악성 Bot 감염 PC 사고조사

악성 Bot 감염 PC 사고조사

다운로드 ==>  악성 Bot 감염 PC 사고조사.pdf

[자료: 한국정보보호진흥원(KISA)]

KISC
인터넷침해사고대응지원센터 - 2 -
1. 개요
2006년 6월17일~6월28일 동안 악성 Bot이 감염에 사용하는 포트들에 대한 공격 트래픽이
허니넷에서 대량으로 감지되었다. 이에 따라 허니넷을 공격하는 공격자 IP 목록을 확보하여 분석을
수행하였다. 분석한 공격자 IP 들에는 모두 악성Bot이 설치되어 있음을 확인하였고, 그 중 하나의
IP에서는 1,700여개의 네트워크 세션을 연결하여 감염을 시도하는 트래픽을 확인 할 수 있었다.
이 IP는 열려있는 세션만 5,700개가 넘어 PC에서 인터넷 사용이 원활하지 않을 정도여서 문제가
되는 악성Bot 프로그램을 수집하여 추가적인 분석을 수행하였다.
2. 피해 시스템 및 악성 Botnet 명령/제어 서버 정보
o 용도 : 사무용 PC(Pentium 4 1.7GHz, 512MB RAM)
o 운영체제 : Windows 2000 Professional
o 악성 Bot 감염 피시 : 국내 모 개발업체
3. 사고 당시 주요 증상
o 악성 Bot 감염되어 5,700여개의 포트를 Open
o 1,700개 세션을 연결하여 135, 1025 포트를 스캔하여 감염시도
o 악성 Bot에서 다수의 포트를 Open함에 따라 감염 PC에서 인터넷이 정상적으로 수행되지 않음
4. 악성 Bot 감염 시스템 피해 분석
1) 1차 감염 상태
o KISA 운영 허니넷에 유입되는 트래픽중 TCP/139, TCP/80 공격 IP 갯수가 6월17일부터
증가하였다.
0
1000
2000
3000
4000
5000
6000
6/14 6/17 6/20 6/23 6/26 6/29
139
80
135
1025
KrCERT-IN-2006-04 http://www.krcert.or.kr
악성 Bot 감염 PC 사고조사 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 3 -
o 이에 따라 원인 파악을 위해 TCP/139, 80 포트를 공격하는 IP를 직접 방문하여 사고조사를
실시하였고 조사 IP중 하나인 모 개발사의 사무용 PC에서 악성 Bot 감염을 확인하고, 이에 대한
분석을 실시하였다.
o 감염된 PC에서는 1개의 Bot에서 5,759개의 세션을 Open 하고 있었고, 그중 1,773개의 세션은
TCP 135, 1025 포트 스캔을 통한 감염시도를 하고 있는 상태였다.
o 사고조사 전부터 감염된 PC의 사용자는 속도가 느려졌다는 이야기를 하였고 실제로 인터넷
익스플로어 등을 이용한 인터넷 사용을 하기 어려운 정도였다.
o 포트를 사용중인 프로그램을 검색한 결과 “c:WINNTsystem32scchost.exe" 파일로
확인되었다. 일반적인 Bot 과 마찬가지로 윈도우즈 레지스트리에 등록되어 시스템 부팅시에
자동으로 실행되고 있었다.
KrCERT-IN-2006-04 http://www.krcert.or.kr
악성 Bot 감염 PC 사고조사 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 4 -
o 감염자 PC에는 국내 한 백신업체의 백신 프로그램이 설치되어 있었으나 탐지를 하지 못하고
있었고, 다른 백신프로그램으로 탐지한 결과 악성Bot의 일종인 "SDBot.58DFF6C4"로 탐지되
었다.
o “scchost.exe"가 대량의 세션을 맺고 스캔을 하고 있어 네트워크 사용량뿐만 아니라 CPU 사
용량도 16%정도 사용하고 있었다
o 수집한 “scchost.exe"의 분석결과는 아래 표와 같다. “scchost.exe"는 또한 VMWARE 환경
에서는 실행되지 않고, 네트워크 패킷캡춰 도구인 Ethereal 이 실행중일 경우 Ethereal을 강제
종료하는 등 분석작업을 어렵게 하도록 되어 있었다.
파일명 크기 MD5SUM 비고
scchost.exe 94,092 5a156a5ae82ea4d9cb54b7bff6f1b0da
2) 2차 추가 감염
o “scchost.exe"는 IRC 채널에 접속하여 별도의 파일을 다운로드 받는 역할과, 주변 IP 대역을
스캔하여 자신을 전파하는 기능을 가지고 있다.
- 접속하는 악성Bot 명령/제어 서버 : sexy.XXX.com(83.XXX.XXX.134), TCP/1863 포트
- 악성Bot 명령/제어 서버 접속 패스워드 : sexy
- USERNAME : P4-zxtvlt ("zxtvlt" 부분은 임의로 변경됨)
- NICKNAME : P4-zxtvlt (USERNAME 과 동일)
- 접속 Bot 채널명 : #p4
- Bot 채널 접속 패스워드 : haha
o 아래 화면은 Ethereal이 아닌 다른 프로그램으로 네트워크 패킷을 캡춰한 화면으로, 악성
Bot이 접속하고자하는 IRC 서버와 채널명, Username, Nickname 등을 확인할 수 있다.
o 실험환경에서 “scchost.exe"이 접속하는 IRC 채널에 접속하여 채널내의 통신을 모니터링 해 본
결과, 아래 화면과 같이 ”http://71.XX.XX.238/navy.exe"를 다운받아 실행하도록 되어 있음을
알수 있었다.
KrCERT-IN-2006-04 http://www.krcert.or.kr
악성 Bot 감염 PC 사고조사 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 5 -
o IRC 채널의 제목(Topic)은 해커의 명령어 전파로 사용되고 있었으며, “.scan.startall" 로 Bot이
각종 취약점을 이용하여 전파하는 부분과, “navy.exe” 파일을 다운로드 하는 두가지 명령으로
구성되어 있었다. Bot을 제어하는 해커는 이 제목(Topic)을 바꾸어서 원하는 형태의 공격을
수행하거나 파일을 다운로드 할 수 있다. 실제로 KISA 내부 분석환경에서는 공격을 재현하였을
때에는 실제 조사하였던 사이트와는 달리 TCP/135, 1025, 445, 6129, 139 트래픽이 관찰
되었다.
o 다운로드된 “navy.exe" 다운로드 후 곧바로 실행되며, ”promo.XXX.com" 등에서 각종 애드
웨어와 스파이웨어를 다운로드 한다.
KrCERT-IN-2006-04 http://www.krcert.or.kr
악성 Bot 감염 PC 사고조사 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 6 -
o 다운로드된 파일들은 백신 프로그램에서 대부분 트로이안 다운로더로 탐지된다.
3) 3차 감염 서버 접속
o 애드웨어/스파이웨어를 다운로드 한 후에는 또다른 서버인 “command.XXX.com"에 접속하여
광고창 사이트정보를 다운받아 해당 광고사이트의 광고를 Popup 형태로 보여준다. 보여주는
Popup 광고창 들의 예는 다음과 같다.
o 이 후 주기적으로 광고사이트에 접속하여 광고창을 띄우는 등 악성 행위가 관찰된다.
KrCERT-IN-2006-04 http://www.krcert.or.kr
악성 Bot 감염 PC 사고조사 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 7 -
5. 결론 및 보안 대책
o 최초 전파시에 사용되었던 악성 Bot인 “scchost.exe" 파일은 윈도우즈 취약점을 스캔하여
전파를 시도하였다. 전파에 사용되었던 포트는 TCP/135, 139, 1025, 445, 6129 로 취약점
내용은 다음과 같다. 이는 대부분 윈도우즈 보안 업데이트 등으로 예방이 가능하므로 최신
보안 업데이트의 적용이 반드시 필요하다. 특히 이번 악성 Bot의 경우 국내 일부 백신에서
탐지가 되지 않았었기 때문에 백신만을 믿고 보안업데이트를 소홀히 할 경우 감염의 우려가
있다.
포트 관련 취약점 및 웜/악성 Bot
135 RPC DCOM 취약점(MS03-026, MS03-039), Polybot, Spybot 등
139 NetBIOS Brute force login attempts
445 LSASS(MS03-026, 039, 049 등) 취약점, Agobot, Polybot, Spybot,
Zotob, IRCBot, SDBot 등
901 NetDevil 취약점 이용 Bot
6129 Dameware, Mockbot 등
1025 DCOM (MS03-026) 취약점 이용 Bot
o 이번 사례에서는 감염시 네트워크 트래픽을 많이 사용하는 관계로 컴퓨터 사용속도가 느려지고
인터넷 연결이 잘 되지 않는 등의 증상이 있었다. 일반사용자의 경우 이런 경우가 발생하면
백신프로그램을 사용하여 치료하거나 직접 치료가 어려울 경우 보호나라 홈페이지
(http://www.boho.or.kr/)를 통해 원격지원을 받을수도 있다.
o 악성 Bot 파일인 “scchost.exe"는 일반적으로 분석환경에 많이 이용되는 VMWARE에서
실행되지 않을 뿐 아니라 분석도구 중 하나인 Ethereal 프로그램을 강제 종료 시키는 등
분석을 방해하는 행위를 하고 있어 주의가 필요하였다. 또한 애드웨어가 다수 설치되어 점차
돈벌이를 목적으로 감염되는 Bot의 특성을 다시한번 확인할 수 있었다.