Sober.P 웜 분석 보고서

KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Sober.P 웜 분석 보고서
2005. 5. 4
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Sober.P는 메일첨부를 통하여 전파되는 전형적인 메일 웜이다. 이 웜은 다
른 시스템을 감염시키기 위하여 시스템 내부 파일로부터 메일주소를 추출한
후 해당 주소로 웜 파일을 첨부하여 메일을 발송한다 .
국외에서 많은 피해가 보고되었으나 국내에서는 현재[~2005.5.4 22:00]까지 큰
피해가 없었다. 한글 윈도우 환경에서는 제대로 감염되지 않는 것으로 관찰되
었으므로 국내에서의 위험성은 적을 것으로 보인다. 테스트는 영문 윈도우에
서 실시하였다.
o 웜의 국내유입 일시 : 2005년 5월 4일
o 관련 포트 트래픽 동향
※ 2005. 5.4 현재 국내 TCP 25 포트(SMTP) 트래픽 추이에 이상 징후가 없는 것으
로 관찰됨
<2005.5.1 ~ 2005.5.4 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
o 웜 파일명 및 크기, 형태
파일명 파일크기 형태
services.exe, csrss.exe, smss.exe 53,554 byte UPX
<웜 파일 형태 확인>
o 특이 사항
한글 윈도우 환경에서는 웜 파일 클릭 시 감염이 되지 않고 단지 아래와 같
이 모든 아이콘이 사라지거나 시스템이 정지되는 현상이 관찰되었다. Logoff
를 하거나 재 부팅 하면 정상으로 복원된다
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
□ 감염 시스템 및 전파 방법
o 대상OS: Windows2000, NT, XP, 2003 (한글 윈도우 환경은 대상에서 제외)
o 전파방법:
- 메일 첨부 통한 악성 코드 전파
□ 주요 공격 및 전파 기법
o 공격 절차
- Sober.P는 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신을 파
일로 첨부하며, 메일의 본문에 사용자가 해당 첨부파일을 클릭 하도록 유도
하는 내용을 담는다. 메일 공격 대상 주소는 PC 내에 저장되어 있는 파일
들로부터 추출한다. 시험결과, Sober.P는 추출한 메일 주소의 ID와 도메인
부분을 분리 후 다시 조합하여 새로운 주소를 만들어 내는 기능이 있는 것
으로 관찰되었다.
Step 1. 감염된 PC의 웜이 PC내의 파일로부터 메일 주소를 추출한다
Step 2. 추출된 주소로 메일을 발송한다. 또한 추출된 메일의 ID 부분과
도메인 부분을 분리 및 재조합하여 새로운 주소를 만들고 해당
주소로도 웜 메일을 발송한다. 예를 들어 aaa@alpa.co.kr 와
bbb@beta.net 메일 주소를 추출한 경우 해당 주소외에 ID와 도메
인을 재조합한 aaa@beta.net 인 새로운 주소로도 메일을 보낸다.
※ 아래는 실제 테스트에서 관찰된 내용으로, fff, ggg ,hhh, iii ,jjj 는 원래
hxxx.co.kr 도메인을 사용하는 ID인데, 웜에 의하여 해당 ID들이 다른 도
메인인 kx.co.kr 과 조합되어 새로운 공격 주소로 이용됨을 확인할 수 있
었다.
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
o 메일 형식
사용자가 웜이 발송한 메일의 첨부파일을 부주의 하게 실행하였을 경우 감염
되게 된다. 웜이 발송하는 메일 형식은 다음과 같이 관찰되었다.
* 첨부 파일 크기: 53,728 byte
* 제목, 내용, 첨부 파일 명은 아래와 같다. 아래 내용은 감염 PC의 웜이 발
송하는 메일 패킷을 재조합 하여 outlook으로 확인한 결과이다.
.
<유형1> <유형2>
<유형3> <유형4>
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
<유형5>
테스트 시간대 (2005. 5.4 17:00 ~ 21:00)에 기타 추가적인 형태의 메일은 관찰되
지 않았다. 그러나 아래와 같이 독일어 형태의 공격도 수행하는 것으로 알려 지
고 있으므로 아래 유형의 메일 수신 시 주의하도록 한다.
* 메일 제목
o WM-Ticket-Auslosung
o Glueckwunsch: Ihr WM Ticket
o Mail-Fehler!
o Ihre E-Mail wurde verweigert
o Ich bin's, was zum lachen ;)
o Ihr Passwort
o WM Ticket Verlosung
* 메일 내용
o Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http://www.<generated string>
*-* MailTo: PasswordHelp
o Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.<generated string>
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
o ----------
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
End Transmission
----------
o Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten
gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer# [<generated string>]
o Nun sieh dir das mal an!
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets f
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang
Ihr ok2006 Team
St. Rainer Gellhaus
--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
* 메일 첨부 파일 명
- Fifa_Info-Text.zip
- _PassWort-Info.zip
- okTicket-info.zip
- autoemail-text.zip
- LOL.zip
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
□ OS 변경 사항
- 파일 생성
아래와 같은 파일이 생성되는 것으로 관찰되었다.
․윈도우 폴더의 Connection Wizard 에 Status 폴더가 생성되며 몇 개
의 파일이 만들어 진다. 또한 “시스템 폴더” 에도 파일이 생성된다.
아래 그림은 감염 후에 생성되는 폴더 및 파일을 나타낸다.
※ 윈도우 폴더: WinNT,2000 c:winnt
WinXP c:Windows
Sober.P 웜은 PC의 하드디스크에 저장되어 있는 파일들로 부터 메
일 주소를 추출하고, 추출된 주소를 voner 및 sacri 파일에 저장한다.
예를 들어 voner* 에 저장되는 파일은 다음과 같다.
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 8 -
- 레지스트리 변경/추가 발생
웜은 재 부팅 시에도 메모리에 다시 로딩되게 하기 위하여 레지스트리에
자신을 등록해 놓는다. 등록되는 레지스트리는 다음과 같이 확인되었다
□ 네트워크에 미치는 영향
o 감염 후 메일 발송 빈도 및 발생 트래픽은 아래와 같다. 최대 발생 트래픽은
분당 2,780,120 Byte로 타 웜에 비하여 높은 편으로 관찰되었다.
※ 수치는 시험환경에 따라 달라질 수 있다.
항 목 관찰 결과
분당 메일 공격 빈도 35 회
메일 1건의 크기
(웜 본체 + 전송 Overhead)
79,432 Bytes
분당 최대 발생 트래픽
(35회 모두 전송 성공 시)
2,780,120 Byte
(79,432 Byte X 35회)
<분당 메일 공격 시도 횟수 샘플>
아래 화면은 감염PC에서 메일서버로 전송되는 SMTP 트래픽 중 웜 전송을 시도하
는 횟수를 추출한 결과이다. 아래 그림은 10분간의 횟수를 나타내므로 1분당 35
회 정도로 볼수 있다
<웜 1회 전송 시 발생 트래픽 샘플>
표시된 “79,432”은 웜 메일 전송 (SMTP) 1회 성공 시 발생하는 데이터 크기이다
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 9 -
□ 위험 요소 및 향후전망
o Sober.P 웜은 해외에서 크게 피해를 발생시켰다.
그러나, 메일내용이 독일어 및 영문이며, 한글 윈도우 환경에서는 제대로 감
염이 되지 않는 것으로 관찰되었으므로 국내에서의 확산 위험성은 크지 않을
것으로 보인다.
□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월의 패턴 업데이트 여부를 확인하고 안되어 있을 경우 신속히
업데이트를 실시하도록 한다.
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행 시키지 않는다
- 백신 업데이트를 신속히 실시한다
□ 웜 첨부 파일 클릭 시 조치 방법
o 한글 윈도우에서는 웜 메일의 첨부를 클릭 할 경우 모든 아이콘이 화면에서
사라지게 되나 감염 및 메일 첨부 공격 등의 악성 행위는 발생하지 않는 것
으로 관찰되었다. 윈도우를 재 부팅 하면 정상으로 복원된다.
o 영문 윈도우의 경우 아래와 같이 조치하도록 한다.
Step1. PC를 안전 모드로 부팅한다. 부팅 시 F8을 누르고 있으면 아래 화
면이 뜨게 된다. 이때 “Safe mode”를 선택한다
Step2. windows 폴더의 Connection Wizard 폴더내에 웜이 생성해 놓은
Status 폴더를 삭제한다
※ 윈도우 폴더: WinNT,2000 c:winnt
WinXP c:Windows
KrCERT-AR-2005-43 http://www.krcert.or.kr
Sober.P 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 10 -
Step3. 아래와 같이 레지스트리를 삭제한다.
Start → run 클릭 후 regedit 입력
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 에서
"_WinStart" 를 삭제한다
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun에서
“WinStart” 를 삭제한다
Step3. PC를 재부팅 한다.