posted by Kwan's 2013.08.06 14:15


소포스랩에서 우리는 이전에 제로액세스(ZeroAccess) 맬웨어 계열의 위협에 대해, 그 본성을 탐구하고 이런 맬웨어 계열이 오랜 시간 지나면서 변화하는 것에 대해 문서화를 하면서 매우 심도 깊게 다루었습니다.

무슨 생각이 드나요?

맬웨어 제작자들은 또 다른 업데이트를 쏟아내고 있고 이번에는 확실히 재부팅을 지속하기 위해 재미있는 기술들을 사용하고 있습니다.

→ Persistence 는 APT(지능형 지속 공격- Advanced Persistent Threat)의 “P”를 말합니다. 여러분이 로그오프하고 다시 로그온 할 때나 재부팅할 때 만약 맬웨어가 자동으로 직접 다시 로딩된다면 맬웨어가 지속되도록 단순히 놓아두는 것입니다. 일반적으로 그것은 훨씬 오랫동안 사이버범인들을 도와주기 때문에 그것은 맬웨어를 더욱 위험하게 만듭니다.

제로액세스(ZeroAccess)의 이전 사용자모드는 그 파일들을 덜 확실하게 만들기 위해 Recycle Bin(보통 XP에서는 C:\RECYCLER 이거나 Vista 이상에서는 C:\$Recycle.Bin) 안에 생성된 폴더에 저장하였습니다.

그것은 또한 그 폴더의 액세스 컨트롤 리스트(Access Control List entries, ACLs)를 변경하여 어떤 사용자도 그 파일들을 읽거나 쓰지 못합니다.

이번에 그 파일들은 다시 사용된 ACL 속임수로 새로운 위치에 떨어뜨려집니다.

하지만 맬웨어 제작자들은 신원확인과 제로액세스(ZeroAccess) 컴포넌트 제거를 더욱 가로막기 위해 파일 경로와 레지스트리 엔트리에 RLO(right-to-left override)과 비인쇄(non-printable) 유니코드 문자를 또한 사용합니다.

이것이 무엇을 의미하는지 설명하도록 하겠습니다.

새로운 제로액세스 드로퍼(ZeroAccess dropper)는 %Program Files% 폴더와 사용자의 로컬 AppData, 2군데 위치에 스스로를 복사합니다.

각 복사본은 구글 제품의 일부인 것처럼 보이는 폴더 안에 위치하게 되는데, 비인쇄 유니코드를 사용하여 몇몇 윈도우 버전에서는 알아채기가 어렵습니다.

Vista 이상에서는, 그 폴더 이름이 탐색기를 사용하여 탐색할 수 없습니다.

비록 위에 보듯이 ACL 속임수에 의해 여전히 중지되지만, 우리는 Windows XP에서 좀 더 많은 것을 보게 됩니다.

더 많은 것을 얻기 위해, 우리는 그 폴더의 컨텐트를 보도록 허락하는 폴더의 소유권을 얻을 필요가 있습니다.

만약 우리가 헥스 에디터(hex editor)에서 사용되는 파일 경로를 조사하면, 비정상적인 유니코드 문자가 사용된 것을 알 수 있습니다.

그 폴더 구문은 다음과 같이 시작됩니다.

%PROGRAM FILES%\
  Google\
    Desktop\
      Install\
        {????????-????-????-????-????????????}\
          [SPACE][SPACE][SPACE]\
            ...\

다음은 위에서 헥스 에디터 스크린샷에 빨간색으로 표시된, 유니코드 문자를 따라서 만들어진 폴더입니다.

\x2e\x20 \xf9\xfb \x5b\x0e

첫 번째 글자는 히브리어와 같이 오른쪽에서 왼쪽으로 쓰는 언어를 지원하는 데 사용되는 ROL(right-to-left override) 문자입니다.

ROL은 맬웨어 제작자들이 악성 실행파일 타입의 확장자를 숨기기 위해 종종 사용합니다.

제로액세스(ZeroAccess) 제작자들은 윈도우 탐색기에서 표시되지 않는 다른 문자들과 서로 조합하고 있습니다.

이것은 파일들을 숨기고, 제거하기에 최고입니다.

시작시 이 폴더에 저장된 EXE 파일을 시작하도록 서비스가 생성됩니다.: 유니코드 문자 속임수가 그 서비스명에 다시 사용됩니다.

맬웨어는 서비스명이 gupdate처럼 보이게 하려고 시도하지만, 우리는 그 서비스가 알파벳순에서 잘못된 위치에 나타나기 때문에 Windows의 XP 이후 버전에서는 적합하지 않은 무언가가 있음을 알 수 있습니다.

그것은 ‘g’가 아니라 오히려 ‘e’로 시작하는 이름 사이에 있습니다.

우리가 그 서비스 엔트리에 대한 ImagePath 값의 데이터를 클릭하면, RLO 오버라이드를 맞닥뜨리자 마자 그 데이터가 거꾸로 나타나기 때문에 RLO문자를 볼 수 있습니다.

하지만, XP에서는 RLO문자가 지원되지 않아서 우리는 동그라미 친 것처럼 정확한 경로를 볼 수 있습니다.

제로액세스 페이로드는 이번 수정본에서는 변경되지 않았습니다.

맬웨어는 이 기술문서에 설명한 것처럼 동일한 P2P(peer to peer) 네트워크와 연결되어 현재는 주로 클릭 사기를 수행하는 모듈을 다운로드하고 있습니다.

하지만, 이번 업데이트는 활발한 개발이 여전히 진행 중에 있고, 그 제작자의 초점이 좀 더 어려운 프로세스를 발견하고 제거함으로써 시스템을 감염시키는 제로액세스(ZeroAccess)의 생명주기를 늘이는 데 있다는 것을 보여줍니다.