Bropia 웜 분석 보고서

KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Bropia188928 웜/바이러스 분석 보고서
2005. 2. 3
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Bropia.188928 웜/바이러스는 MSN 메신져 서비스를 통하여 전파되는 웜으로
써, MSN 메신져 대화 상대들에게 웜 파일을 전송하여 자신을 확산시킨다.
MSN 통한 감염 후에는 SpyBot 이 설치된다. 설치 후에는 특정 사이트로의 접근
시도가 관찰되어 IRC를 통한 명령전달로 여러 가지 악성행위가 우려되나, 현재
해당 IRC 도메인의 DNS 서버에서 조치를 취하여, IRC 서버와의 통신이 불가능
하다. 국내에 MSN 메신져 사용자가 매우 많으므로 주의를 해야한다.
o 웜 파일명 및 크기
파일명 파일크기
msnus.exe
winhost.exe
188,928 Byte
124,426 Byte
□ 감염 대상 시스템 및 전파 수단
o 대상 OS : Windows 9X, ME, 2000, NT, XP, 2003
o 전파방법: MSN 메신져 서비스.
□ 주요 공격 및 전파 기법
o 공격 및 전파 기법
1) 메신져 통한 전파 방법
Bropia 웜은 MSN 메신져 서비스를 통하여 전파된다. PC가 감염되게 되
면, 메신져에 로그인되어 있는 대화 상대에게 웜 파일이 전송된다. 이때
상대 이용자 메신져 화면에는 파일 다운로드 및 실행 여부을 묻는 화면이
표시되고 사용자가 승낙을 할 경우 상대방 PC는 웜에 감염되게 된다.
웜에 감염되면 SpyBot이 설치 되고, Bot을 제어하는 서버로 접속을 시도
하게 된다.
※참고: MSN 메신져 서비스는 Microsoft 사에 의하여 제공되는 서비스이다. PC에
MSN 메신져라는 프로그램이 설치되어 있는 사용자들 간에 인터넷을 통하여
인스턴트 메시지를 주고 받을 수 있다
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
2) 전파 기법 특징
Bropia 웜은 메모리 상주 웜이며 SpyBot을 확산시키기 위한 웜이라고 볼
수 있다. Bropia 감염 시 Spybot을 설치 시키고 자신은 PC가 OFF 될 때
사라진다. 설치된 SpyBot은 자기전파 및 기타 악성 행위를 한다.
공격 절차는 아래와 같다.
① 메신져 서비스를 악용하여, 방화벽 설치 지역의 내부로 침투.
침투 후 , SpyBot 설치
② 공격자는 IRC 서버를 이용하여, 설치된 SpyBot을 외부에서 통제.
감염 SpyBot을 통제하여, Weak password 및 RPC DCOM, LSASS 취
약점등을 공격을 통하여, 방화벽 내부의 취약PC들을 모두 SpyBot에
감염시킴.
※ MSN 메신져를 이용하여 Bropia 웜 사내 침투 → Spybot 설치 → 웜 제작
자는 IRC 통하여 SpyBot 에 접근 및 명령 전달 (Revese Connection 으로 방
화벽 우회) → 사내망에 SpyBot 확산됨
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
나. 공격 절차별 상세 설명
1) PC가 감염된 후에는 시스템 폴더에 msnus.exe 이름으로 웜파일이 생성된
다. 또한, MSN 메신져를 통하여 아래와 같은 파일명으로 대화 상대자에
게 웜 파일을 전송하려고 시도한다
※ 로그온 이벤트가 발생할 때마다 전송을 시도.
- LOL.scr
- Webcam.pif
- LMAO.pif
- ROFL.pif
- underware.pif
- Hot.pif
- webcam.pif
- naked_drunk.pif
- bedroom-thongs.pif
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
파일이 전송되면, 웜 파일이 전송되는 상대 화면에는 아래와 같이 웜 파일을
Download 및 실행할지에 대한 “수락” 여부를 묻는 메세지가 뜨게 된다. “수
락”을 클릭 할 경우 추가적으로 “파일 열기” 메시지가 뜨는데, 이 메뉴를
클릭하여 해당파일을 실행 시키면 웜에 감염되게 된다.
< 다운로드 “수락”여부를 묻는 화면 예> <파일 열기 여부를 묻는 화면 예>
웜 감염 시, 사용자 화면에 아래와 같은 사진이 출력 된다.
2) 웜 감염 후에는 SpyBot이 설치된다. 이 SpyBot은 시스템 폴더에 설치되며,
레지스트리에 등록되어 재부팅시 마다 메모리에 Load 된다.
- 파일 변경
. “시스템 폴더”에 winhost.exe 가 생성됨.
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
- 레지스트리 변경/추가 발생
. 아래와 같이 레지스트리 항목을 추가하여, SpyBot이 부팅 시 마다 메모
리에 load 되도록 함.
HKEY_CURRENT_USER
Software
Microsoft
OLE
win32 = winhost.exe
HKEY_LOCAL_MACHINE
SOFTWAREMicrosoft
Windows
CurrentVersion
Run
win32 = winhost.exe
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices
win32 = winhost.exe
※ 시스템 폴더 :
WinXP : C:WINDOWSsysem32
Win2K, WinNT : C:WINNTsystem32
3) 특정 IRC 서버(freeupdate.homeip.net)로의 접근시도가 관찰되었다.
아래 그림은 웜 감염 후, 발생시키는 네트워크 트래픽을 캡쳐 한 것이다.
IRC 서버 도메인 네임 (freeupdate.homeip.net)에 대한 DNS 쿼리 후, TCP
8080 포트로 접속을 시도한다.
※ 2005.2.3 13:00 현재, 해당 도메인의 DNS 서버에서 접속이 불가하도록 DNS 엔
트리 값이 사설 IP 10.0.1.128 로 바뀌어져 있다. 해당 사이트로의 접속이 불
가능 하도록 예방 조치가 취해진 것으로 보인다.
< 감염 후 발생하는 트래픽 샘플 >
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
<DNS 트래픽 Capture (query에 대한 answer) >
아래 내용은 웜 프로세스를 Dump 한 것이다. Dump 코드에서 접속 사이트
주소 freeupdate.homeip.net를 확인할 수 있었다
< 코드 분석 >
4. 네트워크에 미치는 영향
o MSN 메신져 대화 상대가 파일전송 “수락”을 클릭 할 경우 감염PC로부터 웜
파일이 전송 된다. 이 때 발생하는 트래픽은 240,492 Byte 인 것으로 관찰
되었다. (전송 오버헤드 포함).
<웜 전송 트래픽 샘플>
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
o 약 20~ 30초 주기로 특정 도메인에 대한 DNS 쿼리와 해당서버 TCP8080 포
트로의 접속시도가 발생한다. 아래 파란색 부분을 보면 주기를 확인해 볼 수
있다.
Relative Time 의 단위는 초(Second)를 나타낸다.
<특정 사이트로의 접속 시도 트래픽 샘플>
o 웜을 감염 시킨 후 기타 특이 트래픽이 관찰되지 않았다. 만약 감염된 PC가
freeupdate.homeip.net 서버로의 접근이 가능할 경우, 명령 전달을 통하여, 타
시스템으로 공격 트래픽이 발생 할 가능성이 높으므로, 주의가 필요하나, 현
재는 해당 도메인 DNS서버에서 엔트리 값을 조정하여 웜에 감염된 PC들이
해당 서버로부터 명령을 전달 받는 것이 불가능하다. (2005. 2. 3 20:00 현재
까지 분석 결과)
5. 기타
이 Bropia 변종은 원형에 비하여 기능이 향상 되었다. 원형의 경우 MSN 통
하여 웜 파일 전송시 감염된 PC 의 사용자에게 전송할 파일을 확인하는 과
정이 있으나 이번 변종은 이러한 과정이 없이 감염PC의 사용자 모르게 웜
파일을 전송한다. 또한 원형에서는 감염 후 cmd.exe를 실행 시킬수 없고
마우스 오른쪽 버튼 사용이 불가능하였으나 이번 변종에서는 이러한 현상이
관찰되지 않았다.
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 8 -
6. 위험 요소 분석
o 위험 요소
- 국내의 많은 PC 사용자가 MSN 메신져를 이용하고 있다.
- 메신져 서비스를 이용한 전파 공격은 방화벽 방어 기능을 무력화 한다.
- 메신져를 통하여 웜 파일이 전달될 경우 사용자들이 신뢰하고 파일을
open 할 소지가 크다.
- 일반인들이 메신져 웜 감염 위험성에 대한 인식을 가지고 있지 않아 메
신져 사용 시 주의가 부족하다.
- 감염 시에 온라인에 연결되어 있는 모든 대화상대에게 웜 파일이 전달된
다. 또한 새로운 온라인 로그인 이벤트 발생시 마다 전송 시도가 발생한
다.
o 참고 사항
- MSN 메신져 통한 감염 전에 사용자 화면에 파일 수신 및 실행을 허용할
것인지를 묻는 경고 메시지가 출력 된다. 해당 메시지에 “수락” 을 클릭
해야만 웜에 감염된다. 즉 사용자의 개입이 필요하다.
- IRC 서버 접속이 차단되어 있어, 현재 SpyBot 에 대한 명령 전달 및 통
제가 불가능하다. 즉 감염으로 인한 2차 피해 가능성은 감소하였다
- IRC 명령이 차단되어 있는 현 상태에서, SpyBot의 타 시스템 전파 트래
픽이 관찰되지 않았다
- 국내 주요 백신 패턴 업데이트가 완료 되었다.
7. 향후전망 및 주의사항
IRC 서버 명령 전달 서버 차단으로, SpyBot의 활동이 무력화 되어 2차 피해는
없을 것으로 보인다. 그러나, MSN 통한 Bropia 전파 가능성이 감소한 것은 아니
다. Bropia 가 메모리 상주형이므로(PC가 OFF 될 때 사라짐) 자정이 넘으면 대
다수 Bropia 웜이 감염PC에서 사라진다고 보아야 한다. 그러나 24시간 ON 되
어 있는 PC (ex. PC방)들을 통하여 많은 PC가 ON 되는 시간대에 다시 확산될
수 있다.
향후, MSN 통하여 전파되는 유사 웜 출현이 우려된다. 새로운 메신져 웜이 출
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 9 -
현할 경우 확산력이 우려된다. 또한 메신져와 RPC DCOM, LSASS , Weak
password 등의 취약점을 동시에 이용하는 웜 출현에 대한 주의가 필요하다.
8. 예방 및 대응 방안
o 사용자
- MSN 메신져 사용는 확인되지 않은 파일을 전송 받을 경우, 다운로드 및
실행을 하지 않도록 한다.
- 백신 업데이트 및 주기적으로 검사를 실시한다.
※ 백신이 설치되어 있는 않은 PC의 경우 조치 방법은 아래와 같다.
Step1. msnus.exe, winhost.exe 프로세스를 종료 시킨다.
참고. msnus.exe는 램상주이기 때문에 재부팅한 경우에는 “Windows
작업 관리자” → “프로세스” 메뉴에서 볼 수 없다.
step2. 관련 레지스트리 항목을 삭제한다.
“시작” → “실행” → “regedit” 입력 후
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun 에서
win32 = winhost.exe 항목을 삭제한다
KrCERT-AR-2005-05 http://www.krcert.or.kr
Bropia 변종 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 10 -
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
에서 win32 = winhost.exe 항목을 삭제한다
HKEY_CURRENT_USERSoftwareMicrosoftOLE 에서
win32 = winhost.exe 항목을 삭제한다