Spyware.Infostealer.VicePass
최근 사물인터넷(IoT)의 보급이 확대됨에 따라 의료서비스, 스마트그리드, 스마트홈 등을 노리는 많은 해킹 사례들이 보고되고 있습니다. 특히 공유기를 통한 해킹은 한번에 내부 디바이스 및 사용자 개인 정보를 탈취할 수 있어 해커들의 주된 해킹 수단으로 사용되고 있습니다. 그러나 가정용 공유기의 상당수가 해킹에 취약하고, 개인 사용자 또한 보안 의식이 부족하여 보안 위협은 날로 증가하고 있는 상황입니다.
이번 분석대상 악성코드는 공유기 및 내부 접속 장비들의 정보를 탈취하기 때문에 해외에서 이슈가 된 바 있습니다. 아직 국내에서 발견된 것은 아니지만 이로 인한 다양한 공격이 예상되고 있습니다. 그러므로 이번 악성코드 분석리포트에서는 상세 분석을 통해 앞으로 나타날 보안 위협과 대응 방안에 대해 살펴보도록 하겠습니다.
유포 및 정보 수집
이 파일은 Flash update를 가장한 악성코드로 주로 피싱 사이트를 통해 유포됩니다. Flash update를 통해 유포하는 방법은 예전부터 기본적으로 사용되었지만, “XXX_keygen.exe”와 같이 Flash update 이외의 다른 이름으로 토렌트 또는 SNS을 통해서 유포될 수도 있습니다.
파일이 실행되면 [그림 1]과 같은 절차로 악성행위를 시도합니다. 주요 기능으로 공유기내의 사설망 192.168.0.0 대역대의 장치들을 검색하여 ID, Password를 대입하고 그 결과를 C&C 서버로 전송합니다.
[그림 1] 흐름도
악성코드 분석
※ 사전 공격(Dictionary attack)준비 및 OS정보 전송
악성코드가 실행되면 공유기와 내부 디바이스들의 관리자 ID와 Password를 확인하기 위해 [그림 2]와 같이 l과 p 파일을 생성합니다. 생성된 파일에는 접속을 시도하는 ID와 Password 정보가 포함되어 있으며 이는 사전 공격의 문자열 비교 대상으로 활용됩니다.
사전 공격: 사전(Dictionary)에 있는 단어를 대입하여 암호를 알아내는 공격기법으로 모든 문자열을 대입하는 무차별 대입 공격(Brute force attack) 방식보다 대입 값의 범위가 줄어 빠르게 암호를 찾아낼 수 있다는 장점이 있습니다.
이후 컴퓨터의 OS 버전 정보를 확인하여 C&C 서버로 전송합니다.
[그림 2] 파일 생성 및 OS 정보 전송
l파일은 아래와 같은 ID 정보를 가지고 있습니다.
admin Admin administrator Administrator webadmin user |
root blank guest supervisor cmaker netrangr |
bbsd-client hsa wlse d-link D-Link |
[표 1] 파일명 L-Login ID 정보
p파일은 아래와 같은 Password 정보를 가지고 있습니다.
Admin Administrator adm Amd root password password0 password1 user User supervisor 0000 1111 2222 3333 4444 7777 1000 2000 1212 2112 6969 1234 12345 000000 111111 222222 666666 777777 121212 131313 232323 123123 321321 123321 321123 112233 123456 |
654321 987654 159753 1111111 7777777 1234567 11111111 88888888 12345678 111111111 999999999 123456789 987654321 1234567890 qwerty qweqwe 123qwe qwe123 123ewq qwe321 ewq321 ewq123 qazwsx qwaszx qweasdzxc qweasd D-Link public private secret alpine qwertyuiop klaster 1qaz2wsx 1q2w3e4r 1q2w3e4r5t 1q2w3e4r5t6y7u8i9o0p zxcv |
zxcvb zxcvbn zxcvbnm 1234qwer asdfgh marina tinkle monkey abc123 iloveyou password1 zaq12wsx zaq123wsx zaq1wsx monkey dragon qwerty123 target123 gfhjkm 123123Aa system Cisco _Cisco cmaker cisco tivonpw wisedb blender hsadb default attack changeme changeme2 diamond letmein pnadmin secur4u ripeop | riverhead god angel link work job the ilove iloveyou sex connect master killer pepper career sky |
[표 2] 파일명 P - Password 정보
- C&C 서버
Domain : bingobum.net
IP : 91.219.195.42
- C&C 서버 전송 방식
GET /index.php?data=데이터(OS버전 정보 , 디바이스 정보 등)
[표 3] C&C 서버 정보와 정보 전송 방식
※ 내부 디바이스 검색 및 전송
OS 정보를 수집한 후에는 공유기 및 내부망에 존재하는 디바이스들을 검색합니다. 디바이스 검색은 [표 4]와 같이 내부망 특정 IP 대역을 대상으로 HTTP 패킷을 순차적으로 Request를 보냄으로써 공유기나 내부 디바이스의 관리자 웹페이지 존재 여부를 확인합니다. 각 Request에 대한 Response는 [표 5]의 string을 기준으로 어떤 디바이스를 사용 중인지를 판단하고, 확인된 결과는 C&C서버에 전송됩니다.
[그림 3] 디바이스 검색
분기 |
검색 범위 |
1 |
192.168.0.0 ~ 192.168.0.11 |
2 |
192.168.1.0 ~ 192.168.1.11 |
3 |
192.168.2.0 ~ 192.168.2.11 |
4 |
192.168.3.0 ~ 192.168.3.11 |
5 |
192.168.4.0 ~ 192.168.4.11 |
6 |
192.168.5.0 ~ 192.168.5.11 |
7 |
192.168.6.0 ~ 192.168.6.11 |
[표 4] 디바이스 검색 범위
검색하는 디바이스 리스트는 공유기 외에도 프린터, 게임기, 스마트폰 등 다양합니다. 검색 리스트에는 국외뿐만 아니라 국내 기업의 디바이스도 포함되어 있는 것을 확인할 수 있습니다.
[그림 4] 국내 기업의 디바이스 검색
Method |
String |
Device |
0x00 |
unknown |
Unknown |
0x04 |
dlink, d-link |
Dlink |
0x05 |
laserjet |
HPLaserJet |
0x05 |
hp |
MaybeHP |
0x06 |
apache |
Apache server |
0x07 |
cisco |
Cisco |
0x07 |
gigaset |
Gigaset |
0x08 |
asus |
Asus |
0x08 |
apple, iphone, ipad |
Apple |
0x09 |
logitech |
Logitech |
0x09 |
samsung, xbox |
Play |
[표 5] 검색 디바이스 별 Method 정보
※ 사전공격 및 정보 전송
공유기 및 내부 디바이스의 관리자 페이지를 발견하게 되면, 사전 공격을 시도하여 ID와 password 정보를 알아냅니다.
[그림 5] 관리자 계정 로그인
관리자 계정 정보를 획득하기 위한 사전공격이 끝나면, 디바이스 별로 성공 혹은 실패에 따라 C&C에 전송하는 정보가 달라집니다. 디바이스에 대한 관리자 정보가 확인됐을 경우에는 디바이스 네트워크 주소, 디바이스 종류의 메소드 정보, 로그인 계정 ID, 로그인 계정 비밀번호, 디바이스 이름이 전송됩니다. 그러나 실패한 경우에는 로그인 계정 ID와 로그인 계정 비밀번호를 제외한 디바이스 네트워크 주소, 디바이스 종류 메소드 정보, 디바이스 이름만 전송됩니다.
[표 6] C&C 정보전송 데이터
[그림 6] C&C 데이터 전송
※ 파일 삭제 및 종료
정보 수집이 끝나면 사전공격에 이용하기 위해 만든 l, p 파일을 삭제합니다. 이후 플래시 업데이트로 속이기 위해 업데이트 완료 메시지 창을 띄웁니다. 확인 버튼을 누르면 자기 자신도 삭제하여 모든 흔적을 지웁니다.
[그림 7] 계정정보파일 삭제 및 자가 삭제
[그림 8] 위장 메시지
결론
대부분의 공격은 타켓에 대한 정보를 수집하는 스캐닝과정으로부터 시작됩니다. 해당 악성코드는 사설 IP를 대상으로 스캐닝을 수행하며 네트워크에 존재하는 공유기, 네트워크 장비, 프린터, 웹 서버, 모바일 장비 등의 네트워크 정보와 계정정보를 수집합니다. 즉, 스캐닝 대상의 범위가 단순히 서버와 공유기를 넘어 IP를 갖고 통신하는 단말기까지 다양하게 포함되며, 그만큼 차후에 발생할 보안위협의 범위도 확대될 것을 의미합니다. 이미 IoT 제품들이 쏟아져 나오는 시점에서 해당 악성코드가 좀 더 고도화된 상태로 유포되기 시작하면 이에 감염된 단말기와 그 네트워크에 존재하는 IP Camera, IPTV, 프린터, CCTV, VoIP폰 등의 단말기에도 심각한 보안 위협이 나타날 것입니다.
실제로 디바이스 정보를 수집하고 공유하는 Shodan 사이트가 이슈된 바 있으며, CCTV의 기본 계정만으로 수만 대의 영상을 공유하는 사이트도 존재합니다. 프린터 서버를 통해 다량의 비밀문서가 유포될 수 있으며, 이는 제 2의 유포 및 공격 도구로 활용될 가능성도 있습니다.
[그림 9] Shodan 사이트
[그림 10] IP Camera 영상 공유 사이트
※ 관련 내용은 알약 보안동향보고서 4월호에서도 확인하실 수 있습니다.
[악성코드 분석리포트] Spyware.Infostealer.AuNet (0) | 2015.08.06 |
---|---|
악성파일이 숨겨진 VMware크랙 버전, 토렌트를 통해 유포 중 (14) | 2015.06.17 |
직장 내 괴롭힘 보고서 내용 사칭 표적공격 분석 (2) | 2015.06.02 |
[악성코드 분석리포트] Spyware. Android.PowerOffHijack (4) | 2015.05.11 |
[악성코드 분석 리포트] Trojan. Cutwail. Aj (5) | 2015.04.08 |
댓글 영역