분석 : 
YIS 동아리 팀장 이규형 호밌(ttuu44@naver.com) ( http://ris1.tistory.com/ )
YIS 동아리 팀원 박정훈 삼수맨(dkaldyfl@naver.com) ( http://blog.bpscal.com/


악성코드 소식 과 파일 제공 및 같이 밤새워 분석해주신 이규형 팀장님 감사합니다. :)
 

2012.1.20 같은 동아리 팀장 이규형 군으로 부터 신종 악성코드 소식을 듣고 파일 분석을 시작하였습니다. 

 우선 파일 아이콘 자체가 VB 으로 작성된 파일임을 금방 눈치챌 수 있죠. 추가적으로 peid 를 통해서 VB로 작성된 것임을 더욱 확실히 확인할 수 있었습니다. 처음에는 Ollydbg 를 이용해 분석하려 하였으나 디버거상의 오류로 부득이 하게 책으로만 접해보았던 IDA Pro 를 사용하게 되었습니다. 

 악성코드 증상은 파일을 실행하였을 시에 윈도우 인식이 되지 않는 문제였습니다. 실제 실행해본 결과 XP의 경우 블루스크린과 함께 재부팅시 OS 부팅 불가. 7의 경우 모든 데이터 읽기 쓰기가 작동되지 않고 컴퓨터를 정상 종료해도 종료되지 않으며 재부팅시 OS 부팅 불가 현상이 발생합니다. 

 무엇보다도 AVG를 제외한 어떠한 국내외 백신에서도 감지되지 않아, 아이콘이나 파일이름을 바꾸어 재 배포할 경우 심각한 문제가 발생할 수 있었습니다. 

 
 처음에는 엉뚱한 부분을 분석하였으나 리버싱 책을 참고하면서 특정 부분에 함수 쿼리가 몰려있으며, 어느 부분부터 함수의 시작인지 발견하게 되었고, 동시에 vba 기본 함수와는 거리가 먼 함수 테이블을 확인할 수 있었습니다. WriteBytes 라는 함수명으로 미루어 바이트를 조작하는 것을 알 수 있습니다. 


어떠한 Windows OS에도 적용되는 것을 보아서 어느 Windows OS에나 공통적으로 설치되어 있는 기능이나 OS에 구애받지 않는 기능을 이용하여 공격하고 있음을 짐작할 수 있습니다. 특히나 OffsetLow High 와 같은 함수로 미루어 볼 때 기존 바이트를 읽어오고 사용함을 알 수 있습니다. 


 함수명을 검색 중 해당 함수가 개인이 제작한 MBR 조작 함수라는 정보를 얻게 되었고 과거 DDoS 좀비파일의 자가 파괴형식이 MBR 손상이였다는 정보에 비추어 볼 때 이번 공격도 MBR을 손상 시킴으로써 피해를 발생시키는 것임을 짐작할 수 있습니다. 더군다나 MBR 부분은 특정 OS에 구애받지 않는 부분 입니다. 

 또, MBR 조작 원본 소스코드의 주석 중 '512 바이트를 그대로 옮겨놓는다.' 라는 문구는 하드디스크의 512바이트가 MBR 부분이라는 정보에 비추어 볼 때 MBR 을 사용하는 것이 확실해 보입니다. 


MBR 손상이라는 가설을 더욱 확실하게 하기 위해 MBR 보호프로그램을 가동한 채로 악성코드를 실행해 보았습니다. 악성코드는 보호프로그램에 의해 어떠한 손상작업도 할 수 없었고 결론적으로 OS는 어떠한 손상도 입지 않았습니다.

악성코드는 MBR 을 이용한다는 것이 확실하게 드러난 것입니다. 




악성코드 실행으로 손상된 컴퓨터의 MBR 영역을 보니 기존 DDoS 의 MBR 파괴당시 처럼 16비트상으로 00 의 아무 의미없는 코드로 MBR 부분이 덮어씌워졌음을 알 수 있습니다. 

현재 해당 악성코드 및 함수파일은 오래전 부터 배포되어져 왔으나 신고의 부재인 것인지 백신에서 감지하지 못하고 있습니다.
https://www.virustotal.com/file/717e8afdf58cb17108fb17dbe3ef50edafc54b803f4f2d6ae0aae49e6d50db4f/analysis/1327118871/ 

EXE 파일을 실행하는 것은 어느정도의 위험부담을 안고 가는 것이므로, 평소 실행하실 때에 다른 사용자가 있고 정상적으로 작동하고 있는 것인지 반드시 확인하셔야 하며, 블로그나 카페에 단독적으로 올려져 있는 첨부파일은 바이러스일 가능성이 높으므로 되도록이면 소프트웨어는 소프트웨어 개발사 홈페이지에서 직접 다운로드 받으시고, 핵과 관련된 파일은 사용을 자제해주시기 바랍니다. 

+ Recent posts