<그림 13> ShellHWDetection 서비스의 속성
② ①의 속성화면에서 시작유형을 사용안함으로 설정한다.
<그림 14> ShellHWDetection 서비스의 속성변경
③ 재부팅 한다.
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
□ 감염 시 조치방법
① 부팅 시 F8을 눌러 안전모드를 선택한다.
<그림 15> 안전모드 선택 화면
② 아래 윈도우즈 하위 폴더에서 악성코드 파일들을 삭제한다.
※ 폴더에서 삭제할 파일들
- C:Windows tion.exe
- C:Windowssystem32 tion.dll
- C:Windowssystem32drivers tion.exe
<그림 16> 악성코드 삭제
③ “시작” → “실행”에서 regedit 를 입력한다.
<그림 17> 레지스트리 편집기 실행
KrCERT-AR-2008 http://www.krcert.or.kr
USB 이동형 저장장치를 이용하여 전파되는 악성코드 분석 cert@krcert.or.kr
__________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
④ 아래의 레지스트리 항목들을 삭제 한다
<그림 18> 레지스트리 삭제
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent
VersionpoliciesExploreRunDataAccess
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent
VersionpoliciesExploreRunWinFile
⑤ 윈도우 탐색기의 폴더 옵션을 원래의 상태로 복원시킨다.
<그림 19> 레지스트리 복원
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftExplorerAdvanced
FolderHiddenSHOWALLCheckedValue
※ 해당 값을 0으로 설정하는 경우 숨김 파일이 보이지 않고, 1로 설정하는
경우 숨김 파일을 보이도록 설정한다.
⑥ 재부팅한다.


[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1549


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
krcert
인터넷 침해사고대응지원센터의
허락하에 본 사이트에서 pdf 파일 형식으로 배포 됩니다.

 
   
 


『신개념 4단계 리눅스기술지원 시스템 공개』

CentOS 리눅스 전문서적 국내최초출시

 
회사소개 | 보도기사 | 채용안내 | 광고안내 | 이용약관 | 개인정보취급방침 | 책임한계와 법적고지 | 불편사항 신고하기 | 사이트맵
ㅇ 서울 : 서울특별시 강남구 노현로79길 66, 402호(역삼동,청송빌딩)  ㅇ 부산 : 부산광역시 해운대구 우동 1470 에이스하이테크21 914호
ㅇ 대표 : 1544-8128 ㅇ부산직통 : 051-744-0077 ㅇ서울직통 : 02-856-0055 ㅇ FAX : 02-6280-2663
ㅇ 사업자번호 : 128-86-68239 ㅇ 통신판매업 신고번호 : 2013-부산금정-0035호 ㅇ 개인정보책임자 : 이재석
ㅇ 상호명 : (주) 수퍼유저 ㅇ 대표자 : 박성수
Copyright ⓒ (주)수퍼유저. All rights reserved.

 아 이 디
 비밀번호
회원 가입 | 비밀번호 찾기

블로그~
 
▷ 해킹보안
PC보안(Windows)
리눅스 보안
해킹/보안 프로그램
네트웍 장비 보안
해커즈랩 문제 분석
개념/기타
ACL(Access Control List)
DoS/DDoS
웜/악성코드
책제목
리눅스서버관리실무바이블v3.0


저자 박성수
페이지수 2,032 pages
펴낸곳(주)수퍼유저

리눅스 서버 구축 및 관리에 필요한 거의 모든 부분과 전반적인 실무 기법들을 다루고 있음
책제목
리눅스보안관리실무(2/E)


저자홍석범
페이지수 820 pages
펴낸곳(주)수퍼유저

리눅스 보안에 관련된 내용을 종합적으로 쓴 책. 저자의 명성 그대로 보안관련의 모든 내용이 그대로 담겨져 있다.