← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

[악성코드 분석] zxarps.exe

zxarps.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12월 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단

2015-12-24INCA Security Center

zxarps.exe 악성코드 분석 보고서


1. 분석 정보


1.1. 유포경로


zxarps.exe는 특정된 경로는 없으나 유아용 교육 콘텐츠 제작사이트 www.i****lp**s.com 에 압축파일(zx.exe) 형태로 업로드 되어 있으며, 분석 당시(12 15일)에도 다운로드가 가능했다. 실행 시 감염PC 환경에 따라 다른 옵션값을 인자로 줘야 제대로 된 악성 동작을 수행하는 것으로 보아 단독으로 실행되기 보다는 다른 악성코드가 다운받아 실행시키는 것으로 보인다.





1.2. 악성 동작


위 유포지에 업로드 되어 있는 zx.exe파일은 별도의 압축 해제 프로그램이 필요 없는실행 가능한 압축파일이다. zx.exe를 실행하면 “zxarps폴더가 생성되고, 해당 폴더 하위에 아래와 같이 압축 해제된 파일을 확인할 수 있다. 이 중 악성동작을 하는 것은 zxarps.exe파일이며, WinPcap_3_1.exe파일은 zxarps.exe가 동작하는데 필요한 정상 설치 파일이다.





[그림] 압축된 파일






중국에서 만들어진 것으로 보이는 해킹툴 zxarps.exe는 상용 C&C형 해킹툴처럼 감염 PC를 제어하는 등의 동작을 하진 않지만 네트워크에 특화된 악성 동작을 보여준다. 여러 옵션값을 통해 실행을 제어할 수 있으며, 이를 통해 ARP Spoofing, DNS Spoofing, 네트워크 패킷상의 ID/PASS 수집, HTTP 패킷에 iframe삽입 등 감염된 PC가 아닌 동일 네트워크 상의 감염되지 않은 다른 PC들에 대한 악성동작을 수행할 수 있다.


이와 같은 로컬 네트워크에 대한 악성 행위는 MITM(Man In The Middle, 중간자 공격)에 의해 가능해진다. MITM공격은 로컬 네트워크에서 PC간 통신에 사용되는 ARP를 이용한다.


ARPAddress Resolution Protocol(주소 결정 프로토콜)의 약자로, IP주소와 MAC주소를 대응 시키기 위한 통신 규약이다. 로컬 네트워크에서는 IP가 아닌 MAC 주소를 기반으로 통신하는데, 동일 네트워크의 특정 IP와 통신한 경험이 없을 경우, 해당 IP가 어떤 MAC과 일치하는지 PC는 알 수 없다. 따라서 PCARP통신을 통해 IP주소에 해당하는 MAC주소를 일치시키고 이것을 표(ARP table)로 만들어 관리하며, 이후 로컬 통신은 MAC주소만을 사용한다.



[악성코드 분석] zxarps.exe | INCA Security Center | INCA Internet