보안자료

악성코드 분석보고서

매월 발행되는 악성코드 분석보고서를 통해 최신 보안 위협과 그에 대한 대응 방안을 확인할 수 있습니다.

악성코드분석보고서

[악성코드 분석리포트] Spyware.Infostealer.VicePass

2016-12-31

Spyware.Infostealer.VicePass


최근 사물인터넷(IoT)의 보급이 확대됨에 따라 의료서비스, 스마트그리드, 스마트홈 등을 노리는 많은 해킹 사례들이 보고되고 있습니다. 특히 공유기를 통한 해킹은 한번에 내부 디바이스 및 사용자 개인 정보를 탈취할 수 있어 해커들의 주된 해킹 수단으로 사용되고 있습니다. 그러나 가정용 공유기의 상당수가 해킹에 취약하고, 개인 사용자 또한 보안 의식이 부족하여 보안 위협은 날로 증가하고 있는 상황입니다.


이번 분석대상 악성코드는 공유기 및 내부 접속 장비들의 정보를 탈취하기 때문에 해외에서 이슈가 된 바 있습니다. 아직 국내에서 발견된 것은 아니지만 이로 인한 다양한 공격이 예상되고 있습니다. 그러므로 이번 악성코드 분석리포트에서는 상세 분석을 통해 앞으로 나타날 보안 위협과 대응 방안에 대해 살펴보도록 하겠습니다.



유포 및 정보 수집


 

이 파일은 Flash update를 가장한 악성코드로 주로 피싱 사이트를 통해 유포됩니다. Flash update를 통해 유포하는 방법은 예전부터 기본적으로 사용되었지만, “XXX_keygen.exe”와 같이 Flash update 이외의 다른 이름으로 토렌트 또는 SNS을 통해서 유포될 수도 있습니다. 


파일이 실행되면 [그림 1]과 같은 절차로 악성행위를 시도합니다. 주요 기능으로 공유기내의 사설망 192.168.0.0 대역대의 장치들을 검색하여 ID, Password를 대입하고 그 결과를 C&C 서버로 전송합니다.


[그림 1] 흐름도



악성코드 분석


※ 사전 공격(Dictionary attack)준비 및 OS정보 전송


악성코드가 실행되면 공유기와 내부 디바이스들의 관리자 ID와 Password를 확인하기 위해 [그림 2]와 같이 l과 p 파일을 생성합니다. 생성된 파일에는 접속을 시도하는 ID와 Password 정보가 포함되어 있으며 이는 사전 공격의 문자열 비교 대상으로 활용됩니다.


사전 공격: 사전(Dictionary)에 있는 단어를 대입하여 암호를 알아내는 공격기법으로 모든 문자열을 대입하는 무차별 대입 공격(Brute force attack) 방식보다 대입 값의 범위가 줄어 빠르게 암호를 찾아낼 수 있다는 장점이 있습니다.


이후 컴퓨터의 OS 버전 정보를 확인하여 C&C 서버로 전송합니다.


[그림 2] 파일 생성 및 OS 정보 전송


l파일은 아래와 같은 ID 정보를 가지고 있습니다.


 admin

 Admin

 administrator

 Administrator

 webadmin

 user

 root

 blank

 guest

 supervisor

 cmaker

 netrangr

 bbsd-client

 hsa

 wlse

 d-link

 D-Link

[표 1] 파일명 L-Login ID 정보


p파일은 아래와 같은 Password 정보를 가지고 있습니다.


 Admin

 Administrator

 adm

 Amd

 root

 password

 password0

 password1

 user

 User

 supervisor

 0000

 1111

 2222

 3333

 4444

 7777

 1000

 2000

 1212

 2112

 6969

 1234

 12345

 000000

 111111

 222222

 666666

 777777

 121212

 131313

 232323

 123123

 321321

 123321

 321123

 112233

 123456

 654321

 987654

 159753

 1111111

 7777777

 1234567

 11111111

 88888888

 12345678

 111111111

 999999999

 123456789

 987654321

 1234567890

 qwerty

 qweqwe

 123qwe

 qwe123

 123ewq

 qwe321

 ewq321

 ewq123

 qazwsx

 qwaszx

 qweasdzxc

 qweasd

 D-Link

 public

 private

 secret

 alpine

 qwertyuiop

 klaster

 1qaz2wsx

 1q2w3e4r

 1q2w3e4r5t

 1q2w3e4r5t6y7u8i9o0p

 zxcv

 zxcvb

 zxcvbn

 zxcvbnm

 1234qwer

 asdfgh

 marina

 tinkle

 monkey

 abc123

 iloveyou

 password1

 zaq12wsx

 zaq123wsx

 zaq1wsx

 monkey

 dragon

 qwerty123

 target123

 gfhjkm

 123123Aa

 system

 Cisco

 _Cisco

 cmaker

 cisco

 tivonpw

 wisedb

 blender

 hsadb

 default

 attack

 changeme

 changeme2

 diamond

 letmein

 pnadmin

 secur4u

 ripeop

 riverhead
 baseball
 football
 monkey
 access
 mustang
 shadow
 letmein
 abc123
 abcdef
 superman
 batman
 passwd
 internet
 Internet
 newpass
 jesus

 god

 angel

 link

 work

 job

 the

 ilove

 iloveyou

 sex

 connect

 master

 killer

 pepper

 career

 sky

[표 2] 파일명 P - Password 정보 

     

- C&C 서버

Domain : bingobum.net

IP : 91.219.195.42


- C&C 서버 전송 방식

GET /index.php?data=데이터(OS버전 정보 , 디바이스 정보 등)

[표 3] C&C 서버 정보와 정보 전송 방식


※ 내부 디바이스 검색 및 전송


OS 정보를 수집한 후에는 공유기 및 내부망에 존재하는 디바이스들을 검색합니다. 디바이스 검색은 [표 4]와 같이 내부망 특정 IP 대역을 대상으로 HTTP 패킷을 순차적으로 Request를 보냄으로써 공유기나 내부 디바이스의 관리자 웹페이지 존재 여부를 확인합니다. 각 Request에 대한 Response는 [표 5]의 string을 기준으로 어떤 디바이스를 사용 중인지를 판단하고, 확인된 결과는 C&C서버에 전송됩니다.


[그림 3] 디바이스 검색


분기 

검색 범위 

 1

 192.168.0.0 ~ 192.168.0.11

 2

 192.168.1.0 ~ 192.168.1.11

 3

 192.168.2.0 ~ 192.168.2.11

 4

 192.168.3.0 ~ 192.168.3.11

 5

 192.168.4.0 ~ 192.168.4.11

 6

 192.168.5.0 ~ 192.168.5.11

 7

 192.168.6.0 ~ 192.168.6.11

[표 4] 디바이스 검색 범위


검색하는 디바이스 리스트는 공유기 외에도 프린터, 게임기, 스마트폰 등 다양합니다. 검색 리스트에는 국외뿐만 아니라 국내 기업의 디바이스도 포함되어 있는 것을 확인할 수 있습니다.


[그림 4] 국내 기업의 디바이스 검색


 Method

String 

Device 

 0x00

 unknown

Unknown 

 0x04

 dlink, d-link

 Dlink

 0x05

 laserjet

 HPLaserJet

 0x05

 hp

 MaybeHP

 0x06

 apache

 Apache server

 0x07

 cisco

 Cisco

 0x07

 gigaset

 Gigaset

 0x08

 asus

 Asus

 0x08

 apple, iphone, ipad

 Apple

 0x09

 logitech

 Logitech

 0x09

 samsung, xbox

 Play

[표 5] 검색 디바이스 별 Method 정보


※ 사전공격 및 정보 전송


공유기 및 내부 디바이스의 관리자 페이지를 발견하게 되면, 사전 공격을 시도하여 ID와 password 정보를 알아냅니다.


[그림 5] 관리자 계정 로그인


관리자 계정 정보를 획득하기 위한 사전공격이 끝나면, 디바이스 별로 성공 혹은 실패에 따라 C&C에 전송하는 정보가 달라집니다. 디바이스에 대한 관리자 정보가 확인됐을 경우에는 디바이스 네트워크 주소, 디바이스 종류의 메소드 정보, 로그인 계정 ID, 로그인 계정 비밀번호, 디바이스 이름이 전송됩니다. 그러나 실패한 경우에는 로그인 계정 ID와 로그인 계정 비밀번호를 제외한 디바이스 네트워크 주소, 디바이스 종류 메소드 정보, 디바이스 이름만 전송됩니다.


[표 6] C&C 정보전송 데이터


[그림 6] C&C 데이터 전송



※ 파일 삭제 및 종료


정보 수집이 끝나면 사전공격에 이용하기 위해 만든 l, p 파일을 삭제합니다. 이후 플래시 업데이트로 속이기 위해 업데이트 완료 메시지 창을 띄웁니다. 확인 버튼을 누르면 자기 자신도 삭제하여 모든 흔적을 지웁니다.


[그림 7] 계정정보파일 삭제 및 자가 삭제


[그림 8] 위장 메시지



결론


대부분의 공격은 타켓에 대한 정보를 수집하는 스캐닝과정으로부터 시작됩니다. 해당 악성코드는 사설 IP를 대상으로 스캐닝을 수행하며 네트워크에 존재하는 공유기, 네트워크 장비, 프린터, 웹 서버, 모바일 장비 등의 네트워크 정보와 계정정보를 수집합니다. 즉, 스캐닝 대상의 범위가 단순히 서버와 공유기를 넘어 IP를 갖고 통신하는 단말기까지 다양하게 포함되며, 그만큼 차후에 발생할 보안위협의 범위도 확대될 것을 의미합니다. 이미 IoT 제품들이 쏟아져 나오는 시점에서 해당 악성코드가 좀 더 고도화된 상태로 유포되기 시작하면 이에 감염된 단말기와 그 네트워크에 존재하는 IP Camera, IPTV, 프린터, CCTV, VoIP폰 등의 단말기에도 심각한 보안 위협이 나타날 것입니다.


실제로 디바이스 정보를 수집하고 공유하는 Shodan 사이트가 이슈된 바 있으며, CCTV의 기본 계정만으로 수만 대의 영상을 공유하는 사이트도 존재합니다. 프린터 서버를 통해 다량의 비밀문서가 유포될 수 있으며, 이는 제 2의 유포 및 공격 도구로 활용될 가능성도 있습니다.


[그림 9] Shodan 사이트


[그림 10] IP Camera 영상 공유 사이트


이번 악성코드는 단순히 디바이스의 정보를 가져가는 악성코드라고 생각할 수 있습니다. 그러나 내부망을 정보 수집의 범위로 지정했고 PC가 아닌 다양한 디바이스를 노렸다는 점에서 앞으로의 해킹 위협이 다양하게 발전할 수 있음을 인지해야 합니다.


대응 방안

위의 악성코드행위에 대응하기 위해 3가지 관점에서 접근해 볼 수 있습니다. 악성코드의 실행으로부터 보안하는 방법, 내부망에 존재하는 디바이스 관리자 정보에 접근을 보안하는 방법, 차후 공격의 대상이 될 수 있는 디바이스에 대한 보안 방법입니다.

가) 근본적으로 악성코드 행위를 막는 방법
- 소프트웨어 업데이트 파일은 정식 업데이트 사이트를 통해 다운로드받고 자동 업데이트 옵션을 선택합니다.
- 백신을 설치하여 허위 업데이트 행위를 차단합니다.

나) 네트워크에서 관리자 정보 획득을 막는 방법
- 단순하며 보안에 취약한 계정과 비밀번호를 사용하지 말고 보안이 강화된 비밀번호를 사용합니다.

다) 디바이스 보안
- 수시로 펌웨어 업데이트 정보를 확인하며, 보안 패치가 적용된 최신 펌웨어를 사용합니다.


※ 관련 내용은 알약 보안동향보고서 4월호에서도 확인하실 수 있습니다. 



웨스트코스트랩/한국산업기술시험원 /OPSWAT/국정원/ICSA/바이러스 블러틴
사이트맵 메뉴 닫기