자료를 정리하던 중에 예전에 세미나를 진행했던 3. 4 DDoS 관련 자료가 있어서 리뷰 겸 포스팅을 하려고 한다.(정말 얼마만의 포스팅인지..)

   

이미 많은 백신 업체에서 훌륭한 퀄리티의 자료를 내놓았고 대부분 알려진 내용이지만 3. 4 DDoS 1주년이 얼마남지 않은 시점에서 조금이나마 일반인에게 경각심을 주는 자료가 되었으면 한다.

   

  • 전체 감염도

3. 4 DDoS 악성코드의 경우 최초 웹하드 업체의 업데이트 프로그램을 이용하여 유포가 진행되었으며 다양한 웹하드 업체의 프로그램을 이용하여 유포가 진행되었다. 전체 구성도에서 볼 수 있듯이 각 기능별로 모듈화가 잘 되어 있으며 상당히 유기적으로 동작하는 듯한 느낌을 받았다.

   

  • 유포 방법

유포는 위와 같이 특정 웹하드 업체의 업데이트 프로그램을 변조하여 감염되는 방식으로 이루어졌다. (많은 웹하드 업체 업데이트 프로그램을 통해 유포되었으므로 굳이 업체 URL을 가리지는 않겠다. 업체 담당자 분께는 죄송하다는 말씀을..)

   

  • 최초 숙주 파일 기능(SBUpdate.exe)

최초 숙주 파일은 Main DLL인 ntxxxx.dll의 StartInstall export 함수를 실행시키며 감염시의 흔적(?)을 삭제하는 기능을 수행한다.

   

  • Bot Agent의 기능(mxxxsvc.dll)

백도어의 기능을 하는 mxxxsvc.dll 파일의 경우 C&C 서버의 주소를 faultrep.dat 파일에서 읽어 접속하며 추가 명령을 수신하거나 추가 악성코드 및 설정 파일을 다운로드 하는 기능을 수행한다.

   

  • DDoS Agent의 기능(wxxxsvc.dll)

실제로 DDoS 공격을 수행했던 모듈(wxxxsvc.dll) 파일의 경우 tlntwye.dat 파일에 지정되어 있는 DDoS 공격 시간을 현재 시간과 비교하여 해당 시간이 지났을 경우 공격 대상이 저장된 설정 파일(tljoqgv.dat)에서 공격 대상을 복호화 한 다음 여러가지 방법으로 대상 서버에 DDoS 공격을 수행한다.

   

  • 공격 시간이 지났을 경우 tljoqgv.dat 파일 오픈 후 복호화 진행 과정

파일 맵 생성 후에 복화과 과정이 진행되면 아래와 같은 공격 대상 리스트를 확인할 수 있다.

이후 다수의 thread를 생성하여 DDoS 공격을 수행한다.

   

  • DDoS 공격의 유형(HTTP CC Attack / UDP Flooding / ICMP Flooding)

   

  • 시스템 손상 기능(sxxxsvc.dll)

시스템 손상(파괴라는 용어를 사용했다가 좀 과한 듯 하여 손상으로 변경)를 위한 기능의 경우 시스템 손상 시간이 저장되어 있는 파일(noise03.dat) 파일과 시스템 시간을 비교하며 시스템 손상 동작 시작 여부를 판단하며, dnsec.dat 파일이 존재할 경우에는 noise03.dat 파일을 업데이트 한다. 시스템 손상은 특정 확장자 파일 손상 동작 및 디스크를 손상시키는 동작으로 분류된다.

   

  • 시스템 손상 기능 설정 파일(noise03.dat, dnsec.dat)

각 설정 파일은 위와 같은 형태로 구성되어 있다.

   

  • 시스템 손상 동작 조건

   

  • 시스템 손상(파일 손상 동작)

   

   

   

   

   

   

  • 시스템 손상(디스크 손상 동작)

   

   

   

 


 +---------------------------------+
| Infinite Flow..                              |
| mail :
reverseinsight@gmail.com    |
| Blog :
http://sinun.tistory.com       |
|
twitter : @unpacker                      |
| CISSP, SIS1급                             |
+----------------------------------+

신고
Posted by By. PHR34K

티스토리 툴바