본문 바로가기
Security_News/해외보안소식

"Gameover"의 새로운 변종을 확인. "Domain Generation Algorithm"기능을 향상

Ryansecurity 2014. 8. 12. 15:18
728x90

2014 년 6 월 미국 연방 수사 국 (FBI)은 온라인 은행 사기 도구 "ZBOT"변종 " Gameover "네트워크를 폐쇄했습니다. 이 폐쇄는 봇넷 'ZBOT'의 활동 규모에 큰 영향을 준 반면, 사이버 범죄자들은 ​​어떤 수단도 취하지 않고 그저 침묵 만이 없었던 것 같습니다.

연결된 도메인 이름 생성의 구조이다 " Domain Generation Algorithm (DGA) "의 이용은"Gameover "에서 중요한 역할을하고 있습니다. 트렌드 마이크로 제품에서 ' TROJ_ZBOT.YUYAQ "로 감지되는 새로운 변종이 기술을 더욱 강화했습니다.실제로이 악성 프로그램은 DGA를 어떻게 이용하고있는 것일까 요.

도메인은 시스템에 의해 생성 된 해시 함수 "MD5"의 결과에 근거합니다. 해시를 계산하는 요소는 다음과 같습니다.

  • 현재 일 / 월 / 년
  • 0 × 35190501 하드 코드 된 값
  • tick count (PC가 시작된 이후의 시간)

이 악성 프로그램은 어떻게이 해시 값에서 도메인 이름을 생성하고있는 것입니까? 있는 해시 값을 예로 들어 설명하는 것이 좋습니다. 예를 들어, MD5 값의 결과가 "0xf1d73a971e50a68419c7f70764f34f1e"이라고 가정합니다. 이것을 4 바이트의 4 개의 단어로 나눌 수 있습니다. 다음은 최상위에서 정렬 된 단어입니다.

  • 0xf1d73a97
  • 0x1e50a684
  • 0x19c7f707
  • 0x64f34f1e

각각의 단어는 초기 값으로 그 단어를 사용하여 동일한 알고리즘을 사용하여 다음과 같이 처리됩니다.

  1. 입력 수를 0 × 24로 나누면
  2. 1 단계의 나머지를 0 × 30와 0 × 57에 추가한다. 각각 X, Y라고 부른다.
  3. 표준 값을 사용하여 X와 Y를 ASCII 문자로 변환한다. 변환 된 두 문자 중 결과가 숫자 나 소문자로하는 것을 사용한다.
  4. 다음 문자를 생성하기 위해 1 단계 지수를 입력 수로이 알고리즘을 반복한다. 지수가 0이되면, 알고리즘은 종료되고 결과 문자열이 완성된다.

위의 알고리즘은 "0xf1d73a97"문자열 "tdcly51"로 변환됩니다. 이 악성 프로그램이 문자열을 반전시키기 위해 "15ylcdt"라는 결과입니다.

각 단어는이 방법으로 문자열로 변환됩니다. 그리고 그 결과로 생성 된 문자열은 연결하여 하나의 긴 문자열입니다. 이번 경우이 MD5 해시는 "15ylcdt10t00m627l7a18es4f8"로 변환되었습니다. 이 문자열은 명령 및 제어 (C & C) 서버의 호스트 이름으로 사용됩니다.

이용되는 최상위 도메인 (TLD)은 ". biz", "com", "net", "org"중 하나입니다. 어떤 TLD를 이용하거나 시스템 tick count 따라 다릅니다.

이 악성 프로그램이 실행 될 때마다 1 일당 최대 500 다른 도메인 이름을 생성합니다. 또한 최대 1500의 고유 도메인이 생성됩니다. 이 악성 프로그램은 이처럼 대량의 도메인을 생성하는 기능을 갖추고 있다고 생각할 수 있지만 실제로 이용되는 도메인은 그에 비하면 적은 것으로되어 있습니다. 당사가 확인한 "Gameover"이 변종과 관련된 도메인은 단 23입니다. 또한이 변종의 피해를당한 사용자의 4 분의 3 이상이 미국의 사용자가되어 있습니다. 그림 1은 감염 피해를 입은 사용자의 세계 분포도입니다. 지도에 파란색 표시는 C & C 서버가 놓여있는 위치를 보여줍니다.

그림 1 : "Gameover"감염 피해를 입은 사용자의 분포 및 C & C 서버의 설치​​ 장소
그림 1 : "Gameover"감염 피해를 입은 사용자의 분포 및 C & C 서버의 설치​​ 장소

네트워크 트래픽을 은폐하려는 악성 프로그램이 DGA를 이용한 사례는 이번이 처음은 아닙니다. 그러나 이것이 마지막 사례가 될 수도 없을 것입니다. DGA의 이용이 C & C와 트래픽 탐지를 어렵게하는 효과적인 방법이다 한 악성 프로그램은이 방법을 계속 사용하고 사용자에게 피해를주는 것 같습니다.

이번 공격에 대한 해시는 다음과 같습니다.

  • 591567291435e4e1394aac27a0c4bbb1d5bdd47e


※ 협력 저자 : Marilyn Melliang 및 Marco Dela Vega

참고 기사 :

  • Gameover Increases Use of Domain Generation Algorithms " 
    by Alvin Bacani (Research Engineer)


  • 728x90
    저작자표시 비영리 변경금지

    'Security_News > 해외보안소식' 카테고리의 다른 글

    美 "법집행기관, 조사시 모든 이메일계정에 접근 가능  (0) 2014.08.13
    NIST, ICS 보안성 테스트베드 구축  (0) 2014.08.13
    1억개의 온라인 계정 절도  (0) 2014.08.10
    FBI, 드라이버바이 다운로드 이용해서 범죄자 체포  (0) 2014.08.10
    英 정보위원회, 법률분야 데이터 보안 사고 접수  (0) 2014.08.10

    'Security_News/해외보안소식' Related Articles

    티스토리툴바