살리티

Sality

SalityMicrosoft Windows 시스템의 파일을 감염시키는 악성 소프트웨어(맬웨어) 제품군의 분류다.Sality는 2003년에 처음 발견되었고 수년에 걸쳐 역동적이고 지속적이며 완전한 형태의 악성코드가 되었다.Sality에 감염된 시스템은 P2P(Peer-to-Peer) 네트워크를 통해 통신하여 스팸 릴레이, 통신 프록시, 민감한 데이터 유출, 웹 서버 손상 및/또는 집중적인 작업 처리를 위한 분산 컴퓨팅 작업 조정을 목적으로 하는 봇넷을 구성할 수 있다.2010년 이후, 특정 변형인 Sality는 또한 맬웨어 제품군의 지속적인 진화의 일환으로 루트킷 기능의 사용을 통합했다.그것의 지속적인 개발과 능력 때문에, Sality는 현재까지 가장 복잡하고 가공할 형태의 악성 프로그램 중 하나로 여겨진다.

별칭

대부분의 안티바이러스(A/V) 공급업체는 이 멀웨어 제품군을 언급할 때 다음과 같은 명명 규칙을 사용한다.

  • 살리티
  • 살로드
  • 쿠쿠
  • 살리코드
  • 쿠카카

개요

Sality는 확장자로 Windows 실행 파일을 대상으로 하는 다형성 파일 감염자의 제품군이다.EXE 또는 .SCR.[1]Sality는 다음과 같은 메서드고 실행 파일의 진입점에서 변수 스텁과톤에 꽂혀 있는 것은 다형성 바이러스성 코드에 집행 방향을 바꾸도록 원본 호스트 코드는 호스트의 진입점 주소를 변경할 것을 사용하지 않파일을 감염시키고 진입점 다형성 차폐(EPO)기술을 사용한다.그호스트 파일의 마지막 섹션;[2][3] 스텁은 로더라고 알려진 2차 영역을 해독하고 실행하며, 마지막으로, 로더는 Sality 페이로드(Sality payload)를 로드하기 위해 감염된 프로세스 내의 별도의 스레드에서 실행된다.[2]

Sality는 특정 확장자 및/또는 특정 문자열로 시작하는 파일을 삭제하고, 보안 관련 프로세스서비스를 종료하며, 스팸 메시지를 보내기 위해 사용자의 주소록을 검색하고,[4] 원격 호스트에 연결하는 악성 페이로드도 실행할 수 있다.또한 Sality는 다른 악성 프로그램을 설치하기 위해 추가 실행 파일을 다운로드할 수 있으며, 설치 응용 프로그램별 급여를 전파하기 위한 목적으로도 사용할 수 있다.염도는 트로이 목마 구성요소를 포함할 수 있다. 일부 변종들은 민감한 개인 또는 금융 데이터(즉, 정보 도용자),[5] 스팸 생성 및 릴레이, HTTP 프록시를 통한 릴레이 트래픽, 웹 사이트 감염, 암호 균열과 같은 분산 컴퓨팅 작업 달성 및 기타 기능 등을 가질 수 있다.[2]

Sality의 다운로드자 메커니즘은 피어 투 피어 구성 요소를 사용하여 수신된 URL에 나열된 추가 악성 프로그램을 다운로드하고 실행한다.분산된 악성코드는 Sality 페이로드와 동일한 "코드 서명"을 공유할 수 있으며, 이는 한 그룹에 귀속되거나 코드의 많은 부분을 공유할 수 있다.추가 악성코드는 일반적으로 전 세계에 위치한 중앙 지휘통제소(C&C) 서버와 통신하고 보고한다.Symantec에 따르면, "파일 감염 메커니즘과 완전히 분산된 피어 투 피어 네트워크[...]의 결합은 Sality를 오늘날의 위협 환경에서 가장 효과적이고 탄력적인 악성 소프트웨어 중 하나로 만든다."[2]

봇넷의 두 버전은 현재 버전 3과 버전 4가 활성화되어 있다.봇넷에 유포된 악성코드는 적대적 인수를 막기 위해 공격자들에 의해 디지털 서명된다.최근 몇 년 동안, Sality는 또한 손상된 시스템에 대한 지속성을 유지하고 안티바이러스 소프트웨어와 같은 호스트 기반 탐지를 회피하기 위해 루트킷 기법을 사용하는 것을 포함했다.[6]

설치

sality는 영향을 받는 컴퓨터의 파일을 감염시킨다.대부분의 변형에서는 각 컴퓨터에서 한 번 삭제되는 DLL을 사용한다.DLL 파일은 다음과 같은 두 가지 형태로 디스크에 기록된다.

  • %SYSTEM%\wmdrtc32.dll
  • %SYSTEM%\wmdrtc32.dl_

DLL 파일은 바이러스 코드의 대부분을 포함한다.확장명이 ".dl_"인 파일은 압축된 복사본이다.Virus와 같은 최신 버전의 Sality:윈32-살리티AM, DLL을 삭제하지 말고 디스크에 기록하지 않고 메모리에 완전히 로드하십시오.이 변종은 다른 변종들과 함께 %SYSTEM%\드라이버 폴더에 임의 파일 이름을 가진 드라이버를 삭제하기도 한다.다른 악성 프로그램도 Sality를 컴퓨터에 떨어뜨릴 수 있다.예를 들어 Virus로 탐지된 Sality 변종:윈32-살리티웜이 AU를 삭제함:윈32-살리티AU.[1] 일부 Sality 변종도 Device\amsint32 또는 \DosDevices\amsint32라는 이름의 장치를 만들어 루트킷을 포함할 수 있다.[6]

전파방법

파일 감염

일반적으로 sality는 을(를) 가진 드라이브 C:의 모든 파일을 대상으로 한다.SCR 또는 .EXE 파일 확장명(루트 폴더부터).감염된 파일의 크기는 다양한 양만큼 증가한다.

또한 바이러스는 각 윈도우즈 시작에서 실행되는 응용 프로그램과 다음 레지스트리 키에서 참조하는 자주 사용되는 응용 프로그램을 대상으로 한다.

  • HKCU\소프트웨어\마이크로소프트\윈도\셸노로암\뮤이카체
  • HKCU\소프트웨어\마이크로소프트\Windows\CurrentVersion\달리다
  • HKLM\소프트웨어\마이크로소프트\Windows\CurrentVersion\달리다[1]

Sality는 특정 파일의 감염을 방지하여 컴퓨터에 숨김:

  • SFC(시스템 파일 검사기)에 의해 보호되는 파일
  • %SystemRoot% 폴더의 파일
  • 특정 하위 문자열이 포함된 파일을 무시하여 여러 바이러스 백신/방화벽 제품의 실행 파일

이동식 드라이브 및 네트워크 공유

일부 버전의 Sality는 합법적인 파일을 감염시킬 수 있으며, 이 파일은 로컬 컴퓨터의 모든 네트워크 공유 폴더와 리소스 및 드라이브 C:(루트 폴더에서 시작됨)의 모든 파일을 열거하여 사용 가능한 이동식 드라이브 네트워크 공유로 이동된다.호스트에 새 코드 섹션을 추가하고 새로 추가된 섹션에 악성 코드를 삽입하여 찾은 파일을 감염시킨다.합법적인 파일이 존재하는 경우, 악성 프로그램은 파일을 임시 파일 폴더에 복사한 다음 파일을 감염시킨다.그 결과 감염된 파일은 다음 중 하나와 같이 사용 가능한 모든 이동식 드라이브 및 네트워크 공유의 루트로 이동된다.

  • random file name.pif
  • random file name.exe
  • random file name.cmd

또한 Sality 변종은 바이러스 복사를 가리키는 모든 드라이브의 루트에 "autorun.inf" 파일을 생성한다.자동 실행 기능을 지원하는 컴퓨터에서 드라이브에 액세스하면 바이러스가 자동으로 실행된다.[1]일부 Sality 변형은 검색된 네트워크 공유 및 리소스에 .tmp 파일 확장명을 가진 파일을 떨어뜨릴 수 있으며 .손실된 바이러스를 실행하기 위한 LNK 파일.[7]

페이로드

  • Sality는 메시지 후크[8] 설치하여 실행 중인 프로세스에 코드를 주입할 수 있음
  • 일반적으로 바이러스 백신 업데이트와 관련된 파일을 검색 및 삭제하고 바이러스 백신 및 개인 방화벽 프로그램과 같은 보안 응용 프로그램을 종료하려는 시도, 감염을 방지하는 파일과 동일한 문자열을 포함하는 보안 응용 프로그램을 종료하려는 시도, 보안 관련 서비스를 종료하고 에 대한 액세스를 차단할 수 있음특정 하위 문자열을[1][2][3][7][9][10][11][12][13][14][15][16] 포함하는 ecurity 관련 웹 사이트
  • 염도 변형은 컴퓨터 레지스트리를 수정하여 Windows 보안을 낮추고 Windows 레지스트리 편집기를 사용하지 않거나 숨겨진 속성이 있는 파일을 볼 수 없도록 할 수 있다. 일부 염도 변형은 HKCU\System\의 레지스트리 하위 키 아래에 있는 모든 레지스트리 값과 데이터를 반복적으로 삭제할 수 있다.CurrentControlSet\Control\SafeBoot 및 HKLM\System\CurrentControlSet\Control\SafeBoot 사용자가 안전 모드에서[1][4][7][9][10][17][18][19] Windows를 시작하지 못하도록 방지
  • 일부 Sality 변형은 영향을 받는 컴퓨터에[1][12][14] 입력된 캐시된 암호 및 기록된 키 입력과 같은 중요한 정보를 도용할 수 있다.
  • 일반적으로 sality variant는 최대 1000개의 피어의 사전 구성된 목록을 사용하여 설치당 지불을 포함한 다른 파일을 다운로드하고 실행하려고 시도한다. P2P 네트워크의 목표는 다운로드자 기능에 공급할 URL 목록을 교환하는 것이다. 파일은 Windows 임시 파일 폴더로 다운로드되고 세라 중 하나를 사용하여 암호 해독됨l 하드 코드화된 암호[1][2][3][5][8][9][10][11][12][13][14][15][17][19][20]
  • 대부분의 Sality의 페이로드(payload)는 다른 프로세스의 맥락에서 실행되는데, 이는 청소를 어렵게 하고 악성코드가 일부 방화벽을 우회할 수 있게 한다; 동일한 프로세스에서 여러 개의 주사를 피하도록 하기 위해, 일명 시스템 전반의 뮤텍스(mutex)라고 불리는 시스템 차원의 뮤텍스.<process name>.exeM_<process ID>_코드가 주입되는 모든 프로세스에 대해 생성되므로 둘 이상의 인스턴스가 동시에 메모리에서 실행되지 않을 수 있다.[1]
  • 폴더%시스템%\drivers에 Win32-Sality의 어떤 변형들 기름 방울들이 임의 파일 이름에 드라이버를 하는 등 보안 관련 웹 사이트에 대한 접근을 막기 보안 관련 프로세스 종료되는 비슷한 기능을 수행하려고 하며, 또한 어떤 시스템 서비스 설명자 비활성화될 수 있테이블(SSDT)으로 되어 있어 제대로 1[ 일하는 특정 보안 소프트웨어 방지할 수 있다.][2][3][9][10][11][17][19][21][22]
  • 사용 가능한 이동식/원격 드라이브 및 네트워크 공유로[1][2][3][7][8][10][11][19] 이동하여 확산되는 일부 Sality 변종
  • 몇몇 살리티 변종들은 떨어진다.손실된 바이러스를[7] 자동으로 실행하는 LNK 파일
  • 일부 Sality 변형은 스팸 메시지를 보내기 위해 사용자의 Outlook 주소록과 Internet Explorer(인터넷 익스플로러) 캐시된 파일을 검색한 다음 원격 서버에서[4] 검색한 정보를 기반으로 스팸 메시지를 발송할 수 있다.
  • Sality는 구성 파일 %SystemRoot%\system에 섹션을 추가할 수 있다.ini는 감염 표시자로 원격 호스트에 연락하여 인터넷 연결을 확인하고, 새로운 감염을 작성자에게 보고하며, 구성 또는 기타 데이터를 수신하고, 임의 파일(업데이트 또는 추가 악성 프로그램 포함)을 다운로드 및 실행하며, 원격 공격자의 지시를 받고, 영향을 받는 컴퓨터에서 가져온 데이터를 업로드하십시오. 일부 Sality Variants는 원격 연결을 열 수 있으므로 원격 공격자가[4][8][10][11][12][13][14][15][17][19][20] 감염된 컴퓨터에서 임의 파일을 다운로드하고 실행할 수 있음
  • Virus와 같은 최신 버전의 Sality에 감염된 컴퓨터:윈32-살리티AT 및 바이러스:윈32-살리티AU, 추가 악성 프로그램 구성 요소를 가리키는 URL을 수신하기 위해 P2P(Peer-to-Peer) 네트워크에 가입하여 다른 감염된 컴퓨터에 연결하십시오. P2P 프로토콜은 UDP를 통해 실행되며, P2P 네트워크에서 교환되는 모든 메시지는 암호화되며, 네트워크 연결에 사용되는 로컬 UDP 포트 번호는 컴퓨터 이름의[1] 함수로 생성된다.
  • Sality는 IP 필터링을 통해 선택된 안티바이러스 리소스(예: 안티바이러스 공급업체 웹 사이트)에 대한 액세스를 차단할 뿐만 아니라 NtTerminalProcess를 통한 프로세스 종료와 같은 기능을 가진 드라이버를 포함하는 루트킷을 추가할 수 있다. 후자는 드라이버가 콜백 기능을 등록해야 하며, 이는 패킷의 여부를 결정하는 데 사용될 것이다.삭제 또는 전달됨(예: 문자열에 구성된 목록에서 안티바이러스 공급업체 이름이 포함된 경우 패킷 삭제)[6]

회복

마이크로소프트는 모두 일반적으로 악성코드와 관련된 수십 개의 파일을 확인했다.[1][4][7][8][9][10][11][12][13] [14][15][16][20] [21][22][23][24][25][26] Sality는 시스템의 지속성을 유지하기 위해 스텔스 수단을 사용하므로 사용자는 이를 제거하기 위해 신뢰할 수 있는 환경으로 부팅해야 할 수 있다.또한 Sality는 Windows 레지스트리와 같은 구성을 변경하여 바이러스 보호를 다운로드, 설치 및 업데이트하는 것을 어렵게 할 수 있다.또한 많은 유형의 Sality가 가용한 이동식/원격 드라이브 및 네트워크 공유로 전파되려고 하기 때문에 복구 프로세스가 모든 알려진/가능한 위치에서 악성 프로그램을 철저히 탐지하고 제거하도록 하는 것이 중요하다.

참고 항목

참조

  1. ^ a b c d e f g h i j k l m Microsoft Malware Protection Center (2010-08-07). "Win32-Sality". Microsoft. Archived from the original on 2013-09-17. Retrieved 2012-04-22.
  2. ^ a b c d e f g h Nicolas Falliere (2011-08-03). "Sality: Story of a Peer-to-Peer Viral Network" (PDF). Symantec. Retrieved 2012-01-12.
  3. ^ a b c d e Angela Thigpen and Eric Chien (2010-05-20). "W32.Sality". Symantec. Archived from the original on 2013-10-05. Retrieved 2012-04-22.
  4. ^ a b c d e Microsoft Malware Protection Center (2009-05-29). "Win32-Sality.A". Microsoft. Retrieved 2012-04-22.
  5. ^ a b FireEye, Inc (2012-02-14). "FireEye Advanced Threat Report - 2H 2011" (PDF). FireEye. Archived from the original (PDF) on 2012-05-22. Retrieved 2012-04-22.
  6. ^ a b c Artem I. Baranov (2013-01-15). "Sality Rootkit Analysis". Archived from the original on 2013-08-10. Retrieved 2013-01-19.
  7. ^ a b c d e f Microsoft Malware Protection Center (2010-07-30). "Worm:Win32-Sality.AU". Microsoft. Archived from the original on 2013-09-27. Retrieved 2012-04-22.
  8. ^ a b c d e Microsoft Malware Protection Center (2010-04-28). "Virus:Win32-Sality.G.dll". Microsoft. Retrieved 2012-04-22.
  9. ^ a b c d e Microsoft Malware Protection Center (2010-06-28). "Virus:Win32-Sality.AH". Microsoft. Retrieved 2012-04-22.
  10. ^ a b c d e f g Microsoft Malware Protection Center (2010-08-27). "Virus:Win32-Sality.gen!AT". Microsoft. Retrieved 2012-04-22.
  11. ^ a b c d e f Microsoft Malware Protection Center (2010-10-21). "Virus:Win32-Sality.gen!Q". Microsoft. Retrieved 2012-04-22.
  12. ^ a b c d e Microsoft Malware Protection Center (2008-07-03). "Virus:Win32-Sality.R". Microsoft. Archived from the original on 2014-04-04. Retrieved 2012-04-22.
  13. ^ a b c d Microsoft Malware Protection Center (2008-07-07). "Virus:Win32-Sality.T". Microsoft. Archived from the original on 2014-04-04. Retrieved 2012-04-22.
  14. ^ a b c d e Microsoft Malware Protection Center (2008-07-07). "Virus:Win32-Sality.AN". Microsoft. Retrieved 2012-04-22.
  15. ^ a b c d Microsoft Malware Protection Center (2009-03-06). "Virus:Win32-Sality.S". Microsoft. Retrieved 2012-04-22.
  16. ^ a b Microsoft Malware Protection Center (2008-07-08). "Virus:Win32-Sality". Microsoft. Archived from the original on 2012-01-01. Retrieved 2012-04-22.
  17. ^ a b c d Microsoft Malware Protection Center (2010-07-30). "Virus:Win32-Sality.AU". Microsoft. Archived from the original on 2013-09-27. Retrieved 2012-04-22.
  18. ^ Microsoft Malware Protection Center (2010-07-30). "TrojanDropper:Win32-Sality.AU". Microsoft. Retrieved 2012-04-22.
  19. ^ a b c d e Microsoft Malware Protection Center (2010-04-26). "Virus:Win32-Sality.AT". Microsoft. Archived from the original on 2014-01-30. Retrieved 2012-04-22.
  20. ^ a b c Microsoft Malware Protection Center (2007-11-16). "Virus:Win32-Sality.M". Microsoft. Archived from the original on 2014-04-05. Retrieved 2012-04-22.
  21. ^ a b Microsoft Malware Protection Center (2010-08-10). "Trojan:WinNT-Sality". Microsoft. Archived from the original on 2013-12-05. Retrieved 2012-04-22.
  22. ^ a b Microsoft Malware Protection Center (2010-09-17). "WinNT-Sality". Microsoft. Retrieved 2012-04-22.
  23. ^ Microsoft Malware Protection Center (2010-04-14). "Virus:Win32-Sality.G". Microsoft. Archived from the original on 2014-04-05. Retrieved 2012-04-22.
  24. ^ Microsoft Malware Protection Center (2008-07-08). "Virus:Win32-Sality.AM". Microsoft. Archived from the original on 2013-12-09. Retrieved 2012-04-22.
  25. ^ Microsoft Malware Protection Center (2009-06-17). "Virus:Win32-Sality.gen!P". Microsoft. Retrieved 2012-04-22.
  26. ^ Microsoft Malware Protection Center (2009-09-02). "Virus:Win32-Sality.gen". Microsoft. Retrieved 2012-04-22.