[악성코드 분석리포트] Spyware.Infostealer.VicePass

Spyware.Infostealer.VicePass

최근 사물인터넷(IoT)의 보급이 확대됨에 따라 의료서비스, 스마트그리드, 스마트홈 등을 노리는 많은 해킹 사례들이 보고되고 있습니다. 특히 공유기를 통한 해킹은 한번에 내부 디바이스 및 사용자 개인 정보를 탈취할 수 있어 해커들의 주된 해킹 수단으로 사용되고 있습니다. 그러나 가정용 공유기의 상당수가 해킹에 취약하고, 개인 사용자 또한 보안 의식이 부족하여 보안 위협은 날로 증가하고 있는 상황입니다.

이번 분석대상 악성코드는 공유기 및 내부 접속 장비들의 정보를 탈취하기 때문에 해외에서 이슈가 된 바 있습니다. 아직 국내에서 발견된 것은 아니지만 이로 인한 다양한 공격이 예상되고 있습니다. 그러므로 이번 악성코드 분석리포트에서는 상세 분석을 통해 앞으로 나타날 보안 위협과 대응 방안에 대해 살펴보도록 하겠습니다.

유포 및 정보 수집

 

이 파일은 Flash update를 가장한 악성코드로 주로 피싱 사이트를 통해 유포됩니다. Flash update를 통해 유포하는 방법은 예전부터 기본적으로 사용되었지만, “XXX_keygen.exe”와 같이 Flash update 이외의 다른 이름으로 토렌트 또는 SNS을 통해서 유포될 수도 있습니다. 

파일이 실행되면 [그림 1]과 같은 절차로 악성행위를 시도합니다. 주요 기능으로 공유기내의 사설망 192.168.0.0 대역대의 장치들을 검색하여 ID, Password를 대입하고 그 결과를 C&C 서버로 전송합니다.

[그림 1] 흐름도

악성코드 분석

※ 사전 공격(Dictionary attack)준비 및 OS정보 전송

악성코드가 실행되면 공유기와 내부 디바이스들의 관리자 ID와 Password를 확인하기 위해 [그림 2]와 같이 l과 p 파일을 생성합니다. 생성된 파일에는 접속을 시도하는 ID와 Password 정보가 포함되어 있으며 이는 사전 공격의 문자열 비교 대상으로 활용됩니다.

사전 공격: 사전(Dictionary)에 있는 단어를 대입하여 암호를 알아내는 공격기법으로 모든 문자열을 대입하는 무차별 대입 공격(Brute force attack) 방식보다 대입 값의 범위가 줄어 빠르게 암호를 찾아낼 수 있다는 장점이 있습니다.

이후 컴퓨터의 OS 버전 정보를 확인하여 C&C 서버로 전송합니다.

[그림 2] 파일 생성 및 OS 정보 전송

l파일은 아래와 같은 ID 정보를 가지고 있습니다.

admin  Admin  administrator  Administrator  webadmin  user

root  blank  guest  supervisor  cmaker  netrangr

bbsd-client  hsa  wlse  d-link  D-Link

[표 1] 파일명 L-Login ID 정보

p파일은 아래와 같은 Password 정보를 가지고 있습니다.

Admin  Administrator  adm  Amd  root  password  password0  password1  user  User  supervisor  0000  1111  2222  3333  4444  7777  1000  2000  1212  2112  6969  1234  12345  000000  111111  222222  666666  777777  121212  131313  232323  123123  321321  123321  321123  112233  123456

654321  987654  159753  1111111  7777777  1234567  11111111  88888888  12345678  111111111  999999999  123456789  987654321  1234567890  qwerty  qweqwe  123qwe  qwe123  123ewq  qwe321  ewq321  ewq123  qazwsx  qwaszx  qweasdzxc  qweasd  D-Link  public  private  secret  alpine  qwertyuiop  klaster  1qaz2wsx  1q2w3e4r  1q2w3e4r5t  1q2w3e4r5t6y7u8i9o0p  zxcv

zxcvb  zxcvbn  zxcvbnm  1234qwer  asdfgh  marina  tinkle  monkey  abc123  iloveyou  password1  zaq12wsx  zaq123wsx  zaq1wsx  monkey  dragon  qwerty123  target123  gfhjkm  123123Aa  system  Cisco  _Cisco  cmaker  cisco  tivonpw  wisedb  blender  hsadb  default  attack  changeme  changeme2  diamond  letmein  pnadmin  secur4u  ripeop

riverhead  baseball  football  monkey  access  mustang  shadow  letmein  abc123  abcdef  superman  batman  passwd  internet  Internet  newpass  jesus  god  angel  link  work  job  the  ilove  iloveyou  sex  connect  master  killer  pepper  career  sky

[표 2] 파일명 P - Password 정보 

     

- C&C 서버

Domain : bingobum.net

IP : 91.219.195.42

- C&C 서버 전송 방식

GET /index.php?data=데이터(OS버전 정보 , 디바이스 정보 등)

[표 3] C&C 서버 정보와 정보 전송 방식

※ 내부 디바이스 검색 및 전송

OS 정보를 수집한 후에는 공유기 및 내부망에 존재하는 디바이스들을 검색합니다. 디바이스 검색은 [표 4]와 같이 내부망 특정 IP 대역을 대상으로 HTTP 패킷을 순차적으로 Request를 보냄으로써 공유기나 내부 디바이스의 관리자 웹페이지 존재 여부를 확인합니다. 각 Request에 대한 Response는 [표 5]의 string을 기준으로 어떤 디바이스를 사용 중인지를 판단하고, 확인된 결과는 C&C서버에 전송됩니다.

[그림 3] 디바이스 검색

분기	검색 범위
1	192.168.0.0 ~ 192.168.0.11
2	192.168.1.0 ~ 192.168.1.11
3	192.168.2.0 ~ 192.168.2.11
4	192.168.3.0 ~ 192.168.3.11
5	192.168.4.0 ~ 192.168.4.11
6	192.168.5.0 ~ 192.168.5.11
7	192.168.6.0 ~ 192.168.6.11

[표 4] 디바이스 검색 범위

검색하는 디바이스 리스트는 공유기 외에도 프린터, 게임기, 스마트폰 등 다양합니다. 검색 리스트에는 국외뿐만 아니라 국내 기업의 디바이스도 포함되어 있는 것을 확인할 수 있습니다.

[그림 4] 국내 기업의 디바이스 검색

Method	String	Device
0x00	unknown	Unknown
0x04	dlink, d-link	Dlink
0x05	laserjet	HPLaserJet
0x05	hp	MaybeHP
0x06	apache	Apache server
0x07	cisco	Cisco
0x07	gigaset	Gigaset
0x08	asus	Asus
0x08	apple, iphone, ipad	Apple
0x09	logitech	Logitech
0x09	samsung, xbox	Play

[표 5] 검색 디바이스 별 Method 정보

※ 사전공격 및 정보 전송

공유기 및 내부 디바이스의 관리자 페이지를 발견하게 되면, 사전 공격을 시도하여 ID와 password 정보를 알아냅니다.

[그림 5] 관리자 계정 로그인

관리자 계정 정보를 획득하기 위한 사전공격이 끝나면, 디바이스 별로 성공 혹은 실패에 따라 C&C에 전송하는 정보가 달라집니다. 디바이스에 대한 관리자 정보가 확인됐을 경우에는 디바이스 네트워크 주소, 디바이스 종류의 메소드 정보, 로그인 계정 ID, 로그인 계정 비밀번호, 디바이스 이름이 전송됩니다. 그러나 실패한 경우에는 로그인 계정 ID와 로그인 계정 비밀번호를 제외한 디바이스 네트워크 주소, 디바이스 종류 메소드 정보, 디바이스 이름만 전송됩니다.

[표 6] C&C 정보전송 데이터

[그림 6] C&C 데이터 전송

※ 파일 삭제 및 종료

정보 수집이 끝나면 사전공격에 이용하기 위해 만든 l, p 파일을 삭제합니다. 이후 플래시 업데이트로 속이기 위해 업데이트 완료 메시지 창을 띄웁니다. 확인 버튼을 누르면 자기 자신도 삭제하여 모든 흔적을 지웁니다.

[그림 7] 계정정보파일 삭제 및 자가 삭제

[그림 8] 위장 메시지

결론

대부분의 공격은 타켓에 대한 정보를 수집하는 스캐닝과정으로부터 시작됩니다. 해당 악성코드는 사설 IP를 대상으로 스캐닝을 수행하며 네트워크에 존재하는 공유기, 네트워크 장비, 프린터, 웹 서버, 모바일 장비 등의 네트워크 정보와 계정정보를 수집합니다. 즉, 스캐닝 대상의 범위가 단순히 서버와 공유기를 넘어 IP를 갖고 통신하는 단말기까지 다양하게 포함되며, 그만큼 차후에 발생할 보안위협의 범위도 확대될 것을 의미합니다. 이미 IoT 제품들이 쏟아져 나오는 시점에서 해당 악성코드가 좀 더 고도화된 상태로 유포되기 시작하면 이에 감염된 단말기와 그 네트워크에 존재하는 IP Camera, IPTV, 프린터, CCTV, VoIP폰 등의 단말기에도 심각한 보안 위협이 나타날 것입니다.

실제로 디바이스 정보를 수집하고 공유하는 Shodan 사이트가 이슈된 바 있으며, CCTV의 기본 계정만으로 수만 대의 영상을 공유하는 사이트도 존재합니다. 프린터 서버를 통해 다량의 비밀문서가 유포될 수 있으며, 이는 제 2의 유포 및 공격 도구로 활용될 가능성도 있습니다.

[그림 9] Shodan 사이트

[그림 10] IP Camera 영상 공유 사이트

이번 악성코드는 단순히 디바이스의 정보를 가져가는 악성코드라고 생각할 수 있습니다. 그러나 내부망을 정보 수집의 범위로 지정했고 PC가 아닌 다양한 디바이스를 노렸다는 점에서 앞으로의 해킹 위협이 다양하게 발전할 수 있음을 인지해야 합니다.

대응 방안

위의 악성코드행위에 대응하기 위해 3가지 관점에서 접근해 볼 수 있습니다. 악성코드의 실행으로부터 보안하는 방법, 내부망에 존재하는 디바이스 관리자 정보에 접근을 보안하는 방법, 차후 공격의 대상이 될 수 있는 디바이스에 대한 보안 방법입니다.

가) 근본적으로 악성코드 행위를 막는 방법

- 소프트웨어 업데이트 파일은 정식 업데이트 사이트를 통해 다운로드받고 자동 업데이트 옵션을 선택합니다.

- 백신을 설치하여 허위 업데이트 행위를 차단합니다.

나) 네트워크에서 관리자 정보 획득을 막는 방법

- 단순하며 보안에 취약한 계정과 비밀번호를 사용하지 말고 보안이 강화된 비밀번호를 사용합니다.

다) 디바이스 보안

- 수시로 펌웨어 업데이트 정보를 확인하며, 보안 패치가 적용된 최신 펌웨어를 사용합니다.

※ 관련 내용은 알약 보안동향보고서 4월호에서도 확인하실 수 있습니다.