구글업데이트 위장한 악성코드(Zero-Day) :: Google_Mapu.exe

전형적인 Reverse Telnet 방식으로 RAT 기능이 포함된 악성파일에 대하여 살펴보겠습니다.

 

얼마 전 악성주소가 포함 된 메일 한 통을 받았습니다.

현재 내부적으로도 관련 인력을 구인하고 있는 상태라 단순한 스팸메일은 아닌 것으로 보이네요..

APT 공격의 기본적인 특징이라고 할 수 있습니다.

하지만 제목이나 URL등을 보니 그렇게 꼼꼼하게 보이진 않네요.. 오타도 있구요..

 

우선 해당 파일을 다운로드 받아 압축 해제하면 윈도우 도움말 파일인 chm 으로 되어 있는 것을 확인 할 수 있습니다.

Virustotal 에서는 현재 기준으로 6% 미만의 탐지율을 보이고 있습니다.

Info.chm 파일을 실행하면 기본적인 이력서를 보여주며 사용자 몰래 악성파일 설치를 시도 합니다.

생성파일 정보

C:\WINDOWS\Downloaded Program Files\Google_Mapu.exe

해당 파일은 은닉 되어 있어 탐색기로는 확인할 수 없고 루트킷 탐지 툴을 이용하여야 합니다.

루트킷 툴인 Gmer이나 IceSword 를 이용하여 보면 해당파일이 생성되어 있는 것을 확인할 수 있습니다.

생성된 파일은 Virustotal 에서 7% 미만 정도 탐지율을 보이고 있으며 국내 제품으로는 유일하게 AhnLab에서만 Win-Trojan/Binma.39192 진단명으로 탐지가 되고 있습니다.

레지스트리 생성 정보

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\]  Google_Update="c:\windows\downloaded program files\google_mapu.exe"

구글 업데이트로 위장하여 자동 실행 되도록 레지스트리에 등록되어 있습니다.

프로세스로 등록이 되어 주기적으로 C&C 서버로 DNS 질의를 하고 있는 것을 확인할 수 있으며,

IP 추적 결과 국내서버로 확인이 되고 있습니다.

악성파일 동작을 확인하기 위해 호스트 파일을 수정하여 확인해 보았습니다.

우선 netcat 으로 80포트를 오픈 한 후에 일정 시간 기다리면 패스워드 입력창이 나옵니다.

해커가 원격으로 시스템을 컨트롤 할 수 있도록 동작하는 것으로 추정되며, 추가로 패스워드를 확보하여

접속 해본 결과 감염 서버로 접속이 가능하였습니다.

아래 이미지는 실제 해커 서버에 접속되어 동작하는 패킷을 캡쳐한 화면입니다.

주기적으로 C&C서버에 접속을 시도하고 있으며 접속이 되면 자동으로 패스워드가 일치 할 때까지 매번 다른 패스워드가 입력이 되는 것으로 보아 추정 해 볼 수 있는건 해커가 배포한 파일들의 비번이 각각 다르다는 것을 알 수 있으며,

특정 기업의 APT공격은 아닌 것으로 생각됩니다.

일단 해당 패스워드가 맞으면 이후 추가작업을 진행하는 것을 확인할 수 있습니다.

 

삭제 방법

1. 해당 프로세스 종료

:단독으로 실행되기 때문에 강제로 프로세스를 종료하여도 상관없습니다.

2. 레지스트리 삭제

:[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\]
 Google_Update="c:\windows\downloaded program files\google_mapu.exe"

3. 파일 삭제

: 해당 파일은 탐색기로 보이지 않아 루트킷 탐지툴을 이용하여 제거 해야 합니다.

GMER 툴을 다운받아 실행 후 Files 탭에서 아래의 경로로 이동하여 해당 파일을 삭제 하시면 됩니다.

C:\WINDOWS\Downloaded Program Files\Google_Mapu.exe

GMER 다운받기

예방 방법

탐지율이 6%미만이라 거의 제로데이 공격에 가까워 사용자들의 주의가 필요합니다.

1. 수상한 메일은 확인하지 않습니다.

2. 메일 내용의 첨부파일이나 URL은 다운 받지 않습니다.

3. 수상한 메일이라고 판단되면 주위 사람들에게 전파합니다.

4. 파일을 다운 받았으면 꼭 바이러스 검사를 진행합니다.