2주차 DDoS 악성코드사례① - 3.4 디도스 악성코드

제 3 장 악성코드 상세 분석

제 2 절 3.4 디도스 악성코드

2011년 3월 4일 국내 정부부처, 공공기관, 금융 기관, 포탈, 쇼핑몰 웹 사이트를 대상으로 디도스 공격(Distributed Denial of Service), 감염 PC의 디스크 파괴 등을 수행한 악성코드를 말한다.

 

3.4 디도스에 사용된 최초 파일의 실행 과정은 (그림 3-13)과 같으며, 호스트 파일 변조 및 7개의 파일을 드롭하며 각각 C&C 서버와 송수신, 디도스 공격, 디스크 파괴, 로그 기록, 디도스 공격 시간, 디도스 공격 대상, 감염 시간을 기록한다.

 

가. 호스트 파일 변조

과정

1. 호스트 파일 변조 악성코드는 특정 백신 제품의 업데이트를 방해하기 위해 호스트 파일을 찾고, 특정 URL에 접속할 경우 “127.0.0.1”로 연결 되도록 내용을 변조한다.

나. 백도어

과정

1. 드롭된 *a*l*r*p.dat 파일을 참조하여 시스템 시간을 30분 간격으로 비교하고, 조건이 성립되면 C&C서버와 소켓통신을 한다.

 

 

2. C&C 서버에 연결되면 성공할 경우 C&C서버에 *a*l*r*p.dat에 수집된 정보를 전송하며, 암호화된 파일을 수신 후 저장한다.

3. C&C 서버에서 암호화된 파일을 복호화 루틴을 통해 실행파일로 변경 하고 실행한다.

 

 

 

다. 디도스

과정

1. 드롭된 특정 파일에 저장된 공격 시간을 참조하여 현재 시스템 시간과 비교하며, 다른 파일에 저장된 데이터를 참조해 공격 사이트를 복호화하고 디도스 공격을 수행한다.

 

 

2. *lj*q**.dat 파일에서 암호화된 정보를 가져와 (그림 3-23)의 루틴 통해 디도스 공격 주소를 복호화한다.

3. 특정 주소에 DNS 쿼리를 요청하고, 공격 패킷을 생성해 복호화한 URL에 디도스 공격을 수행한다.

 

라. 디스크 파괴

과정

1. 특정 확장자를 검색하여 파일의 내용을 Null 로 채운 후 임의의 암호가 걸린 CAB 파일로 확장자를 교체하며, 감염 PC의 디스크의 MBR 영역을 파괴한다

2. (그림 3-26)은 파일의 내용을 Null 변경하고 CAB 파일로 확장자를 변경하는 루틴이다.

3. (그림 3-27)은 감염 PC의 디스크 영역에 접근하여 내용을 변조하는 루틴이다.

 

 

2. 분석 결과

가. C&C 서버

3.4 디도스 악성코드에서 사용되는 C&C 서버의 주소는 아래 표와 같다. 악성코드에 감염된 PC는 해당 C&C 서버에 수집된 정보를 전송하거나 추가 명령어를 수신하며, 추가 악성코드를 다운로드한다.

 

 

나. 디도스 공격 주소

3.4 디도스 악성코드에서 사용되는 공격대상 URL 주소는 아래 표와 같다. 악성코드에 감염된 PC는 해당 주소에 디도스 공격을 수행한다.

 

다. 악성코드 통계

3.4 디도스 악성코드 61개 중 20개의 샘플이 백도어(33%), 19개의 샘플이 드롭퍼(19%), 8개의 샘플이 다운로더(13%), 4개의 샘플이 디스크 파괴 (6%), 디도스, 호스트 변조, 기타(키로거/원격제어/인젝터)가 5%로 3개, 실행되지 않는 악성코드가 1개이며, 전체 악성코드 유형 통계는 (그림 3-28)이다.