TDL3와 TDL4 식별법

2011.10.17

 

안녕하세요. 안랩인입니다. 안철수연구소는 2009년 하반기TDL3 루트킷(Rootkit)에 대한 분석보고서와 전용 백신을 배포한 바 있습니다.

TDL3는 하드디스크의 언파티션드(Unpartitioned) 영역에 악성코드를 위치시켜 파일로의 존재를 감추는 주요한 특징과 시스템의 파일시스템 드라이버를 패치하여 안티바이러스 제품들로부터 자신을 보호하는 새로운 기법을 사용했습니다. 그 후로부터 몇 개월이 지나지 않아 새롭게 업그레이드된TDL4에 대한 해외 감염보고가 나오기 시작했습니다.

TDL3와TDL4의 가장 큰 차이점은 시스템의MBR(Master Boot Record)을 감염시켜TDL4 루트킷을 자동 실행하게 하는 부트킷 기법이 추가되었다는 점입니다. 또한 윈도우 비스타 이후부터 적용된64비트OS 동작과 커널보안(Driver Signing, Code Integrity) 우회 기법이 새로운 방법으로 업그레이드 되었습니다.

오늘은 기존의 윈도우OS 뿐만 아니라 윈도우 비스타, 윈도우7(x86 & x64)을 아우르는TDL4 부트킷의 감염 특징과 기법, 증상, 치료 방법을 알아보고자 합니다. 

1. TDL의 유래

TDL 루트킷은 2008년 7월경 처음 등장하여 알려지기 시작했습니다. 대표적인 것으로는 TDSS, Alureon, Olmarik 등을 들 수 있습니다. TDL이라는 이름은 당시 악성코드 드라이버 파일 이름(tdlserv.sys)과 악성코드 레지스트리 설정 이름(HKLM＼Software＼tdl)에서 유래되었습니다. 당시에는 ZwEnumerateKey, ZwFlushInstructionCache 함수를 후킹하여 자신의 존재를 은폐시키고 ＼Device＼HarddiskVolume?에 자신의 디바이스를 등록(Attach)시켜 필터링했습니다.

이 TDL 루트킷은 2009년 7월경에는 ‘TDL2/2+’로 업데이트되어 하드디스크의 디바이스 스택에 등록하고 IofCallDriver를 후킹하여 안티바이러스 제품을 회피하였습니다.

 

이어 2009년 말에 발견된 ‘TDL3/3+’은 물리적 디스크의 마지막 부분인 언파티션드 영역에 자신의 악성코드를 저장하고 디스크 디바이스를 패치하여 자신의 볼륨을 만들어 사용하게 됩니다. 악성코드 드라이버는 시스템 프로세스에 쓰레드를 인젝션하여 C&C(Command and Control) 서버와 연결되었습니다.

[그림1] eEye의 부트루트킷 발표 자료

 

2010년 여름 등장한 ‘TDL4’는 MBR(마스트 부트 레코드)을 감염시키는 부트킷(Bootkit) 기법과 x64 시스템 보안 회피로 무장되어 새롭게 등장합니다. 여기서 부트킷이란 시스템에 설치된 OS로 제어권이 넘어오기 전에 디스크의 MBR 코드를 감염시켜 OS의 부트 제어 코드를 패치시키도록 하는 악성코드를 통칭합니다. eEye의 연구원들에 의해 2007년 발표된 ‘부트루트킷’이 오늘날의 부트킷의 시초로 보입니다.

 

2. TDL4의 배포

 

TDL4에 대한 배포 과정에 대해서 2011년 초에 발표된 ESET 연구원(Eugene Rodionov, Aleksandr Matrosov)의 보고서(The Evolution of TDL: Conquering x64)에서 자세한 내용을 확인할 수 있습니다. 이 보고서에서는 TDL3의 배포 과정에는 도그마밀리언스(DogmaMillions), TDL4 배포 과정에서는 갱스터벅스(GangstaBucks)라는 사이버 범죄 집단이 연루되어 있다고 언급했습니다. 이들은 이름만 바꾼 동일한 러시아 마피아로 구성된 범죄조직으로 악성코드와 좀비 PC를 사이버상에서 거래하는 것으로 보고되었습니다.

 

[그림2] 갱스터벅스의 웹 사이트 메인 화면

 

갱스터벅스 조직 아래에는 수천 개의 하청업체가 존재하며, 실제 배포 과정은 이들을 통해서 이루어진다고 보고 있습니다. [그림 3]은 악성코드가 설치된 양에 따라 고객에게 지불을 요청하는 안내문입니다.<Ahn>

 

 

[그림 3] 갱스터벅스의 PPI(Pay Per Install) 방식의 대금 결제

 

*더 자세한 내용은 안랩 홈페이지 에서 보실 수 있습니다.