[긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3)

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1)
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2)
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3)


#3 - wversion.exe

이번 공격의 핵심이 되는 wversion.exe를 살펴보도록 하겠습니다.

 - Thread를 생성하는 Main함수의 코드부분.

 - Write할 내용에 대한 메모리 할당

 - 할당된 버퍼에 공격할 문자열 셋팅

메모리에서 준비된 OverWrite 문자열

- 준비된 공격문자열을 OverWrite하기위한 준비과정
   악성코드는 현재의 유효 물리적 디스크의 MBR영역을 검색 한다.

  

\\.\PHYSICALDRIVE25 ~ \\.\PHYSICALDRIVE0 까지 검색
25~0은 Z~A까지를 의미하며,  논리적 파티션의 개념이 아닌 물리적 하드디스크의 갯수를 말합니다.
뒤에서 부터의 검색은 일반적으로 OS설치 드라이브가 낮은 번호에 있다는 것을 감안한 것 같습니다.

테스트한 가상 시스템엔 하드디스크가 1개이니, 0번에서 추가적인 루틴을 타겟죠?ㅋ

- CreateFile()함수를 통해 0번 물리디스크에 접근

- SetFilePointer / WriteFile를 사용해서, 0번 물리디스크의 MBR영역부터 Write

- 실제 섹터에 OverWrite된 모습

- MBR이 OverWrite된 하드디스크는 부팅이 되지 않습니다.

재설치를 해야하는 안타까운 경우가 발생하게 됩니다...ㅠㅠ

wversion.exe의 또 다른 증상은 특정 확장자를 가진 파일을 변형시킵니다.
.doc .docx .docm .wpd .wpx .wri .xls .xlsx .mdb .ppt .pptx .pdf .accdb .db .dbf .rtf .txt
.hwp .hna .gul .kwp .eml .pst .xml .alz .gho .rar .php .asp .aspx .jsp .java .cpp .c .pas
.cpp .zip
위의 확장자를 가진 파일들은 .gz가 덧붙여지면서 암호화된 압축파일로 변형되지만,
헤더만 압축파일의 형태를 가질뿐 원복파일의 내용은 복원이 불가능한 상태로 깨져 버립니다.

원래 cpp파일이던 소스파일이 파괴된 모습

지금까지 이번 사이버 대란에서 일어난 악성코드중 MBR영역과 특정 파일들을 파괴시키는 시나리오에 대해서 알아보았습니다. 대응과 함께 포스팅을 하려니 여의치가 않네요..
DDOS 관련된 악성코드는 차후 포스팅을 할 예정입니다.
현재 국내 뿐만 아니라 해외에서도 숙주사이트로 판단된 곳은 접속이 불가능하게끔 되어있다고 하네요.
DNS 쿼리가 급증함에 따라 예측되었던 이번 인터넷 대란도 여기서 마무리가 되었으면 하는 간절한 마음입니다. 보안분석가 여러분들 화이팅!!