WMF 처리 취약점을 악용한 트로이잔 (mail.exe) 분석

WMF 처리 취약점을 악용한 트로이잔 (mail.exe) 분석

다운로드 ==>  WMF 처리 취약점을 악용한 트로이잔 (mail.exe) 분석.pdf

자료 : 한국정보보호진흥원(KISA)

- 1 -
□ 개 요
최근 해킹 당한 국내 모 기업의 웹 사이트가 방문자들에게 트로이전을 유포
시킨 피해사례가 발생하였다.
공격자는 국내 모 기업의 웹 사이트를 해킹 후 Microsoft Windows의 WMF
처리 상에 존재하는 취약점 (MS06-001)을 악용하여 트로이전을 전파하도록
사이크를 구성하였다. 이 사이트에 취약한 사용자가 접속하면 WMF 처리 취
약점에 의하여 트로이전에 감염된다. 이 트로이전에 감염된 후에는 공격자로
부터 원격통제를 받게 되는데, 원격에서 감염 PC의 파일 시스템 통제, 프로
세스 통제, 화면 통제, 키로깅, 레지스트리 통제 등 거의 모든 작업을 할 수
있는 것으로 확인되었다. 발견된 트로이전의 다양한 기능과 이 악성코드의 확
산을 방지할 수 있는 WMF처리 취약점에 대한 패치가 최근 이루어진 점을
고려해 볼 때 유사한 피해 발생에 대한 각별한 주의가 필요하다고 판단된다.
사용자는 피해를 예방하기 위하여 윈도우에 반드시 최신 패치를 적용하도록
한다.
□ 전파 방법
이 트로이전은 특정 코드가 삽입된 웹사이트를 통하여 확산된다. 공격자는
트로이전을 전파하기 위하여 WMF 처리 취약점 (MS06-001)을 악용한 것으
로 확인되었다. 인터넷 사용자가 해당 사이트에 방문시 취약점을 공격하도
록 특별히 조작된 그래픽 파일 (ill.wmf)이 다운로드 되며 취약점 공격이
성공하면 악성코드인 mail.exe가 설치된다. 트로이전이 전파되는 과정은
다음과 같다.
▶ 트로이전 전파 및 공격 절차
Step1. 공격자는 웹 사이트를 해킹하여, WMF 공격코드 및 트로이전 을
올려놓은 후, WMF 공격 코드가 이 사이트를 방문하는 사용자
의 PC로 다운로드 되도록 iframe으로 링크를 삽입한다.
Step2. 인터넷 사용자가 해당 웹 사이트를 방문하면 WMF 공격 코드
가 사용자 PC에 다운로드 되고, 이 파일에 의하여 취약점 공격
이 성공하면 사용자의 PC에 트로이전이 다운로드되어 감염되게
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
된다.
Step3. 트로이전이 설치된 피해 PC는 원격의 해커에게 통제될 수 있다.
※ 공격자는 감염PC 원격통제시 추적을 회피하기 위해 트로이전 유포용
으로 악용하였던 웹서버를 경유지 서버 용도로도 악용하였다.
(그림 1) 전파 및 공격 절차
공격자는 향후 보다 트로이전을 더 많이 확산시키기 위하여 다수의
웹 사이트를 이용할 것으로 보인다. 즉, 인터넷 사용자들이 많이 방
문하는 웹 사이트들을 해킹하여 트로이전을 감염시키기 위한 iframe
링크를 삽입할 것으로 보인다.
(그림 2) 향후 전파 유형 예상
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
□ 주요 기능 및 특징
ㅇ 주요 기능
사용자의 PC에 트로이전이 감염되면 공격자는 원격에서 피해 PC를 완벽하게
통제할 수 있다. 피해의 유형은 감염된 PC내의 파일 유출, 프로세스 통제, 레
지스트리 수정 등이 가능하며, GUI 통제도 가능한 것으로 관찰되었다. 또한
공격자는 사용자의 키보드 입력 내용을 유출할 수 있으며, 사용자 PC에 캠코
더가 설치되어 있는 경우 캠코더 통제도 가능하다. 트로이전의 주요 기능은
다음과 같다.
- 감염 PC의 파일 시스템 통제 (파일 열람, 변경, 삭제, 공격자 PC로 다운로드)
- 감염 PC 프로세스 관리
- 감염 PC 레지스트리 생성, 변경, 삭제
- 감염 PC 사용자 키보드 입력 내용 모니터링
- 화면 캡쳐, 윈도우 GUI 통제
- 감염 PC 서비스 관리
- 감염 PC에 설치되어 있는 캠코더 통제
ㅇ 기타 특징
공격자는 원격통제 도구의 트로이전 생성 기능을 이용하여 트로이전을 쉽게
자동으로 생성할 수 있다
▶ 원 클릭 트로이전 자동 생성 기능
- 공격자는 아래와 같이 원격통제 도구를 통하여 트로이전을 손쉽게
생성할 수 있다. 원격 통제용 공격자 주소는 임의의 IP주소 또는 도
메인 이름으로 설정할 수 있다.
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
(그림 3) 트로이전 자동 생성 예
※ 공격자는 트로이전 생성시 위의 원격 통제용 공격자 주소를 도
메인 이름으로 설정하는 경우가 많을 것으로 보인다. 도메인
이름으로 설정하면 공격자는 동적 DNS(DDNS)를 사용할 수 있어
통제용 IP를 유동적으로 변경하며 감염 PC를 통제할 수 있다.
(그림 4) DDNS를 이용하여 공격자 서버주소를 주기적으로 변경하는 예
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
□ 감염 절차
o 악성코드 설치 과정
트로이전에 감염되면 윈도우 “시스템 폴더”에 트로이전 파일 (Ymfqzwxa.dll)
과 “시스템 폴더” 하위 drivers 폴더에 Ymfqzwxa.sys 파일이 생성되며,
svchost.exe 프로세스가 injection 된다.
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
(그림 5) 감염 후 주요 파일 생성
□ 원격 제어 기능 분석
해킹된 국내 사이트에서 발견된 mail.exe와 pcshare.exe의 자세한 기능 분석을
실시하였다. 테스트를 위하여 구성한 환경과 기능별 테스트 결과를 정리하면
다음과 같다.
o 기능 테스팅 환경
Step1. 피해자 PC 및 원격 통제용 공격자 PC 구성.
Step2. 공격자 PC (61.xx.120.47)에 pcshare 원격 통제 도구를 설치하고,
피해자 PC (61.xx.120.46)에 mail.exe를 감염시킴.
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
Step3. 트로이전 백도어 기능 분석
(그림 6) 테스팅 환경
o 상세 기능
테스트를 통하여 확인된 “mail.exe”와 “pcshare.exe”의 백도어 상세기능은
다음과 같다.
▶ 감염 PC의 파일 시스템 통제 (파일 열람, 변경, 삭제, 공격자 PC로 다
운로드)
아래 그림은 pcshare 원격 통제 도구를 이용하여 공격자가 감염 피해자
PC(테스트용)의 파일들을 통제하는 예이며, 피해자 PC의 파일 및 폴더
목록이 출력되는 것을 확인할 수 있다. 공격자는 원격에서 피해자 PC
의 파일 및 폴더를 다운로드 하거나 업로드가 가능하고, 또한 삭제, 열
람, 이동 등 거의 모든 통제가 가능한 것으로 관찰되었다.
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
(그림 7) 파일 시스템 통제 화면
▶ 화면 캡쳐, 윈도우 GUI 통제
공격자는 원격에서 피해자 PC 화면을 실시간으로 모니터링 하거나, 그
림 파일로 캡쳐 하는 것이 가능하며, 마우스를 통하여 직접 화면을 통
제하는 것도 가능하다. 아래 예는 원격에서 감염 PC의 시작 메뉴를 클
릭 하는 예를 보여준다.
(그림 8) 윈도우 GUI 통제 화면
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
▶ 감염PC 사용자의 키보드 입력 내용 모니터링
공격자는 피해 PC의 모든 키보드 입력 내용을 모니터링 할 수 있다.
예는 피해PC의 사용자가 Keyboard 로 “This is test!!!" 입력시 해당 내
용이 공격자 PC에 출력되는 것을 보여준다.
(그림 9) 감염 PC에서 키보드 입력
(그림10) 공격자 PC에서 Keylog 확인
▶ 감염 PC 프로세스 관리, 서비스 관리
공격자는 원격에서 피해 PC의 프로세스 현황을 확인하거나 특정 프로
세스를 종료시킬 수 있다. 또한 서비스 관리도 가능하다.
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
(그림 11) 프로세스 관리/ 서비스 관리
▶ 감염 PC의 레지스트리 관리
공격자는 감염 PC의 레지스트리를 생성하거나 변경, 삭제할 수 있다.
아래 그램은 원격에서 감염 PC 레지스트리를 변경하는 예이다.
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
(그림 12) 레지스트리 관리
□ 피해 현황 및 위험 요소
o WMF 처리 취약점은 패치가 배포되기 이전에 취약점을 공격하는 많은 공
격코드 및 트로이전들이 출현하였다. 2005.1.6에 이 취약점을 보완하는 패
치가 배포되었으나, 아직 많은 이용자가 패치를 실시하지 않았을 것으로
추정되어 주의가 필요하다.
o 이번 국내에서 발견된 트로이전의 경우, 감염 시 공격자가 원격에서 감염
PC를 완전하게 통제할 수 있게 되는 것으로 확인되어 정보 유출 등 피해
가 예상된다.
o 감염 후 트로이전은 Reverse Connection을 통하여 침입차단시스템을 우회
하므로 원격통제 및 정보유출에 대한 방어가 어려울 수 있다.
o 공격자가 DDNS 를 이용하여 원격통제 공격자 주소를 유동적으로 바꾸어
가며 감염된 PC를 통제할 경우 공격자 추적이 어려워진다.
o 전문 지식 없이 자동화돤 도구를 이용하여 트로이전을 생성하고, 공격에 이
용할 수 있으므로 주의가 필요하다.
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 11 -
□ 사전 예방 방법
o 예방 대책 1
이 취약점은 마이크로소프트사에 의하여 취약점을 보완하는 패치가 발표되
었으므로 반드시 패치를 적용한다.
o 예방 대책 2
패치 적용이 어려울 경우, 사용자는 다음과 같이 WMF 파일을 표시하는 방
법 설정을 변경하여 WMF 처리 취약점으로 인한 악성코드 감염을 사전에
예방할 수 있다
※ 아래 예방방법은 임시적인 것으로써 WMF 이미지 파일을 더블 클릭 했을 때
해당 파일이 Windows 사진 및 팩스뷰어 프로그램을 사용하여 열리지 않게 하
는 것임. 근본적인 해결을 위해서는 패치의 신속한 적용이 필요.
Step1. 작업 표시줄의 시작 버튼 클릭 → 실행 클릭
(그림 13) 실행 클릭 예
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 12 -
Step2. "regsvr32 -u %windir%system32shimgvw.dll" 입력하고 확인
버튼 클릭
(그림 14) 입력 예
Step3. "c:windowssystem32shimgvw.dll의 DllUnregisterServer 성공"
이라고 대화창이 나타난 후 확인 버튼을 클릭
(그림 15) 대화창 예
※ 보안패치를 실시한 후에는 다음과 같이 재등록
"regsvr32 %windir%system32shimgvw.dll" 입력
KrCERT-AR-2006-001 http://www.krcert.or.kr
WMF처리 취약점을 악용한 트로이전 분석 보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 13 -
(그림 16) 입력 예
o 예방 대책 3
백신을 최신버전으로 업데이트하고, 실시간 감시기능을 활성화 한다.