포스팅 내용

국내외 보안동향

시스템 파일을 복구할 수 없도록 감염시키는 KBOT 악성코드 발견

KBOT virus takes out system files with no hope of recovery


카스퍼스키 연구원들이 새로운 악성코드인 KBOT을 발견했습니다. 


카스퍼스키의 Anna Malina는 윈도우 실행파일에 악성코드를 주입하여 확산되는 KBOT에 대해 실제 공격에서 발견된 첫 번째 “살아있는” 악성코드라 밝혔습니다.


KBOT은 인터넷에 연결된 시스템, 로컬 네트워크, 이동식 드라이브를 통해 확산됩니다. 악성코드가 시스템을 감염시키는데 성공하면 자기 자신을 시작 폴더 및 작업 스케줄러에 추가해 논리 드라이브 및 공유 네트워크 폴더 내 모든 .exe 파일을 감염시킵니다.


드라이브를 스캐닝 하는 동안, 악성코드는 다형성 코드를(polymorphic code) .exe 파일에 추가하고 Win32 앱 기능인 IWbemObjectSink 인터페이스의 기능을 중단시킵니다.


또한 논리 드라이브간에서 일어나는 연결 이벤트를 리스닝하며, NetServerEnum 및 NetShareEnum API 기능을 사용하여 다른 네트워크 리소스로부터 전파를 위한 경로를 내려 받습니다.


Malina는 “다른 많은 악성코드와 마찬가지로, KBOT은 엔트리 코드를 패치하여 코드 섹션의 시작 부분에 추가된 다형성 코드로 전환되도록 구현합니다.”


“그 결과 엔트리 포인트의 원본 코드와 코드 섹션의 시작 부분이 저장되지 않습니다. 따라서 감염된 파일의 원래 기능이 유지될 수 없습니다.”라 밝혔습니다.


KBOT은 RC4 암호화, 보안 소프트웨어를 종료하기 위해 관련 DLL 스캔, 실행 중인 정식 프로세스에 코드 인젝션 등 악성 활동을 숨기기 위한 다양한 난독화 툴 및 기술을 사용합니다.


.exe 파일을 조작하는 것으로 충분하지 않을 경우, 이 악성코드는 피해자의 개인 데이터를 훔칠 목적으로 웹 인젝션을 수행합니다. 이로써 온라인 금융 및 뱅킹 서비스 액세스에 사용되는 크리덴셜을 훔칠 수 있습니다.


KBOT은 웹사이트 페이지 스푸핑 기능을 포함하고 있으며, 이를 위해 크롬과 파이어폭스 등 브라우저 내 코드 기능 및 트래픽 처리를 위한 시스템 기능 코드를 패치합니다.


이 악성코드는 데이터를 훔치기 전 C&C 서버로 이어지는 연결을 구성합니다. 관련 도메인은 hosts.ini 파일에 저장되어 있습니다. C&C 구성 및 연결 파라미터는 암호화되어 있으며 bot ID, 컴퓨터 이름, OS, 로컬 사용자 목록, 설치된 보안 소프트웨어 목록을 전송합니다.


C&C에는 봇 모듈을 업데이트하거나 자가 삭제를 실행하기 위한 파일 삭제 및 업데이트 명령이 포함되어 있습니다. KBOT은 크리덴셜, 파일, 시스템 정보, 가상 화폐 지갑 관련 데이터를 포함한 사용자 데이터를 수집하는 추가 악성코드 모듈을 다운로드할 수도 있습니다.


따라서 이 새로운 악성코드 변종은 지켜볼 필요가 있습니다.


“KBOT은 시스템과 실행 파일을 복구 불가능한 상태로 감염시켜 로컬 네트워크에서 매우 빠른 속도로 확산되기 때문에 심각한 위협이라 볼 수 있습니다.”


“이 악성코드는 시스템 프로세스 인젝션을 통해 시스템 속도를 크게 저하시키고, 공격자가 원격 데스크탑 세션을 통해 시스템을 제어하고, 개인 데이터를 훔치고, 사용자의 은행 데이터를 훔칠 목적으로 웹 인젝션을 실행할 수 있도록 합니다.”


현재 알약에서는 해당 악성코드들에 대하여 Trojan.Agent.Bolik,Trojan.Agent.BypassUAC으로 탐지중에 있습니다. 




출처 :


티스토리 방명록 작성
name password homepage