cctv.exe Trojan 악성코드 분석

자료 : 한국정보보호진흥원(KISA)

개 요
웹 사이트에 악성코드가 은닉되는 방식으로 Trojan에 감염되는 피해가 많이
발생하고 있다. 최근에는 이러한 웹 사이트 은닉기법과 함께 은닉서버를 추적
하기 어렵도록 ARP Spoofing 기법을 동시에 이용한 사고사례가 보고되었다.
공격자는 원인파악 및 대응조치를 보다 어렵게 하고자 이러한 기법을 이용한
것으로 보인다. 악성코드 은닉을 통한 감염유형이 ARP Spoofing 기법과 함께
악용된 사례는 이번에 최초로 보고되었지만 이러한 방식의 악성코드 유포가
다른 사이트들에서도 다수 발생하고 있을 가능성이 있어 주의할 필요가 있다.
공격자는 Trojan 전파를 위하여 MDAC 취약점을 (MS06-014) 이용하였다.
사용자가 취약한 웹 브라우져를 사용할 경우 웹 서핑 중에 사용자 모르게
Trojan에 감염될 수 있으며, 감염 시에는 특정 게임사이트의 계정입력 정보가
유출된다. 사용자는 이러한 악성코드 감염피해를 사전 예방하기 위하여 인터
넷 사용 전에 반드시 OS를 최신으로 패치하여야 한다.
□ 전파 기법 및 감염 절차
o 전파에 이용되는 취약점
- MDAC 취약점 (MS06-014)
유포지 사이트에서 발견된 music.htm의 내용을 살펴본 결과, 악성코드
유포를 위한 공격코드가 삽입되어 있었다. 전파에 이용된 취약점은
MDAC 취약점 (MS06-014)인 것으로 확인되었다.
☞ 유포지 music.htm 파일 내용 예
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
☞ music.htm의 디코딩 결과
디코딩 하면 아래와 같은 MS06-014 공격코드 스크립트를 확인할 수
있다.
o Trojan 감염 절차 분석
사용자의 Internet Explorer 취약점 공격이 성공하면 cctv.exe 파일이 악성
사이트로 부터 다운로드 되며 실행된다. cctv.exe는 백도어 기능을 수행하는
okviewer4.dll 파일을 생성하며, 이 파일을 LSP (Layered Service Provider)
로 등록한다. LSP란 winsock2 호출을 가로채어 조작 및 기타 기능을 수행
할 수 있는 컴포넌트를 의미한다. 여기에서는 정보 유출을 위한 악의적인
목적으로 이용된다.
- 악성코드 설치 과정 상세
① Internet Explorer 의 취약점 공격이 성공하면, 악성 사이트로 부터
악성코드 “cctv.exe"가 다운로드 되어 실행된다.
② “cctv.exe”는 윈도우폴더에 “alg.exe” 파일과 시스템 폴더에
“okviewer4.dll" 파일을 생성한다.
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
※ 윈도우 폴더 WinNT,2000 c:winnt
WnXP c:Windows
※ 윈도우 시스템 폴더 WinNT,2000 c:winntsystem32
WnXP c:Windowssystem32
③ “cctv.exe”는 ““okviewer4.dll"를 LSP로 등록한다.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
WinSock2ParametersProtocol_Catalog9Catalog_Entries의
PackedCatalogItem에 okviewer4.dll 등록
< “okviewer4.dll” LSP 등록 예>　
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
④ “cctv.exe”는 “okviewer4.dll”를 IEXPLORER.EXE 및 기타 몇몇 프
로세스에 Injection 시킨다.
<IE 프로세스에 “okviewer4.dll”가 인젝션 된 예>
⑤ alg.exe는 부팅 시에도 계속적으로 메모리에 로드되기 위하여 아
래와 같이 서비스에 등록된다.
서 비 스 이 름: PCIDown
표시이름: PCIAdapter
실행파일경로: "윈도우폴더“alg.exe
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
□ 악성 기능 분석
o 백도어 기능 구현 원리
Winsock2 환경에서는 Winsock2와 기본 프로토콜 (TCP/IP,IPX/SPX) 사이
이번 Trojan의 경우 백도어 기능구현을 위하여
감염 시 “okviewer4.dll” 파일이 LSP 로 등록되며,
공격자는 이 코드를 통하여 정보를 유출한다.
o 백도어 기능 분석
“cctv.exe”는 특정 게임 사이트의 ID와
Password 정보를 유출하기 위한 trojan 이다. 감
염 후 사용자가 특정 게임 사이트에 접속하여 게
임 계정정보를 입력할 경우 해당 정보
(ID,Password)는 공격자에게로 유출되게 된다.
▶ 감염 시 유출 정보
감염되면 Trojan은 hangame 및 maplestory 게임 사이트 접속여부를
체크한다. 사용자가 해당 사이트에 접속하여 게임을 실행하면, Trojan
은 접속 ID와 Password, 접속 게임 PVP 서버정보를 공격자에게로 유
출시킨다.
<정보유출 내용>
- hangame 게임 상의 ID, Password를 유출
- maplestory 게임 상의 ID, Password를 유출
- 접속 대상 게임서버 호스트 명, 사용자 컴퓨터 이름 유출
<공격자에게로의 정보 전송 >
Trojan은 공격자가 구성한 아래의 사이트로 정보를 전송함.
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
도메인: www.X[생략].com
포트: TCP 80
【 정보 유출 과정 상세 】
감염 시 공격자에게 게임정보를 유출하기 위하여 “okviewer4.dll”코
드 내에 아래와 같은 루틴이 구현되어 있다.
hangame 접속 및 r2 게임의 프로그램 실행여부를 확인하여 해당 웹
사이트 및 게임 프로그램 상에서 입력되는 ID와 Password를 유출시
킨다. 사용자 PC명 및 접속되어 있는 게임 서버명 정보도 함께 유출
시킨다.
i) 한 게임 및 maplestory 사이트 접속여부 확인
ii) 한 게임 프로그램인 R2Client.exe 실행여부 확인
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
maplestory 게임 프로그램 실행여부 확인
iii) gethostname Function을 통하여 감염 PC의 이름을 확인한다
iv) 접속된 게임서버 IP, 서버번호를 확인한다.
v) 사용자 입력 ID와 Password, 사용자 PC명, 접속된 게임서버 정보
를 공격자 사이트 www.X[생략].com(TCP80 port)로 유출시킨다.
해당 서버에서는 recvmail.asp 파일이 전송된 정보를 받아 처리한
다. 분석 시간대에는 recvmail.asp에 대한 접속이 불가능한 것으
로 관찰되었다.
<hangame 계정정보 유출 예>
<maplestory 계정정보 유출 예>
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
□ 피해 현황 및 위험 요소
o cctv.exe 악성코드를 유포시키는 은닉사이트 웹 서버에 이미 매우 많은 사용
자들이 접속한 것으로 확인되고 있어 국내 다수의 PC가 감염되었을 것으로
보인다.
o hangame 및 maplestory 게임 이용자들은 패스워드를 주기적으로 바꾸어 계
정이 도용되는 것을 예방하도록 한다.
□ 감염 시 치료 방법
<감염 시 치료 절차 요약>
① 안전모드로 부팅 → ② 악성코드 alg.exe 삭제 → ③ 악성
코드에 의하여 손상된 Winsock 복구 → ④ 악성코드
okviewer4.dll 삭제 → 재 부팅
< 절차별 상세>
① 안전모드로 부팅
윈도우를 다시 시작하여 안전 모드로 부팅한다.
(부팅시 F8을 누른 후 안전모드 선택)
② 악성코드 alg.exe 삭제
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
Trojan이 윈도우 폴더에 생성한 alg.exe를 삭제한 후 재 부팅 한다.
※ 윈도우 폴더 WinNT,2000 c:winnt
WnXP c:Windows
③ 악성코드에 의하여 손상된 Winsock 복구
▶ 윈도우 XP SP2 일 경우의 Winsock 복구방법
Step1. 시작 -> 실행에서 cmd.exe 입력
Step2. “netsh winsock reset” 명령을 입력.
Step3. 재 부팅
▶ 윈도우 XP SP1 일 경우의 Winsock 복구방법
Step1. 시작 -> 실행 -> “regedit” 를 입력 후 확인
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
레지스트리 편집기에서 아래 경로의 키를 찾아 마우스 오른쪽 버
튼을 눌러 삭제
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock2
Step2. TCP/IP 설치
시작 -> 제어판 -> 네트워크 및 인터넷 연결 -> 네트워크
연결 -> 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 속성
선택 ) -> “설치” 클릭 -> 프로토콜 선택 후 “추가” -> 디
스크 있음 -> c:Windowsinf 를 입력한 다음 “확인”을 클
릭
Step3. 인터넷 프로토콜(TCP/IP) 선택 후 확인 클릭
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 11 -
Step4. 재 부팅
▶ 윈도우 2000 일 경우의 Winsock 복구방법
Step1. 시작 -> 설정 -> 제어판 -> 네트워크 및 전화접속 -> 로컬
영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택 )
-> “인터넷프로토콜 (TCP/IP)” 선택한 후 “제거” 메뉴
클릭
Step2. 재 부팅
Step3. 시작 -> 설정 -> 제어판 -> 네트워크 및 전화접속 -> 로
컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택
) -> “설치” 클릭 -> 프로토콜 선택 후 “추가” -> 인터
넷 프로토콜(TCP/IP) 선택 후 확인
④ 악성코드 okviewer4.dll 삭제
윈도우 시스템 폴더에 생성된 okviewer4.dll를 삭제
KrCERT-AR-2007 http://www.krcert.or.kr
악성코드 (cctv.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 12 -
※ 윈도우 시스템 폴더 WinNT,2000 c:winntsystem32
WnXP c:Windowssystem32
□ 사전 예방 방법
o 사용자는 감염을 예방하기 위하여 인터넷 사용 전에 반드시 최신 패치를
적용하도록 한다.
o 웹 관리자는 관리 웹페이지 내에 관리자가 알지 못하는 확인되지 않은 코
드가 존재하는지 수시로 점검한다. 또한, 웹 서버에 취약점이 없도록 최신
패치를 적용하고 암호설정, 접근제어 등을 강화하도록 한다.
o Arp Spoofing 공격을 방지하기 위해서는 동일 세그먼트 내에 있는 서버
및 PC들에 대한 보안관리가 필요하다.