태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

리버싱지식2008. 11. 19. 17:52


이전부터 사용되던 방식이지만 최근들어 가짜 RAR 형식의 악성코드가 변종 유포에 지속적으로 사용되고 있어 가짜 RAR 포맷에 대한 기법 이해가 필요하다.

초기에는 가짜 RAR 파일과 EXE 파일을 동일한 URL 주소에 등록해 두어 쉽게 악성코드 수집과 대응이 가능했지만 최근들어서는 EXE 는 등록하지 않고 가짜 RAR 만 지속적으로 변형하여 업데이트 하는 경우가 많아지고 있다.

이 기법은 중국과 한국 등지에서 많이 이용되고 있으며, 국내외로 유명세를 떨치고 있는 Kavo.exe, Tavo.exe, Kavosoft.exe, ll.exe, Bitkv1.dll, ff.exe, ddr.exe, cao110.dll, cao220.dll, zhido.exe 등의 Autorun.inf 기법을 이용하는 악성코드가 악용하고 있는 실정이다.

한번 감염되어 다운로드 기능이 포함된 dll 파일 등이 작동하면 시간차를 두고 특정 URL 주소에서 http://hg(생략).com/(생략)ttr.rar 등에 접속을 시도하고 가짜 RAR 압축파일 형식(확장자와 내부 일부 문자열)으로 위장한 파일을 다운로드 하고, 다시 EXE 로 변환(복호화)하여 실행하고 있다.

따라서 관련 기능을 이용하는 악성코드에 노출되면 Anti-Virus 제품처럼 악성코드도 자신을 업데이트하여 변종을 계속 감염시도하게 되는 것이다.

이 변환 과정은 아래 그림과 같이 진행된다.

사용자 삽입 이미지

RAR 악성파일은 변종에 따라 암/복호화키가 다르게 구성되어 있으며, 복호화키는 해당 파일에서 반복되는 4바이트를 이용하면 된다.

XOR 연산과 마찬가지로 원래 00 00 00 00 이었던 Hex Value 는 Subtraction 연산에 의해서 복호화키가 삽입되기 때문이다.

00 - 10 => 10

다운로드와 복호화 기능을 가진 악성코드 dll 은 다운로드 후에 정상적인 PE Header 로 고쳐주는 역할을 모두 해주기 때문에 필요없는 값들은 삭제되어 진다.

Anti-Virus 엔진에서는 RAR 포맷으로 오판하여 악성코드 여부를 판별하지 못할 수 있다.
일종의 AV 탐지 우회기법이라 할 수 있겠다.



Posted by viruslab

댓글을 달아 주세요