Bagle_AY(AQ)분석 보고서

KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Bagle.AY(AQ)웜․바이러스 분석 보고서
2005. 1. 28
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Bagle.AY(AQ) 웜/바이러스는 메일첨부를 통하여 전파되는 웜으로써 메일첨
부 통한 1차 감염 후, 특정사이트 접속을 통하여 추가적으로 2차 악성코드가
설치된다. 1차 감염 후에 첨부 메일 통한 자기 확산을 시작한다. 메일 공격
빈도가 높은편으로 관찰되었으므로, 계속적인 추이 관찰 및 주의가 필요하다.
o 웜의 국내유입 일시 : 2005년 1월 27일
o 관련 포트 트래픽 동향
※ 2005. 1.28 현재 국내 TCP 25 포트(SMTP) 트래픽 이상 징후는 나타나지 않음
<2005.1.17 ~ 2005.1.28 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
o 웜 파일명 및 크기
파일명 파일크기 비고
sysformat.exe 17,412 byte 1차 감염
error.jpg x 2차 감염
※ 2차 감염 코드는 현재 숙주서버 차단으로 다운로드 불가하여, 추후 분석예정
□ 감염 시스템 및 전파 방법
o 대상OS: Windows 9X, ME, 2000, NT, XP, 2003
o 전파방법:
- 메일 첨부 통한 악성 코드 전파
- 감염 후 특정 사이트 접속을 통하여 2차 감염
- P2P 공유 폴더 통한 전파
□ 주요 공격 및 전파 기법
o 공격/감염 절차
- Bagle.AY(AQ) 는 감염시 두 번에 걸친 악성코드 설치가 발생하는데, 첫 번
째로 메일첨부를 클릭시 1차로 감염되고, 1차 감염이 성공할 경우 자동적으
로 특정사이트로부터 추가적인 악성코드가 다운로드 되어, 2차 감염이 발생
한다. 1차 감염만으로도, 자신의 복제파일을 메일에 첨부하여 타 시스템으
로 전파하는 시도가 관찰되었다.
➀ 사용자가 부주의 하게 메일첨부를
실행하여 웜에 감염되게 된다
➁ ➂ 타시스템으로 웜파일을 첨부하여 메일
을 발송한다
또한, 감염 시에 특정 사이트접속 및
error.jpg파일을 다운로드 받으려고 시도
한다. 2차 감염 후에 추가적인 악성행위가
발생한다
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
o 공격/감염 절차별 상세 분석
1. 사용자가 부주의 하게 메일 첨부를 실행 할 경우 감염되게 된다.
자기 확산을 위한 웜 메일 전송 시, 메일 제목 및 내용, 첨부 파일명, 크기는 아
래와 같이 분석되었다
* 제목은 아래 내용 중 하나가 선택된다.
- Delivery service mail
- Delivery by mail
　　　　　- Registration is accepted
- Is delivered mail
- You are made active
* 메일 내용 : 메일 내용은 아래 중 하나가 선택된다
- Thanks for use of our software
- Before use read the help
* 첨부 파일명 :
파일명은 아래 파일명중 하나가 선택된다
- wsd01
- viupd02
- siupd02
- guupd02
- zupd02
- upd02
- Jol03
첨부파일의 확장명 아래 네 개중 하나가 선택된다.
- cpl, exe, scr, com
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
o 웜 코드 분석 샘플
웜 코드에 아래와 같이 메일 제목, 내용 첨부 파일명이 하드코딩 되어 있다
<메일 제목 부분>
<메일 내용 부분>
<첨부 파일명 부분>
o 트래픽 분석 샘플
감염 PC에서 발생하는 메일공격 트래픽을 관찰하면 아래와 같은 메일내용을 확인
할 수 있다
<웜 전파 트래픽 분석 샘플>
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
2. 감염 PC는 특정사이트로부터 악성코드 다운로드를 시도한다.
o 공격자는 몇몇 웹 서버를 해킹하여, 2차 감염코드 (error.jpg) 전파를 위한
다운로드 환경을 구성해 놓았는데, 웜 바이너리 코드를 분석하여 파악된 해
당 사이트 List 는 아래와 같다.
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
o 위 해당 사이트들에 접속하여 Http Get method로 파일 다운로드를 시도
한다. 아래 그림은 실제로 감염 PC로부터 발생하는 다운로드 시도 트래픽
을 캡쳐 한 것이다.
<다운로드 시도>
3. 폴더 이름에 “shar” 라는 String이 포함하고 있으면, 해당 폴더에 웜 파일을
아래와 같이 복사해 놓는다. Netbios 및 P2P등 외부 사용자에게 공개되는
폴더에 웜파일을 유명 어플리케이션 이름으로 올려놓아, 다른 사용자가 다운
로드 받게 하기 위한 것으로 보인다 . 실제로 폴더를 만들어 테스트 한 결과
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
- 1.exe , 2.exe, 3.exe, 4.exe, 5.scr, 6.exe, 7.exe, 8.exe, 9.exe, 10.exe
ACDSee 9.exe, Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Windown Longhorn Beta Leak.exe, Opera 8 New!.exe
WinAmp 6 New!.exe,
WinAmp 5 Pro Keygen Crack Update.exe
XXX hardcore images.exe,
"shar" String을 포함하는 모든 폴더에 아래와 같이 웜파일이 생성되었다.
그러나 웜이 스스로 해당 폴더를 외부에 공유 시키지는 않는다.
<감염 후 share 폴더 예>
4. 2차 감염 코드(error.jpg)를 다운로드 및 설치 후에 악성 행위가 예상된다.
현재 숙주 사이트가 모두 차단되어, 자세한 분석이 불가능하였다
□ OS 변경 요소
- Windows XP SP2 의 경우, 웜에 감염되면 개인 방화벽이 OFF 된다
아래 화면은 감염으로 인하여 방화벽 서비스가 중단되는 예이다
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 8 -
- 파일 및 레지스트리 생성
웜이 생성 및 변경하는 파일 및 레지스트리 값은 다음과 같다
. 파일 생성
“시스템 폴더”에 sysformat.exe
sysformat.exe.exeopen
sysformat.exe.exeopenopen
. 레지스트리 변경/추가 발생
재부팅 마다 웜 코드가 메모리에 Load 되도록 하기 위해 아래와 같이
레지스트리를 생성한다.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
sysformat = "시스템 폴더“sysformat.exe를 등록한다
<웜에 의하여 레지스트 값이 생성되는 예>
※참고로 OS별 시스템 폴더는 다음과 같다.
WinXP : C:WINDOWSsysem32
Win2K, WinNT : C:WINNTsystem32
- 백도어 생성
. 아래와 같이 TCP 81 포트가 OPEN 되는 것으로 관찰 되었다
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 9 -
- 다음 Process를 종료 시킨다.
아래 그림은 웜에 하드코딩 되어 있는 종료 프로세스 List 이다.
□ 네트워크 영향력
o 1차 감염 후 관찰된 메일 발송 빈도와 발생 트래픽 량은 다음과 같다.
메일 발생빈도가 다소 높게 관찰되었다
항 목 관찰 결과
분당 메일 공격 빈도 123 회
메일 1건의 크기
(웜 본체 + 전송 Overhead) 29,757 Bytes
분당 최대 발생 트래픽
(62회 모두 전송 성공 시)
3,660,111 Byte
(29,757 Byte X 123회)
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 10 -
아래 화면은 분당 메일 전송 시도 횟수 확인을 위하여, 감염PC에서 메일서버
로 전송되는 SMTP 트래픽 중 분당 Syn 패킷을 추출한 결과이다
<분당 메일 공격 시도 횟수>
아래 표시된 “29,757”은 메일전송 (SMTP) 1회 성공 시 발생하는 데이터 크기
이다
<웜 1회 전송 시 발생 트래픽 샘플>
o 2차 감염을 위한 악성코드 다운로드 사이트 (숙주 서버) 접속 시도 빈도 및 발
생 트래픽 량은 다음과 같다.
- 악성 사이트 접속 주기 : 약 2초 에 1회
- 평균 분당 발생 트래픽 : 평균 3,689 byte
아래 그림에서와 같이 약 2초 주기로 새로운 도메인 사이트로 접속을 시도하
는 것을 볼 수 있다
<2차 감염 숙주 서버 접속시도 횟수 샘플>
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 11 -
□ 위험 요소 및 향후전망
o 1차 감염 만으로도, 웜 확산을 위한 메일공격 시도가 발생한다. 공격 빈도
가 높은 것으로 관찰되었으므로, 계속적인 추이 관찰 및 주의가 필요하다.
o 2차 감염으로 인한 피해 발생 가능성은 감소되었다고 판단된다
※ 2차 감염코드 다운로드를 위한 숙주 웹 사이트가 모두 차단
□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월 패턴 업데이트, SMTP 트래픽 추이 모니터링
- TCP 81번 포트를 통한 악성행위가 예상되므로, 해당 포트에 대한 모니터링
및 차단
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행 시키지 않음
- 백신 업데이트 및 주기적 검사 실시
- 2차 감염 PC 의 경우 자료유출, 원격통제 등의 악성행위가 예상되므로, 개
인 방화벽 등을 활용하여 악성 행위 예방
★ 감염 시 조치 방법
백신이 설치되어 있지 않은 경우, 아래와 같이 조치를 취하도록 한다.
Step1. 웜 Process 종료
“Ctrl" + "Alt" + Del" 누른 후, sysformat.exe 프로세스를 종료한다
KrCERT-AR-2005-03 http://www.krcert.or.kr
Bagle.AY(AQ) 이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 12 -
Step2. 웜 파일 삭제
“시스템 폴더”에서 sysformat.exe, sysformat.exeopen,
sysformat.exeopenopen 파일을 삭제한다
※참고로 OS별 시스템 폴더는 다음과 같다.
WinXP : C:WINDOWSsysem32
Win2K, WinNT : C:WINNTsystem32
Step3. 레지스트리 항목 삭제
아래와 같이 레지스트리 항목을 삭제한다
시작 → 실행 → regedit 입력 후
HKEY_CURRENT_USER → SOFTWARE → Microsoft →
Windows → CurrentVersio → Run 에 등록되어 있는
sysformat = "시스템 폴더“sysformat.exe 항목 삭제
<Regedit를 이용한 레지스트리 항목 삭제>