윈도우 보안 취약점을 통한 바이러스 집중탐구

2009년형 신종 바이러스 탄생 배경 및 대응 방법 제시

변종 바이러스 발생 대응위해 백신의 최신 업데이트는 필수

바이러스는 언제나 그렇듯이 취약점을 통해 사용자 PC에 쉽게 침투 한다. 지난 2008년 11월 새롭게 등장하여 MS08-067 취약점을 통해 전 세계적으로 큰 이슈를 몰고 온 신종 악성코드인 Conficker 바이러스 역시 MS 윈도우 보안 취약점을 통해 시작되었다. MS 윈도우의 취약점이 공개되면서부터 다양한 바이러스가 생성되고 있으며, 이와 관련한 바이러스가 전 세계적으로 확산 중이다. 이 바이러스는 지금도 무수히 많은 변종을 일으키고 있어 사용자들로부터 각별한 주의를 요구하고 있다.

Conficker의 네이밍은 접속했던 사이트에서 유래되었다.

Conficker는 MS08-067 취약점을 이용한다는 점에서 Gimmiv와 유사하지만 공유폴더 취약점과 이동디스크를 이용해서 공격하는 것이 다르다.

취약점 유형에 따른 공격 방법

1. MS08-067을 이용한 공격

감염된 시스템에서 작업 스케줄러에 등록된 작업이 수행될 경우 MS08-067 취약점 공격부터 시작하여 공유폴더 취약점 공격까지 다른 시스템들을 공격하게 된다.

MS08-067 취약점을 이용한 공격은 ARP 패킷을 우선적으로 송신하며 응답이 온 시스템에 대하여 시도한다. 해당 공격은 통신규약인 SMB(Server Message Block)의 패치정보를 주고 받는 부분을 이용한다. 445 포트를 이용하며 Packet type에 Request(0)를 입력하고 Operation에 NetPathCanonicalize를 입력하여 공격한다. 그림 1과 같이 네트워크 패킷으로 확인 가능하다.

2. 공유폴더 취약점을 이용한 공격

공유폴더 취약점에 대한 공격은 공유폴더의 암호에 대하여 사전 공격(Dictionary Attack) 방법을 이용하여 시도한다.

MS08-067 취약점 공격이 실패했을 경우 일정한 간격의 시간을 둔 다음 가지고 있는 암호 리스트를 이용하여 공격을 시도한다. 지속적으로 로그인을 시도하며 로그인에 성공하였을 경우 ADMIN$를 요청하여 Windows 폴더에 접근을 시도 한다.

공유폴더 취약점을 통하여 감염이 되었을 경우 Windows 설치 폴더의 System32 폴더에 랜덤한 이름의 파일이 생성된다. 그리고 Windows 설치 폴더 하위의 TASKS 폴더에 System32 폴더에 생성한 파일을 구동하기 위한 작업 스케줄러를 생성한다.

2. 이동식 디스크를 이용한 공격

이동식 디스크를 이용한 공격은 USB와 같은 이동식 디스크 장치에 Autorun.inf 파일과 Conficker 파일을 생성한다. 이 공격은 네트워크 공격에서 벗어난 시스템을 감염 대상의 목표로 한다.

감염된 시스템에 이동식 디스크를 연결할 경우 이동식 디스크에 다음과 같은 형식의 파일을 생성한다.

이를 통하여 다른 시스템에서 감염된 이동식 디스크를 연결할 경우 자동으로 감염이 되게끔 한다.

Conficker는 감염 시스템에서 다양한 경로와 Windows가 설치된 폴더의 System32 폴더에 랜덤(Random)한 DLL 파일들을 생성하며 레지스트리를 수정하여 서비스에 등록한다.

다음은 감염된 시스템의 DLL 파일들의 생성 경로이다.

다음은 감염된 시스템의 레지스트리에 등록된 내용이다. 다음 레지스트리 항목을 생성하여 서비스로 등록한다.

다음 레지스트리 항목을 생성하여 Windows가 시작할 때마다 자신을 실행한다.

다음 레지스트리 값을 수정하여 탐색기에서 자신을 보이지 않게 한다.

Windows Vista TCP/IP 자동 튜닝 기능을 실행 중지함으로써 네트워크 액세스 속도를 높이는 명령을 실행하여 더욱 빠르게 확산된다.

사용자가 생성한 시스템 복원 지점을 삭제하고 다음의 Windows 서비스를 중지시킨다.

tcpip.sys 파일을 수정하여 TCP/IP 프로토콜의 half-open connections 기능을 제한한다.

다음과 같은 API 를 후킹하여 특정 문자열이 들어간 웹사이트에 접근하지 못하게 한다.

사이트 접근과 관련된 문제점

감염 시스템들은 해당 문자열이 들어간 보안 관련 사이트의 접근이 불가능하므로 보안상 더욱 취약하게 된다. 따라서 표 3과 같은 문제들이 발생한다.

감염 시스템은 악성코드인 dll 파일이 서비스에 등록되고 Svchost.exe 프로세스에 의해 서비스로 로드되므로 악성코드 및 증상을 제거하기 위해서는 해당 서비스의 중지가 필요하다. 서버 같이 제공중인 서비스를 중지할 수 없는 경우 해당 악성코드 제거 시 심각한 문제가 발생한다.

루트킷 기능이 포함되어 있어 일반 프로세스 관리 툴로 식별할 수 없으며 네트워크 관리 툴로도 정상 Svchost.exe 프로세스가 TCP 445 포트를 스캔하므로 일반 사용자가 식별하기 어려운 부분이 있다.

일반적인 암호 구성은 공격에 취약해

일반인이 흔히 사용하는 일반적인 암호 구성 및 조합은 해커들에게 쉽게 노출되며 공격대상이 될 확률 또한 높은 편이다.

가능한 한 안정적인 패스워드 생성(8자 이상의 숫자와 영문 조합)을 통해 PC를 지속적으로 관리하는 것이 중요하다.

이와 함께 주기적으로 암호를 변경해서 사용하고 이를 문서나 글로서 남겨두지 않도록 한다. 또 동일한 아이디와 패스워드를 여러 사이트에 동일하게 사용하지 않아야 한다. 이런 경우 하나의 사이트만 해킹되어도 이와 동시에 여러 사이트의 보안이 취약해 질 수 있기 때문이다.

전용백신 설치 및, 최신 백신 업데이트가 필수적

사용자의 유형에 따라 메일확인이 어려운 경우에는 백신 업체 사이트에 주기적으로 접속하여 바이러스 이슈에 대한 공지사항 및 팝업 창을 확인해야 한다. Conficker와 같이 치명적인 바이러스의 경우 홈페이지를 통해 전용백신을 제공하고 있기 때문이다. 전용백신은 누구나 설치하는 것이 가능하다.

단, 전용백신은 개별 바이러스에 국한 된 치료 방법이기 때문에 변종 바이러스 발생에 따른 지속적인 PC 보안을 유지하기 위해서는 백신 설치와 함께 최신 업데이트할 것을 권장한다.

이와 관련해 이용할 수 있는 하우리 전용백신 다운로드 주소는 아래와 같다.

http://www.hauri.co.kr/download/customer/vaccine_view.html?uid=57&cpage=1&menu=STE=

<글 :  황재훈 하우리 보안대응센터 바이러스팀 선임연구원(jhhwang@hauri.co.kr)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>