MS06-040worm(wgareg.exe) 분석

MS06-040worm(wgareg.exe) 분석

다운로드 ==>  MS06-040worm(wgareg.exe) 분석.pdf

자료 : 한국정보보호진흥원(KISA)

1. 개요
윈도우 서버 서비스의 취약점으로 인한 원격코드 실행 취약점(MS06-040)을 악용하
여 확산되는 웜이 8월12일 경 출현하여 전파활동을 시작하였다. 이 웜은 감염 후 IRC
서버에 접속하여 공격자로부터 명령을 전달받으며, 감염 PC의 파일검색, 파일 다운로
드, 타 시스템 DoS 공격 등의 악성기능을 수행할 수 있는 것으로 확인되었다.
윈도우 서버 서비스 취약점 (MS06-040)은 MS로부터 패치가 최근(2006.8.9)에 배포되
었으므로 아직 패치가 적용되지 않은 취약 PC가 다수 일 것으로 추정되어 감염피해에
대한 주의가 필요하다.
2. 전파 방법
o 윈도우 서버 서비스 취약점 (MS06-040)을 통한 전파
이 웜은 윈도우 서버 서비스 취약점 (MS06-040) 공격을 통하여 전파된다. 윈도우의
기본 네트워크 서비스를 공격하므로 취약한 PC일 경우는 사용자 개입 없이 자동으로
웜에 감염되게 된다.
*아래패킷은 웜 감염 시 네트워크 트래픽을 Dump 한 결과이다. MS06-040 취약점 공격을
위하여 파이프 rowser를 오픈요청 후 srvsvc (4b324FC8-1670-01D3-1278-5A47BF6EE188)
에 대한 요청이 발생한다. 공격 성공 후에는 웜이 전송되는 것으로 관찰되었다.
(그림) browser를 오픈 요청
(그림) srvsvc 에 대한 요청
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
(그림) Exploit 과정
(그림) 웜 전송
o AIM (AOL) 메신져를 통한 전파
AIM 메신져를 웜 전파에 악용하기 위한 기능도 관찰되었다. 웜에는 AIM 메신져 윈
도우를 찾아 문자열을 입력하는 기능이 있는데, 공격자는 웜 숙주사이트 링크를 입력
하여 메신져 상대방에게 전달함으로써 숙주 사이트 클릭을 유도할 것으로 보인다 .
※ 상대 이용자가 웜에 의해서 전송된 사이트 URL을 클릭 할 경우에 감염
- 메신져 전파 루틴 분석
웜 코드 내에는 사용 중인 메신져를 통하여 메신져 상대방에게 문자열을 전송하
는 루틴이 존재한다. 메신져를 사용하고 있는 상대방 이용자들에게 웜 숙주 URL
주소를 전송하여 감염을 유도하는 기능인 것으로 보인다.
i) 사용 중인 AIM(AOL) 메신져 윈도우를 찾는다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
ii) 메신져에 문자열이 입력된 후
buttondown, buttonup 이벤트가 발생한다.
☞ 결과적으로 웜에 의해서 입력된 내용이 메신져 상대에게 전송됨.
※메신져를 통하여 전송되는 구체적인 메세지 내용(ex.웜 숙주 URL 등)은
공격자가 웜에 원격 명령전달을 통하여 알려줄 것으로 추정.
3. 감염 시 악성 기능
o 악성코드 설치
- 파일 생성
윈도우 시스템 폴더에 wgareg.exe 파일 생성
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
- 부팅 시 wgareg.exe를 자동으로 로드하도록 서비스에 등록한다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
o 백도어 기능
웜은 IRC 서버에 접속하여 공격자로부터 명령을 전달받는다. 명령전달을 받기 위해
접속하는 사이트는 다음과 같다.
- bniu.ho[생략]ehot.com,
- ypgw.w[생략]an.com
* 접속 포트: TCP 18067
IRC 서버 접속 후에는 채널 n1 에 join 한다.
공격자로부터 명령을 전달받아, 악성기능을 수행한다.
악성기능 예는 다음과 같다.
* 공격자는 감염 PC내의 파일을 검색하여, 검색 결과를 확인할 수 있다.
웜 코드 내의 검색을 위한 루틴은 다음과 같다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
* 검색결과는 공격자에게 [findfile]%356s%.240s 형태로 출력된다.
* 외부 사이트로부터 감염PC로 파일을 다운로드 하기 위한 루틴이 존재한다.
* 웜 코드내에는 아래와 같이 syn, dos, scan 공격관련 문자렬이 코딩되어 있다.
<공격 명령 관련 문자열 및 패킷 발생률 관련 출력 포맷>
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
o 감염 후 특이사항
- DCOM 기능을 비활성화 시킨다
HKEY_LOCAL_MACHINESoftwareMicrosoftOLE
"EnableDCOM"="N"으로 설정
- 공유 네트워크에 대한 anonymous 접근을 제한한다.
HKLMSYSTEMCURRENTCONTROLSETCONTROLLSA
"restrictanonymous" = "00000001" 설정
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 관리목적 공유폴더 (Admin$ 공유)를 사용 불가능하게 한다.
HKLMSYSTEMcurrentcontrolsetserviceslanmanserverparameters
autoshareserver, autosharewks 값을 0로 설정
- 윈도우 XP SP2 개인 방화벽을 OFF 시킨다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
(그림) 감염 시 개인방화벽 OFF 예
4. 타 시스템 감염을 위한 공격력
Wgareg.exe가 타 PC를 감염시키기 위하여 발생시키는 공격패킷 발생빈도는 다른 웜
에 비하여 크지 않은 것으로 관찰되었으나, 명령전달이 가능해질 경우는 공격빈도가
보다 높아질 가능성이 있다. (현재 명령전달사이트는 차단조치 됨)
o 타 웜과의 공격빈도 비교
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
5. 위험 요소
o MS06-040 패치는 최근에 배포되어(2006.8.9) 아직 업데이트가 안된 PC가 다수일
것으로 보여 주의가 필요하다.
※ wgareg.exe 웜 외에도 향후 이 취약점을 악용하여 전파되는 웜들이 계속적으로
출현할 것으로 예상됨
6. 사전 예방 방법
o WindowsOS 최신 패치를 적용하도록 한다.
o 백신을 최신으로 업데이트 하며, 실시간 감시기능을 활성화 한다.
o NW Segment Gateway 단에서 TCP 139, 445 포트를 차단하여 로컬 네트워크에서
의 확산 가능성을 최소하도록 한다.
※운영되고 있는 시스템 중 해당 포트를 사용하는 시스템이 있는지 확인 후 차단.
7. 감염 시 치료 방법
1. 안전모드로 부팅한다.
2. 윈도우 시스템 폴더의 wgareg.exe 파일을 삭제한다.
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
3. 재부팅 한다.
4. 악성코드가 생성/변경한 레지스트리를 삭제 및 원래의 상태로 복원시킨다.
- 윈도우 하단에 있는 “시작” → “실행” 메뉴 클릭 후 regedit를 입력하여 레지스트리
편집기를 실행시킴
- 레지스트리 편집기를 이용하여,
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
의 wgareg 폴더를 삭제
- HKEY_LOCAL_MACHINESoftwareMicrosoftOLE
“EnableDCOM" 선택 후 마우스 오른쪽 버튼을 클릭하여
데이터 값을 "y"로 수정
- HKEY_LOCAL_MACHINE
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
softwarepoliciesmicrosoftwindowsfirewalldomainprofile
내의 “enablefirewall = 00000000”을 삭제
- HKLMsoftwarepoliciesmicrosoftwindowsfirewallstandardprofile
내의 “enablefirewall = 0000000”을 삭제
- HKLMSYSTEMcurrentcontrolsetserviceslanmanserverparameters 내의
autoshareserver = dword:00000000 삭제
autosharewks = dword:00000000 삭제
KrCERT-AR-2006-080 http://www.krcert.or.kr
MS06-040 웜 (wgareg.exe) 분석 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center 내의
AntivirusDisableNotofy = "dword:00000001" 삭제
AntivirusOverride = "dword:00000001" 삭제
FirewallDisableNotify = "dword:00000001" 삭제
FirewallDisableOverride = "dword:00000001" 삭제