stat.exe - infostealer

정보 유출형 악성코드 관찰기입니다.

정보 유출형 악성코드는 많은 경우 키로거를 사용하리라 개인적으로 추측만 하고 
실제로 관찰을 해 본 적은 없었습니다. 그런데 실제로 관찰을 해 보니 황당무계하게도
시스템의 문서들을 몽땅 홀라당 훔쳐갈 가능성도 있다는 것을 보게 되어 포스팅을 해 봅니다. 

이 글은 다음의 순서로 진행됩니다.

1. stat.exe 의 파일 정보 및 행태(行態) 관찰
2. 이러한 악성 코드에 대한 평소 대처법
3. stat.exe 에 대한 백신들의 진단 현황
4. sandboxie에서 infostealer 관찰시 유의 사항
    - For Advanced user

1. stat.exe 의 파일 정보 및 행태(行態) 관찰

■ stat.exe의 파일 정보

■ stat.exe 실행 시 나타나는 현상

stat.exe가 실행되면 %TEMP% 폴더에 아래의 폴더를 생성합니다.
참고 - %TEMP% 폴더 : 사용자 임시 폴더
                                     경로 - C:\Documents and Settings\사용자이름\Local Settings\Temp

그리고 이 폴더 안에
아래 표 안의 8개의 파일을 생성합니다.
참고 - p2xtmp-뒤의 수자는 stat.exe 실행 시마다 랜덤하게 변합니다.

[표1]

Cwd.dll	Fcntl.dll	Glob.dll	IO.dll
p2x587.dll	re.dll	Socket.dll	Util.dll

위 파일들을 생성한 후 곧바로 루트 디렉토리에 아래의 폴더(RTFMON)를 생성하고

 

 

_C.dll

_D.dll

_E.dll

_F.dll

_hslib.dll

 

이 폴더에 위 다섯 개의 파일을 생성 후
stat.exe의 CPU 점유율이 상당히 높은 상태로 한참을 머뭅니다.
위의 과정들 중에 Registry에는 큰 변동을 주지는 않습니다.

CPU 점유율이 낮아지는 단계에 stat.exe 는 인터넷 접속을 시도합니다.

접속이 이루어지면 아래 그림에서 볼 수 있는 것처럼
ALG(application layer gateway)를 통해 특정 사설 FTP 서버로 접속을 시도합니다.

참고 - 위 그림에서 보이는 도구는?
관련 글 : : 2009/05/08 - [프로그램 리뷰] - TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 )

위 그림에서
접속 대상 종말점의 정보를 보면 러시아 지역의 서버로 접속을 하는 것으로 추측이 됩니다.

그런데 왜 특정 FTP 서버로 접속을 하는 것일까요?
그 답은 stat.exe가 생성한 RTFMON 폴더를 들여다보면 알 수 있습니다.

 

보면 이 폴더 안에는 놀랍게도 제 시스템 상의 거의 모든 워드 문서와 PDF 문서들이 모여 있습니다.
stat.exe 가 확장자 검색을 통하여 시스템 안의 거의 모든 문서들을 모은 겁니다.

결국 이렇게 모아 온 문서들을 특정 서버로 전송하기 위하여 특정 FTP 서버로 접속을 하는 것입니다.

stat.exe가 종료되면 p2xtmp- 랜덤 수자 폴더와 RTFMON 폴더는 사라집니다.

2. 이러한 악성 코드에 대한 평소 대처법

1장에서 살펴본 것처럼 이 악성코드의 경우 시스템의 모든 문서들을 검색해서 모아서 유출을 시키는 놈입니다.
제가 채집한 샘플의 경우는 주로 러시아에서 유럽을 대상으로 뿌려지는 악성코드가 아닌가 추측이 되는데,
만약 이러한 도구의 변형된 형태가 중국 등지에서 Hwp, txt 파일도 검색하게 변형되어서
ActiveX set up package로 배포된다면, 그리고 시작 프로그램으로 등록되게 변형된다면
그 파괴력은 엄청날 것으로 보입니다.

저 같은 경우에는 이 악성코드를 관찰하기 위해 주시를 하고 있음에도
프로세스와 레지스트리 변경만 관찰하느라 파일 시스템 내에서 폴더가 생성되고 복사가 이루어지고
있다는 사실을 방화벽이 stat.exe의 외부 접속 경고를 낼 때까지 눈치를 못 채고 있었습니다.

그러니 제가 앞서 언급한 것 같은 변형 악성코드가 등장하고 그 것을 백신이 진단해 주지 못할 경우
보통의 사용자들은 그냥 눈 뜨고 앉아 시스템 내의 모든 문서들을 지속적으로 유출당할 가능성도 있습니다.

걱정스러운 것은 제가 테스트한 이 악성코드의 경우도 백신에 의한 진단율이 상당히 저조했다는 것입니다.

그렇다면 평소 사용자들은 이러한 악성코드에 어떻게 대응을 할 것인가?

1 . 이런 악성코드에 대한 검색율이 걱정스럽더라도 일단은 백신의 실시간 감시가 활성화 되어 있어야 하고
    항상 최신 버전으로 업데이트되어 있어야겠습니다. 일단 백신에 잡히면 정보 유출은 없는 것이니까요.

2 . 민감한 사항이 기재되는 문서 등은
     ㄱ . 워드 프로세스 자체의 암호 기능으로 보호를 합니다.
           예를 들어 한글의 암호 기능은 지금까지 단 한 번도 뚫린 일이 없는 것으로 압니다.
      ㄴ . 압축 기능을 이용해 민감한 파일들을 보호합니다. 
            압축 파일은 검색되지 않을 확률이 높고
            압축 파일에 비밀번호를 걸면 유출되어도 내용이 공개되기는 어렵습니다.
           
      ㄷ . 계정의 인증서를 통한 암호화로 민감한 파일들을 보호합니다.
            해당 내용은 대하여는 아래 관련 글에 설명되어 있습니다 .
            아래 글에서는 USB에 대하여 논하였지만 , 하드 디스크내에서도 똑같이 적용이 가능합니다.
            관련 글 : : 2009/11/15 - [유용한 팁들] - 돈 만원으로 보안 USB 만들기

3 . 아웃바운드를(나가는 트래픽을) 감시하는 방화벽을 사용한다면 보다 안전할 수 있습니다. 

3. stat.exe 에 대한 백신들의 진단 현황

먼저 말씀드릴 사항은 [표1]의 파일들은 어느 백신도 진단하지 못했습니다.
아마도 정상적인 FTP 전송 프로그램 라이브러리의 일부로 여겨지는 파일들 아닌가 싶습니다.

2010년 3월 7일 일요일 아침 5시 15분 현재 stat.exe에 대한 바이러스토탈 검사 결과입니다.     

참고 - symantec의 Suspicious.Insight는 진단 한 것이 아님.

4. sandboxie에서 infostealer 관찰 시 유의 사항       - For Advanced users

저 같은 경우 이번이 정보 유출형 악성코드 첫 테스트라 당혹스러운 면이 좀 있었습니다.
악성코드 테스트를 할 때 실제 정보 유출 가능성이 대두되었기 때문입니다.

저처럼 샌드박시에서 악성코드를 실행시켜 보시는 분들이 있으리라 여겨지는데요.

샌드박시를 통해 악성코드 실행 시
아래와 같이 옵션을 조절해 주는 것이 좋겠다는 것을 이번 기회에 절실하게 느끼게 되었습니다.

글을 줄입니다 ^ ^*