인기 게임으로 위장한 악성 토렌트 분석 보고서 


 

1. 개요

토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다.


특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는 경우가 많다. 게다가 저작권 우회를 위한 게임 크랙이 함께 들어있어 백신 종료를 권장하는 크랙에 의해 사용자 PC는 위험에 노출되기 마련이다.


이 보고서에서는 최근 인기 게임토렌트로 위장한 악성코드가 어떻게 유포되는지, 또 어떤 악성동작을 하는지 알아보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Client.exe

파일크기

36,352 byte

진단명

Trojan/W32.Agent.36352.SY

악성동작

C&C 백도어

네트워크

h****.ddns.net






 




2-2. 유포 경로

악성파일 Client.exe 는 최신 게임 AssassinsCreed의 실행 파일로 위장하여 유명 토렌트 공유 커뮤니티를 통해 유포되었다다행히 이 커뮤니티에서는 허위 악성 토렌트에 대한 신고기능이 있어 피해가 크지 않을 것으로 보이나 대다수의 커뮤니티는 이런 기능을 지원하지 않기에 토렌트를 통한 파일 공유에는 언제나 주의가 요구된다.

 


[
그림악성 토렌트 유포 게시글

 

 


토렌트 공유 프로그램을 이용해 시드파일(.torrent)을 열었을 경우 다운로드 받을 파일의 목록을 미리 알 수 있다따라서 파일명 및 확장자를 통해 일차적으로 악성파일을 걸러낼 수 있지만 이 악성 토렌트의 경우 압축파일을 공유하기 때문에 다운로드가 완료되기 전까지 내용물을 확인할 수 없도록 하는 치밀함을 보인다.

 


[
그림시드를 통해 다운받을 파일 목록





2-3. 실행 과정

다운로드 된 파일의 압축을 풀어보면 아래[그림]과 같은 파일들을 확인할 수 있다실행방법.txt 파일의 내용은 게임실행에 관한 안내문인데 여기서는 게임 핵의 오진을 이유로 백신종료를 유도하고AssassinsCreedBrotherhood.exe(121,684 byte, 악성) 파일 실행을 요구한다이 파일은 일반적인 게임 실행파일로 보이지만 인스톨 프로그램이며실행 시 두 파일 AssassinsCreedBrotherhood.exe(75,264 byte, 정상)와 Client.exe(악성) 를 생성하고 실행한다

 


[
그림악성파일 실행 안내문


 

[그림게임 실행파일로 위장한 악성 프로그램 인스톨러

 

 

 

비단 AssassinsCreedBrotherhood.exe 뿐 아닌 게임 내의 많은 실행파일이 위와 같은 형태를 띄고 있어 어떤 파일을 실행하더라도 악성코드에 감염될 수 밖에 없는 구조가 된다.


이처럼 정상파일과 악성파일을 합쳐 하나의 정상파일로 위장하는 것은 많은 악성코드에서 활용하는 방식이다알려진 형식으로 합쳐진 파일의 경우 압축해제 도구를 이용해 실행하지 않고도 안전하게 내용물을 확인할 수 있다.


[
그림] C&C 악성코드를 포함하는 위장 인스톨러 및 압축해제 결과



 

3. 악성 동작

3-1. C&C 동작

인스톨러를 통해 실행된 Client.exe 는 C&C 악성코드 형태로 동작한다악성동작에 필요한 IP주소는 정상 DDNS*서비스 제공업체 페이지 ddns.net 으로부터 얻어온다해커는 이곳에 가입하여 자신의 IP를 등록하고악성동작에 이를 활용하지만 현재 해커가 등록한 주소는 응답하지 않는 상태로 악성동작을 수행하지 않는다하지만 해커가 자신의 계정을 활성화 시킨다면 언제든지 악성동작을 재개할 수 있다.

DDNS* - Dynamic DNS 의 약자로 개인 인터넷 사용자 같은 고정되어 있지 않은 IP주소에 URL을 연결시키기 위해 사용된다.

 


[그림악성 서버의 IP를 가져오기 위한 통신

 


 

악성서버에 연결되면 명령을 수신해 프로세스 제어파일 제어추가 다운로드화면 캡처하드디스크 포맷 등의 악성동작을 수행할 수 있다.


[
그림서버의 명령을 수행하는 코드 부분




[
그림하드디스크 포맷

 

 


아래는 C&C 형태로 동작하는 악성코드들이 반드시 수행하는 감염PC 정보수집 부분이다정보수집을 위해 PC의 위치를 검색하는 기능현재 로그인한 사용자의 권한을 확인하는 기능 등 여러 부분에서 한글이 사용된 모습이 보인다.


생명주기가 짧은 악성코드의 특성상 해커는 자신이 가장 익숙한 방식으로 빠르고 많이 악성코드를 생산하려 한다악성서버로 전송하는 문자열에 한글을 사용했다는 점과 여러 지도 제공 사이트 중 국내 포털 사이트를 이용조회된 한글 위치를 그대로 전송한다는 점이 특징이다.


[
그림서버로 전송하는 감염PC정보에 포함된 한글


 


[그림서버로 전송하는 감염PC 위치조회에 이용된 국내 포털 사이트




 

4. 결론

게임 유통방식은 과거 CD, DVD 등 저장매체를 통해 물리적으로 유통되는 방식에서 유통사 전용 프로그램을 통해 인터넷으로 결제 및 다운로드 하는 방식으로 변화하고 있다이러한 정상적인 방식으로 설치된 게임의 경우 파일의 안전을 보장받을 수 있고설령 악성파일이 감염됐다 하더라도 유통사에 책임을 물을 수 있다


하지만 불법적인 경로를 통해 다운받은 파일의 경우 중간에 파일의 변조가 일어나도 확인할 길이 없을뿐더러 이 파일을 실행함으로 발생되는 피해 또한 온전히 사용자가 책임져야 한다제작자의 저작권을 존중하고 합법적으로 콘텐츠를 소비한다면 이러한 위협을 막을 수 있다.


상기 분석한 악성코드들은 모두 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 


[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

C&C 동작의 악성코드 분석 보고서 

 

 

1. 개요

PC나 시스템을 자유자제로 조작하고 감시하는 것은 해킹의 궁극적인 목적이다. 만약 사용자가 자신이 해킹 공격을 당하고 있다는 사실을 인지하지 못한다면 공격의 기간도 길어질 것이고, 피해의 심각성은 커질것이다.


윈도우 필수 프로세스에 인젝션되어 동작하는 악성코드들은 겉으론 보이지 않기 때문에 일반사용자가 쉽게 찾아내기 힘들다또한 C&C 악성동작을 겸비하고 있는 악성코드에 감염된 PC라면 추후 공격에 사용될 가능성이 크다.


악성코드 Trojan.GenericKD.3003712 (factuur2390.exe) 를 분석하며 PC에서 동작하고 있을지 모르는 C&C 악성코드의 위험성에 대해 설명하고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

factuur2390.exe

파일크기

369,664 Byte

진단명

Trojan-Spy/W32.ZBot.369664.AS

악성동작

C&C 동작 및 DDoS공격

네트워크

192.**.***.41

 


2-2. 유포 경로

factuur2390.exe 악성코드는 g****u**.co.kr/bbs/factuur2390.exe 주소를 통해 유포되고 있었다웹 페이지의 bbs 폴더는 일반적으로 자료를 보관하는데 이용되며특히 웹 페이지 제작 및 관리를 위한 CMS(Contents Management System)를 사용하여 만든 사이트에 기본적으로 사용되고 있다.


factuur2390.exe 악성코드의 경우 해당 악성코드의 변종이 다른 여러 웹 사이트에서 동시에 발견 되는 특징이 있었다.  변종 악성파일들은 Schadeformulier_A26000121747.doc.exe”, “JPEG - img545789-545798_schade_fotos_auto_januari_2016-jpeg.exe” 등의 이름으로 유포되고 있었으며 factuur2390.exe와 동일하게 동작 한다또한 유사한 악성파일들이 가짜 파일명과 아이콘으로 위장하여 사용자의 클릭을 유도한다.




[그림여러사이트에서 유포되고 있는 변종 악성코드

 



[그림다른 종류 파일의 아이콘과 확장자 명으로 위장한 악성코드




2-3. 실행 과정

악성파일은 실행 시 가장 먼저 사용자의 Outlook 메일정보를 백업한다백업 파일은 현재 Outlook과 연동 된 계정의 모든 메일 정보를 저장한다.

다음으로 악성코드는 exeplorer.exe 프로세스에 인젝션되어 원격지 악성서버 s****23****er.**/c_**4/file.php 와 통신한다이 후 C&C 명령에 따라 추가적인 악성동작이 가능하나현재 명령을 받아 동작하지는 않는다다만아직 원격지와의 연결이 가능하기 때문에 세심한 주의가 필요하다.



[그림] explorer.exe를 통해 악성 주소지와 통신 대기



 

3. 악성 동작

3-1. MS Outlook 메일 백업

사용자의 Outlook 계정을 백업하는 동작은 Outlook의 내보내기기능과 동일한 동작이며사용 중이던 메일 계정에 관련된 모든 정보가 백업 된다이후 악성동작에서 백업한 파일을 공격자에게 전송 할 것으로 의심되기 때문에 평소 Outlook 프로그램을 즐겨쓰는 사용자의 개인정보 유출이 우려된다.




[그림악성코드 실행 시 생성된 메일 백업 파일

 



[그림]백업 된 메일 조회.


 

3-2. 사용자 PC 정보 수집

악성코드는 감염 PC정보를 수집한다수집하는 정보에는 PC이름, CPU 종류프로세서 코어 수사용 중인 메모리 등의 상세한 정보를 조회한다해당 정보는 암호화 되어 전송 된다.



[그림감염된 PC의 정보를 조회하는 코드

 

 

3-3. 자가복제 및 시작프로그램 등록

factuur2390.exe 는 Application Data 폴더 하위의 임의의 이름을 가진 폴더를 생성하고임의의 파일명으로 자신을 복제한다또한복제한 파일을 자동 실행 되도록 등록한다이때파일의 끝에 약 300바이트 정도가 다르게 생성된다.

다음으로 시작프로그램 폴더 안에 system.pif 로 자기자신을 복제한다. pif 파일은 Program Information File의 약자로써 도스용 프로그램의 실행에 필요한 정보를 기록한 파일이지만윈도우 환경에서도 실행이 가능한 파일이다.

 

 

3-4. C&C 동작

C&C 동작에는 일반적인 C&C방식의 악성코드와 마찬가지로 많은 기능들이 있다추가적인 악성파일을 다운로드 하는 것은 물론이고 클립보드의 내용을 수집하거나 명령을 받아 다양한 DDoS 공격도 가능하다현재는 특별한 명령을 받아 악성동작을 하고 있지는 않지만 감염된 PC라면 언제든지 C&C 동작이 수행 될 수 있다.

 



[
그림메모장에 적힌 내용을 복사했을 때클립보드의 내용을 읽는 부분

 



[
그림] DDoS 공격에 사용되는 각종 문자열




 

4. 결론

분석한 악성코드는 주요 프로세스에 인젝션되어 동작하기 때문에 일반 사용자가 감염사실을 쉽게 인지할 수가 없다또한실행중인 악성코드는 현재 대기 상태에 있지만 나중에라도 공격자의 명령을 받아 C&C 동작을 수행 할 수 있는 위험이 있다.

해당 악성코드는 발견될 당시 PDF 파일이나 그림 파일 등의 아이콘으로 위장하고 파일명도 그럴듯하게 속이고 있다따라서 인터넷 상에서 검증되지 않은 파일을 받을 때는 한번 더 주의하는 습관을 가지고 윈도우의 기본 옵션인 알려진 파일 형식의 파일 확장명 숨기기” 를 해제하여 다른 파일로 위장한 .exe파일을 실행하지 않도록 해야 한다.


마지막으로 최근에 의심스러운 파일을 받아 열어보았거나 실행시켰다면백신 프로그램을 사용하여 악성파일 검사를 수행 해보는 것이 안전하다.



[
그림윈도우 기본 옵션인 알려진 파일 형식의 파일 확장명 숨기기” 해제

 

해당 악성코드는 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

dkmpr4.2.exe 악성코드 분석 보고서 


 

1. 개요

금융권검찰 등의 기관을 사칭하여 가짜 사이트로 연결을 유도한 후 계좌번호비밀번호 및 개인정보를 탈취하는 파밍의 시도가 나날이 증가하고 있으며그 수법 또한 발전하여 더욱 정밀해지고 있다.


이 보고서에서는 최근 새로운 기법을 사용하여 파밍 동작을 수행하는 악성파일이 발견되었기에 동일한 형태의 악성 동작이 의심되는 경우 피해를 방지하고자 해당 파일의 감염방식과 파밍 기법에 대해 기술하였다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

dkmpr4.2.exe

파일크기

78,197 byte

진단명

Trojan/W32.KRBanker.78197

악성동작

파일 생성금융권 파밍인증서 탈취

네트워크

192.***.***.249

192.***.***.39 (파밍)

 


2-2. 유포 경로

dkmpr4.2.exe 는 국내의 한 협회 사이트 www.v****t**n.or.kr/data/exe/dkmpr4.2.exe(1.***.**.89) 에 업로드 되어 유포되었다.



2-3. 실행 과정

dkmpr4.2.exe 실행 시 C:\DOCUME~1\IAMBUS~1\LOCALS~1\Temp\efkjg\pmqij.dll 파일을 생성한다생성하는 파일명과 폴더명은 모두 임의의 문자이다.


DLL 파일은 단독으로 실행될 수 없기 때문에 윈도우 정상파일인 rundll32.exe 를 이용하여 실행시킨다이 때, dkmpr4.2.exe 파일에 의해 첫 번째로 실행된 pmqij.dll 파일이 자신을 한 번 더 실행시키고두 번째로 실행된 pmqij.dll 파일이 파밍 동작을 수행한다첫 번째로 실행된 pmqij.dll 은 지속적으로 두 번째로 실행된 pmqij.dll 파일의 실행여부를 확인하다가 종료된 경우 계속해서 다시 실행시키는 역할을 함으로써 지속적인 파밍 동작의 수행이 가능하다.



[그림] 이중으로 실행된 pmqij.dll



 

3. 악성 동작

3-1. 자동실행 레지스트리 등록

dkmpr4.2.exe 실행 시 첫 번째로 실행된 pmqij.dll 파일이 윈도우 부팅 시마다 실행되기 위하여 자신을 자동실행 레지스트리에 등록한다.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"WT"="c:\windows\system32\rundll32.exe "C:\DOCUME~1\admin~1\LOCALS~1\Temp\efkjg\pmqij.dll",Writeable"

[자동실행 레지스트리 등록


 

3-2. 자동 구성 스크립트 설정

두 번째로 실행된 pmqij.dll 은 파밍 동작을 수행한다우선 파밍 동작 수행을 위해 “AutoConfigURL” 레지스트리 값을 생성하고 주소를 설정한다.


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"AutoConfigURL"="http://127.0.0.1:12220/?mdeYmZiY"

[] PAC 위한 레지스트리 등록

 



“AutoConfigURL” 레지스트리 값이 생성됨으로써 자동 구성 스크립트를 사용하도록 설정되고사용자가 URL 입력 시에 연결할 IP 정보를 알아오기 위하여 레지스트리 값에 등록된 주소에 질의한다.


레지스트리 값에 등록된 주소가 “127.0.0.1:12220” 이므로 자신의 PC에서 12220 포트에 질의하게 되는데해당 포트는 pmqij.dll 파일이 LISTENING 하는 상태인 것을 확인할 수 있다따라서사용자가 웹 브라우저에 URL 을 입력하면 웹 브라우저는 연결하기 위한 IP 를 알아오기 위하여 우선 127.0.0.1:12220, 즉 pmqij.dll 에 질의를 하게 된다.


pmqij.dll 파일은 질의된 URL 이 금융권 주소일 경우 변조된 가짜 금융권 사이트와 연결하기 위한 IP 를 답변하여 금융권 파밍을 수행하게 된다.

 



[그림] pmqij.dll 의 네트워크 통신 현황


 


pmqij.dll 파일 내에는 Dean Edwards Packer 로 난독화 된 자바스크립트 코드가 존재한다해당 코드는 자동 구성 스크립트” 설정에 따라 URL 에 연결할 IP 주소에 대한 질의가 오면 해당 URL 이 금융권 사이트와 동일한지 여부를 확인하여 금융권 사이트 일 경우 변조된 가짜 금융권 사이트와 연결하기 위한 IP (192.***.***.39) 를 답변하여 파밍을 유도하는 코드로 확인되었다.



[
그림난독화 된 자바스크립트 코드



 

금융권 사이트 URL 확인에 사용되는 알고리즘에 의해 URL 에 대한 SHA-1 을 이중으로 구하고 해당 값을 내재되어 있는 SHA-1 값과 비교하는 방식을 사용하였다.



[그림복호화 된 자바스크립트 코드



 

자동 구성 스크립트” 설정은 웹 브라우저의 [도구] → [인터넷 옵션] → [연결] 탭 → [LAN 설정] 에서 확인할 수 있다.




[
그림] “자동 구성 스크립트” 설정



 

3-3. 금융권 파밍

pmqij.dll 파일의 답변에 따라 변조된 IP 는 가짜 포털 사이트로 연결하게 하며보안관련 인증절차를 진행하라는 팝업이 발생한다.



[
그림변조된 검색엔진 사이트

 



해당 팝업에서 특정 은행을 선택할 경우 변조된 금융권 사이트로 연결되고 인터넷 뱅킹 이용을 위해 추가 인증이 필요하다는 팝업이 발생한다.



[
그림변조된 금융권 사이트



 

팝업은 무조건 가짜로 생성된 전자금융사기예방서비스 페이지로 연결되며 계좌번호비밀번호 등 개인정보를 요구한다.



[
그림가짜 전자금융사기예방서비스 페이지




 

4. 결론

Hosts 변조를 통한 파밍 수법이 많이 알려지자 dkmpr4.2.exe 파일의 자동 실행 스크립트” 사용 방식과 더불어 다양한 파밍 수법이 성행하고 있다금융권검찰 등은 계좌비밀번호 등의 개인정보를 수집하지 않는다는 사실을 숙지하고 개인정보 관리에 유의해야 한다.

 

잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

전자서명을 도용해 유포된 악성코드 분석 보고서  


 

1. 개요

최근 한 전자서명 업체의 코드서명(코드사인)이 해킹되어, 악성코드 유포에 악용된 사건이 발생했다. 특정 프로그램의 게시자 정보를 알려줘 믿고 다운받을 수 있게 해주는 코드서명을 이용해, 사용자가 서명된 악성파일을 의심없이 다운받고 실행하도록 한 것이다.


본 보고서에선 코드서명을 악용하여 유포된 악성코드 Trojan/W32.Agent.78592.I 를 분석하여, 운영체제의 서명 파일 취급과정과 해당 악성코드의 악성동작에 대해 알아보고자 한다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

275b7.exe

파일크기

78,592 byte

진단명

Trojan/W32.Agent.78592.I

악성동작

다운로더

네트워크

165.***.***.67:443

 


2-2. 용어 설명

일반적으로 통장개설보험 계약 등에 사용되는 서명이 본인 자신을 인증할 때 쓰이는 것처럼 전자서명’ 은 인터넷 안에서 서명’ 과 같이 본인인증 용도로 쓰인다여기에 추가적으로 내가 서명한 대상(문서·실행파일·웹사이트·또 다른 전자서명 등)이 위조되지 않았다는 무결성 검증 기능을 갖고 있다


코드서명의 경우, 설치하려는 프로그램 게시자 정보를 알려주어 신뢰도와 안전성 여부를 확인할 수 있는 전자서명이다. 사용자는 아래 [그림1]과 [그림2]를 통해 서명된 파일과 그렇지 않은 파일을 구분할 수 있다. 분석에 사용된 파일은 서명되지 않은 임의로 실행파일 dummyGUI.exe 와 서명된 악성코드 Trojan/W32.Agent.78592.I 이다. 



[그림 1] 서명 여부에 따른 웹 브라우저 다운로드 알림창 차이




[그림 2] 서명 여부에 따른 실행화면 차이





두 파일은 다운로드 및 실행에도 확연한 차이를 보이며, 운영체제에서 적용하는 정책 또한 다르다. 다운로드 및 실행 시 보이는 화면 외에도 사용자는 해당파일을 마우스 우클릭 후 '속성 – 전자 서명에서 전자 서명의 세부 항목을 확인해 볼 수 있다.


이 악성코드엔 과거 정상적으로 사용되던 전자 서명이 되어있어 의심 없이 실행시킬 위험이 있다현재 해당 서명은 전량 폐기되었고 새로운 서명 파일이 배포 및 조치되었다.



[그림 3] 악성코드의 전자 서명 및 서명 인증서




2-3. 실행 과정

악성코드는 최초실행 시 자기 자신을 C:\Program Files\Common Files\Graphics\guifx.exe로 자가 복제하고 /run 옵션을 주어 실행시킨다. /run 옵션은 최초실행과 이후 실행을 구분하기 위해 사용된다복제한 파일에는 파일 끝에 임의의 4byte를 추가하여 해쉬값을 바꿔준다또한 복제한 파일이 자동 실행되도록 레지스트리를 수정하고 자가삭제 및 종료한다.



 

3. 악성 동작

3-1. 추가 파일 다운로드

이후 실행된 guifx.exe 는 악성서버 165.***.***.67와 통신하며 추가 파일을 다운로드 및 실행한다. 이때 단순히 서버의 파일을 가져오는 것이 아니라 매 다운로드 시도 간격을 조절할 수 있어 악성 트래픽 유발을 최소화하는 것으로 보인다.

 



[그림 4] 악성서버와 통신 시도



 

[그림 5] 다운로드 시도 간격 조절




서버와 접속에 성공한다면 사용자 임시폴더 하위에 추가 파일을 다운로드 및 실행한다. 이 때 파일명은 서버에서 지정하지 않는 경우 sec.exe 로 고정된다. 추가 악성파일을 서버에서 다운로드 받기 때문에 이 악성코드에 의한 추가적인 위협은 현재 확인되지 않는다.

 



[그림 6] 파일 다운로드 및 실행




3-2. 위장 파일 실행

또 다른 악성파일 c2a17.dll 은 다른 프로세스를 실행시키는 역할을 한다. 이때 실행시키는 파일명은 코드서명을 해킹당한 업체에서 주로 사용하는 파일명과 동일하다.

 



[그림 7] 파일 실행




 

4. 결론

이번 사건에서 알았다시피, 서명된 파일이라고 실행파일을 무조건적으로 신뢰해 다운 및 실행을 해서는 안된다. .jpg .txt 등 단순 데이터를 담고 있는 파일과 다르게 실행파일은 PC에 직접적인 악영향을 끼칠 수 있기에 실행 전 반드시 백신 검사를 수행하고, 실시간 감시 기능을 사용하는 것이 바람직하다.


위 악성코드는 모두 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서


 

1. 개요

최근금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다.


금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다.


이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 보이지 않았던 루프 백 DNS 방식을 사용한 파밍 기법에 대해 설명하고자 한다.

 



[
그림악성코드 유형별 비율 (자료출처한국인터넷진흥원)



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

smo.exe

파일크기

64,696 byte

진단명

Trojan/W32.JPBanker.64696

악성동작

인터넷 뱅킹 파밍

네트워크

103.***.***.167

 


2-2. 유포 경로

smo.exe 는 http://g****m*.com/bbc/smo.exe 주소를 통해 유포되고 있었다주목할만한 부분은 일본 금융권을 표적으로 한 악성코드가 국내 사이트에서 발견 되었다는 점이다따라서취약하거나 잘 관리되고 있지 않은 국내 사이트가 일본 대상 파밍 공격 유포지로 이용되고 있는 것으로 보인다.



[그림중간 경유지로 이용되고 있는 국내 사이트


2-3. 실행 과정

smo.exe 악성코드는 실행 시 프로세스로 상주하며 yahoo.co.jp와 일본은행 도메인에 대해 DNS 변조를 시도 한다DNS 변조로 사용자는 피싱 사이트에 접속하게 된다. 피싱 사이트엔 사용자 정보를 탈취할 수 있도록 제작되어 있다.


하지만 smo.exe 파일의 경우, 실행이 지속되어야 파밍 공격의 성공률이 높아지는데 재부팅 시에는 파일이 다시 실행되지 않는 점을 가지고 있다결과적으로악성코드가 정상적으로 동작하더라도 사용자가 PC를 재부팅하면 파밍 동작이 수행되지 않는 것이다


따라서일련의 완벽한 악성동작을 위해선 수집한 smo.exe 파일 외에 또 다른 모듈이 있었을 것으로 보여진다.



 

3. 악성 동작

3-1. 방화벽 검사 예외 등록

악성코드는 방화벽 관련 COM 오브젝트를 이용하여 자기 자신을 Sevsl이라 명하고, 방화벽 검사를 예외처리 한다만약해당 악성코드에 대한 예외처리를 해제 한다면 파밍 동작은 수행되지 않는다.




[그림악성파일을 방화벽 검사 예외로 등록




3-2. DNS 변조, 피싱 사이트 연결

악성코드는 특정 값으로 인코딩 되어 있는 비주얼 베이직 코드를 복호화하여 DNS 설정을 변경한다복호화 된 비주얼 베이직 코드는 '[그림복호화 된 DNS 변조 코드' 와 같으며첫 번째 DNS 주소를 사용자 PC 자신으로 만들고(루프 백두 번째 DNS 주소는 구글(Google) DNS 주소로 변경 하는 동작을 한다구글의 정상 DNS 서버를 두 번째 주소로 사용하는 이유는 악성코드의 표적이 아닌 사이트의 도메인 네임 요청이 들어 왔을 경우인터넷 연결을 정상적으로 동작 시키기 위함이다.


루프 백 IP란 자기자신을 가리키는 IP로써 127.0.0.1 이라는 고정된 주소 값을 가진다해당 악성코드는 루프 백 IP DNS를 변조시켜 악성코드 자신이 DNS 서버가 된다이후 사용자가 발생시킨 DNS 쿼리 중 공격 대상 사이트가 존재할 경우 피싱사이트로 연결해주는 동작을 한다.

 



[그림복호화 된 DNS 변조 코드



[그림복호화 된 DNS 변조 코드 (정렬)

 




마지막으로 악성코드가 DNS 서버로 동작하기 위해서는 53번 포트를 사용해야 한다. 53번 포트는 잘 알려진 포트(Well-known port) 중 하나이며 DNS 프로토콜을 위해 사용된다해당 파일은 bind 함수를 사용하여 53(0x35) 포트를 사용하도록 설정한다.




[그림] bind 함수를 사용하여 53번 포트를 할당

 




모든 설정이 끝난 smo.exe 파일은 PC 에서 DNS 서버 역할을 하기 위해 특정 주소(u***s.q***e.**.com)에서 피싱 사이트 IP주소를 가져온 뒤 공격 대상이 되는 도메인에 대해 변조를 수행한다또한인터넷 익스플로러 시작페이지를 yahoo.jp 로 변경하여 사용자가 인터넷에 접속 시 바로 피싱 사이트로 접속하게 한다.

 




[그림] DNS 서버 동작을 하고 있는 smo.exe




[그림특정 주소지에 변조 할 IP를 요청




[그림변조된 도메인 IP

 



3-3. PC 정보 탈취

해당 악성코드는 감염된 PC MAC 정보를 전송하는 정보탈취 동작을 수행한다.





[그림감염된 PC MAC 주소 전송




3-4. 피싱 사이트계정 탈취

루프 백 DNS 변조기법을 사용하여 파밍 동작을 수행한 이후 피싱 사이트에서의 악성동작은 다른 피싱 사이트들의 악성동작과 크게 다르지 않다처음 접속되는 yahoo.jp 를 통하여 총 8개의 일본은행 피싱 사이트로 접속을 유도하며각 은행사에 대한 또 다른 피싱 사이트를 통해 사용자가 입력한 계정 정보를 공격자에게 전송한다.





[그림] yahoo.jp 의 피싱 사이트에서 가짜 경고문 생성

 




총 8개의 은행에 대한 피싱 사이트를 운영하고 있으며 아래 은행이 대상 사이트이다.




bk.mufg.jp

resonabank.co.jp

japannetbank.co.jp

mizuho.co.jp

shinseibank.com

smbc.co.jp

rakuten-bank.co.jp

jp-bank.japanpost.jp


[피싱 공격의 대상이 되는 금융권 사이트




은행 피싱 사이트에서는 어떤 링크를 누르더라도 하단의 웹 페이지로 연결되며 경고문과 함께 로그인을 요구하고 있다물론 해당 웹 페이지는 정상페이지가 아니며 계정정보를 입력 후 로그인 버튼을 누르면 사용자 계정정보가 특정 서버로 전송된다.




[그림가짜 로그인 화면




[그림사용자 로그인 계정정보가 전송




 

4. 결론

smo.exe 의 전체적인 동작은 기존 국내에서 활동하던 파밍 악성코드가 동작하던 방식과 매우 유사하다다만그 대상이 일본은행으로 바뀌었고일본 내 금융환경에 맞게 공인인증서 탈취와 같은 불필요한 동작이 제거되었다또한파밍의 방법에 있어 최근에 자주 쓰이던 파밍 방식과 다른 방식을 사용했기 때문에 다양한 방면으로 공격을 시도하고 있음을 알 수 있다.


국내에 비해 일본은 파밍 공격 악성코드가 잘 알려져 있지 않았고사회적으로도 큰 이슈가 되지 않았기 때문에 계속적인 피해가 우려된다. 또한, smo.exe 은 해외에 거주하고 있는 재외국민들도 해외 금융권 거래에서 더 이상 안전 할 수 없음을 시사한다


따라서 금융거래 시에 개인 이용자 스스로 항상 주의를 기울이는 것은 물론관련기관 또한 악성공격에 대한 대비와 충분한 홍보가 이루어 져야 할 것이다해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

BLACK ENERGY 악성코드 분석 보고서

 


1. 개요

지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다.


                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

BlackEnergy.xls

파일크기

734,724 byte

진단명

Trojan-Dropper/X97M.BlackEnergy

악성동작

xls 매크로




 


2-2. 유포 경로

이 사건과 관련하여 언론매체에서는 MS 오피스 문서에 포함된 매크로 악성코드가 공격의 시작이라 말하고 있다. 또한, 스피어 피싱 기법을 사용하여 사용자의 흥미를 끄는 이메일 첨부파일을 통해 악성파일 실행을 유도한다. 이렇게 감염된 PC는 추가 악성 모듈 다운로드백도어 등의 동작을 수행해 감염 PC 네트워크에 대한 공격의 발판으로 이용된다.



2-3. 실행 과정

악성 .xls 파일에는 악성 코드를 생성 및 실행하는 매크로가 등록되어 있다. .xls 파일의 매크로가 실행되기 위해선 사용자가 직접 매크로를 활성화해야 한다매크로를 허용하지 않는다면 악성동작이 수행되지 않지만피해자가 관심을 가질 만한 내용으로 위장한 파일이거나매크로 사용이 빈번한 사용자라면 매크로 실행이 허용될 수 있다. (일반적으로 매크로를 허용하지 않을 시 대체로 문서의 내용을 볼 수 없다고 표기된다.)


스피어 피싱 이메일에 포함된 오피스 파일은 매크로 악성코드와 유사한 형태의 동작을 수행한다. .xls 문서 파일에서 실행되는 악성코드는 최종적으로 원격지 서버에 접속을 시도하며연결에 성공 시 추가 악성코드를 다운로드 한다.

매크로 실행을 허용하면 아래 경로에 악성 파일을 생성하고 실행한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\vba_macro.exe




[
그림매크로 보안경고 알림




[
그림엑셀 매크로 악성코드




매크로로 생성된 파일 vba_macro.exe 은 또 다른 악성파일 FONTCACHE.DAT 을 생성 및 윈도우 정상 프로세스 rundll32.exe 를 이용하여 자동실행 등록한다이후 악성동작은 이 파일을 이용해 이뤄진다.




[
그림생성된 vba_macro.exe 의 악성동작, FONTCACHE.DAT 생성





[그림자동실행 등록하는 .lnk 파일 및 그 내용




 

3. 악성 동작

3-1. 원격지 연결

APT 공격은 장기간에 걸쳐 지속적으로 이뤄지는 만큼 악성코드의 업데이트 및 네트워크, PC 정보 수집에 관한 동작이 다수를 이룬다. FONTCACHE.DAT 또한 이러한 역할을 하는 모듈로써원격 연결을 이용해 해커가 언제든 감염 PC에 접근할 수 있기 때문에 공격 대상 네트워크에 대한 지속적인 위협을 가할 수 있다.


실행중인 FONTCACHE.DAT는 RPC통신을 이용하여 원격지와 연결을 시도한다원격지 주소는 http://5.***.***.114/ Microsoft/Update/KC074913.php 와 같으며 현재는 접속되지 않지만 연결에 성공 시 추가 악성코드를 다운로드 할 것으로 보인다.





[
그림] RPC 통신




[
그림원격지 연결 시도




[그림접속 시 추가 악성파일 생성 코드

 


 

3-2. MBR 파괴

MBR(Master Boot Record)이란 파티션 된 저장장치(하드 디스크이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


Black Energy 의 일부인 KillDisk 의 변종으로 MBR파괴 동작을 수행하는 모듈이다실행 시 특정 레지스트리를 검사하여 중복실행 되지 않을 때에만 동작한다. %Windows% 하위에 svchost.exe 로 자신을 복사하고 이 파일을 서비스로 등록한다서비스로 동작되면 PC의 MBR영역과 함께 특정 확장자를 가진 파일을 0으로 덮어쓰고 강제 재부팅 시켜 PC를 사용 불가능한 상태로 만든다.






[그림파괴대상 물리드라이브 및 파일 확장자





[그림파괴된 MBR





[그림파괴된 파일

 


 

4. 결론

국내 사용자를 대상으로 시도 때도 없이 배포되는 KRBanker, 랜섬웨어 등을 보고있으면 우크라이나에서 발생한 해킹공격은 너무 먼 이야기로 들릴지 모른다하지만 악성코드는 해커들 사이에서 쉽게 공유되고 변형된다국내를 대상으로 한 동일 변종이 나타나지 말란 법은 없다실제로 해외 보안 업체에 따르면 Black Energy 또한 2014 10월부터 꾸준히 업데이트 되며 사용한 악성코드기도 하다.


잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Autoshut.exe 악성코드 분석 보고서  


 


 

1. 개요

국회 미래창조과학방송통신위원회 국정감사에 따르면, 금융권, 검찰 등의 기관을 사칭하여 가짜 사이트로 연결을 유도한 후 계좌번호, 비밀번호 및 개인정보를 탈취하는 파밍 사기 건수가 2012년 대비 2015년에는 3년만에 50배 이상 급증한 것으로 집계됐다. 건수와 비례하여 피해 금액 또한 대폭 증가하였다.


이러한 파밍 사기는 비단 국내 문제로만 국한되지 않는다. 최근 일본에서도 파밍 악성코드의 유포가 점점 활발해지는 정황이 포착되었으며, 다수의 변종이 지속적으로 업데이트 되면서 동작이 점차 정교해지고 있다. 우리나라와 달리 일본에서는 파밍 공격에 대해 알려진 사례가 거의 없다는 점에서 피해가 확산될 우려가 있다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Autoshut.exe

파일크기

102,400 Byte

진단명

Trojan/W32.JPBanker.102400

악성동작

파일 생성, 인터넷뱅킹 파밍

네트워크

27.***.**.48, 180.***.***.15

 



 

3. 악성 동작

3.1. 파일 생성

autoshut.exe 실행 시 일본어로 구성된 타이머가 실행되어 언뜻 정상파일로 보일 수 있다. 하지만 특정 조건이 만족될 경우 C:\3lpx7x7t13\Ruyonfn.exe 파일을 생성 및 실행시키고, 이 파일로 파밍 동작을 수행한다. 생성하는 폴더명과 파일명은 모두 임의의 문자이다.


[
그림] autoshut.exe 실행 화면

 

 

3.2. 자동실행 레지스트리 등록

실행된 Ruyonfn.exe 파일은 윈도우 부팅 시마다 자동 실행되기 위하여 레지스트리에 등록한다.


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"InterMgr"=" C:\3lpx7x7t13\Ruyonfn.exe /Klaunchp"

 

 

3.3 DNS Client 서비스 메모리 변조

사용자가 인터넷 창에 URL 을 입력할 경우 DNS 서비스는 hosts 파일을 우선 조회하여 입력한 URL 과 매칭되는 IP 가 있을 경우 해당 IP 로 연결한다. Ruyonfn.exe 파일은 hosts 파일과 동일한 역할을 하는 새로운 파일을 생성하고, DNS 서비스가 해당 파일을 참조하도록 메모리를 변조하는 방법으로 파밍을 수행한다.


기본 hosts 파일은 변조되지 않았고, DNS 서비스의 메모리 변조 유무를 쉽게 확인할 수 없기 때문에 일반 사용자들은 파밍에 좀 더 쉽게 넘어갈 수 있게 된다.

 

자동실행 레지스트리 등록을 완료한 Ruyonfn.exe hosts 파일의 경로와 비슷하도록 C:\windows\system32\drivers \3lp 하위에 3lpx7 파일을 생성한다. 파일명 3lpx7 과 폴더명 3lp 는 모두 임의의 문자이다.


생성한 파일 3lp7의 내용은 hosts 파일과 동일한 형식이되 yahoo.co.jp 를 악성 서버 27.***.**.48 로 연결하도록 수정되어있다.



구분

Hosts 경로

원본 경로

C:\Windows\system32\drivers\etc\hosts

대체 경로

C:\Windows\system32\drivers\3lp\3lpx7

[] hosts 파일 경로 변조

 


[
그림] hosts 대체 파일 3lpx7

 



이후 DNS Client 서비스의 메모리에서 “\drivers\etc\hosts” 파일을 참조하도록 설정된 문자열을 새로 생성한 “\drivers\3lp\3lpx7” 파일을 참조하도록 변조한다.




[
그림] 변조된 DNS Client 서비스의 메모리

 

4. 결론

autoshut.exe 는 파밍 기술 중 DNS Client 서비스 메모리 변조 방식을 사용하여 일반 사용자가 파밍 임을 빠르게 눈치채고 대응하기 어렵게 한다.

잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

토렌트를 통한 유포방식의 악성코드 분석 보고서  



1. 개요

플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다.


토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 위키백과]


하지만 그 편의성과 접근성으로 인해 악성코드의 주요 공격수단으로 이용되고 있기도 하다. 이 보고서에서는 안전한 PC이용을 위해 토렌트를 이용한 악성코드 유포방식에 대해 살펴보겠다.

 

 

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe

파일크기

430,080 byte …

진단명

Trojan/W32.Agent.430080.SL …

악성동작

C&C, 백도어 등

 

 

2-2. 유포 경로

아래 토렌트 파일들은 모두 유명 토렌트 공유 사이트들에서 수집한 파일들이다. 공유 사이트의 성격에 따라 다르지만 일부 사이트들은 저작권 침해자료, 성인자료 공유, 기타 문제 등으로 사이트 차단이 번번이 일어난다. 문제는 이런 사이트들은 사이트가 차단될 때 마다 서버의 주소를 바꿔 운영하며, 불법 자료 공유는 끊이지 않아 완전한 차단에 어려움이 따른다.




2-3. 실행 과정

윈도우 OS에선 확장자를 통해 파일과 프로그램을 연결한다. 예를 들어 .doc 확장자를 갖고 있는 파일은 더블클릭 시 워드 프로세서가 실행된다. 이와 마찬가지로 .torrent 파일을 더블 클릭하면, 토렌트 공유 프로그램이 실행된다. 이처럼 실행을 위해 별도의 프로그램이 필요한 일반 파일과 달리, 악성 코드는 그 자체가 하나의 프로그램이다. 때문에 토렌트 공유 사용자들에게 자신을 .torrent 파일, 혹은 기타 정상 파일로 보이도록 다양한 수법을 활용해 위장하고, 사용자의 실행을 유도한다.




 

3. 유포 방식

3-1. 업로드 파일 확장자 수정

해커 입장에서 가장 간단하면서도 손쉬운 방식이다. 게시글의 첨부파일에는 일반적으로 .torrent 파일만 올린다는 점을 이용하여, 파일명을 torrent 파일처럼 보이게 바꾸고, 확장자를 .exe로 하여 업로드 하는 수법이다. 다운로드 완료 시 바로 실행버튼을 누른다면 .torrent 가 실행되는 대신, 악성코드에 감염될 것이다.



[
그림유포사례, 확장자 수정

 

여기서는 단순히 확장자를 바꾸는 예시만 있지만, 경우에 따라 파일명에 긴 공백을 넣어 다운로드 시 확장자가 노출되지 않게 하는 수법도 즐겨 사용되고 있다. 또한 실행파일의 아이콘을 임의로 설정할 수 있다는 점을 이용, 얼핏 보기에는 토렌트 파일과 차이점을 알 수 없게 만든다.


아래는 재현을 위해 임의로 설정한 예시이다. 같은 폴더에 있는 두 파일은 파일명이 동일해 보인다. 하지만 동일 폴더에 동일 파일명을 가진 두 개 파일은 함께 존재 할 수 없다. 실제로 두 파일은 정상 .torrent 파일과 긴 공백을 삽입한 악성 실행파일(.exe)이다.



    











[그림] 보기(V)-자세히(D),    보기(V)-간단히(L)

 


 

3-2. 압축파일 업로드

토렌트 공유 사이트는 첨부파일로 .torrent 파일을 업로드 하는 것이 일반적이다. 이 유포 방식은 토렌트 대신 압축파일을 업로드 해 두고, 압축을 풀면 토렌트 파일을 얻을 수 있다고 설명한다. 여러 개의 토렌트 파일을 동시에 공유하기 위해 실제로 정상 압축 파일을 공유하는 경우도 있지만, 대다수는 토렌트로 위장한 악성파일이 나올 뿐이다.



[
그림] 압축파일 유포사례

 


위 유포지 에서 다운받은 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip”파일의 압축을 풀면 마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe” 파일을 얻을 수 있다. 토렌트 파일이 주로 사용하는 파일명을 사용하고, 아이콘 또한 토렌트 파일 같지만 이는 악성 실행파일이다.




[
그림] 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip 압축 해제 결과

 


 

3-3. 도움말 파일(.chm)을 통한 유포

.chm 확장자를 갖는 파일은 컴파일 된 HTML 도움말 파일이라는 정상 파일 형식이다. 이는 검색, 색인, 온라인 도움말 등 도움말을 쉽게 찾아보기 위해 개발된 파일 형식으로 일반적으로 아래와 같은 실행 화면을 확인할 수 있다.




[
그림] 정상 .chm 파일




.chm 파일은 온라인 도움말 등의 편의기능을 제공하기 위해 일반 문서파일형식(DOC, TXT )과 다른 특징이 하나 있는데, 그것은 html 페이지를 그대로 사용할 수 있다는 점이다. 아래의 악성파일 영상 보기전에 읽어주세요.chm”에는 악성 스크립트가 삽입된 razor.htm 파일이 존재한다.



[
그림] 유포사례




[
그림] 토렌트 파일의 내용

 


.chm 파일을 실행하면 아래와 같은 화면을 확인할 수 있는데, 이는 razor.htm 파일이 출력된 것이다. razor.htm의 소스코드에는 악성서버 http://c****c***g.s****i*c.com:2721/flyy.exe 로부터 파일을 다운받아 실행하는 코드가 들어있다.



[
그림] 악성 .chm 실행 화면 (razor.htm)




[
그림] razor.htm 파일 내의 악성 스크립트 




현재는 서버에 접속이 되지 않는 상태로, .chm 파일을 실행한다고 해서 감염되진 않으나 해커가 서버를 활성화 시킨다면 언제든 악성코드를 다운 받을 수 있다는 점, 그리고 그 악성코드가 언제든 교체될 수 있다는 점에서 매우 주의가 요구된다.

 

 

3-4. 화면보호기 파일(.scr)을 통한 유포

.scr 확장자를 사용하여 유포하는 사례이다. 대부분의 동영상 플레이어는 동일 파일명을 가진 영상파일과 자막파일이 같은 폴더 내에 있을 경우, 두 파일을 자동으로 함께 재생시키는 기능이 있다. 이 때문에 자막이 있는 동영상의 경우 동일한 이름의 두 파일이 함께 공유되는 형태가 다수를 차지한다.


동영상 자막에 사용되는 확장자는 .sub, .smi.srt s로 시작하는 확장자가 많이 사용된다. 이에 익숙하지 않은 사용자의 경우 .scr 확장자 또한 자막파일로 오해하고 실행하기 쉽다. 이를 이용하여 실행을 유도하거나 혹은 .scr 파일 자체를 동영상 파일로 위장하여 유포하는 사례 등이 자주 발견된다.




[
그림] .scr 확장자를 이용한 유포사례

 



.scr 확장자는 윈도우 화면보호기를 위해 쓰이는 정상적인 확장자이다. 하지만 이 파일형식을 이용해 파일을 실행할 수 있다는 점이 문제가 된다. .scr 확장자를 이용한 악성코드 유포는 비단 토렌트 뿐 아닌 다른 형태의 유포에도 즐겨 사용되는 방법으로써, 언제나 화면보호기 파일을 이용할 때에는 신뢰할 수 있는 파일인지 검증이 요구된다.




 

4. 결론

위에 나열된 방식 외에도 악성코드가 PC를 감염시키기 위해 자신을 위장하는 방식은 실로 다양하다. 일차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다. 또한 토렌트를 이용한 이런 감염 유도는 주로 불법적인 사이트에 국한되어 있기에, 합법적인 경로를 통해 건강한 콘텐츠이용을 하는 것이 바람직하다.


토렌트로 위장한 악성코드는 C&C 서버 등 사용자의 PC에 백도어를 설치하는 형태가 다수를 차지했다. 상기 나열된 악성코드 들은 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
Posted by nProtect

k01922.exe 악성코드 분석 보고서  


1. 개요


인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 


다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



 

 

2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

k01922.exe

파일크기

175,616 byte

진단명

Trojan/W32.KRBanker.175616.E

악성동작

인터넷 뱅킹 파밍

네트워크

m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***.57

 


 

2-2. 유포 경로

k01922.exe 의 유포경로에 앞서, 애드웨어 WindowsTab 에 대해 알 필요가 있다. WindowsTab nProtect에서 진단하는 애드웨어 중 하나로, 파일을 다운로드 할 때 끼워팔기 형태로 설치되며, 사용자가 원치 않는 쇼핑몰 바로가기 등을 생성한다.


WindowsTabhttp://www.m***.co.kr/app/windowstab/windowstab.php 를 통해 설치 및 업데이트 된다. 이 웹 페이지에 WindowsTab이 설치된 PC에 관한 여러 정보를 전송하면, 설치 파일 및 설치관련 정보를 다운받아오는 형태로 동작한다.


문제는 k01922.exe가 유포되는 웹 서버 또한 동일한 기능을 지원한다는 점이다. k01922.exe가 업로드 되어 있는 웹 서버(http://j****o*l.org/files/ad_25/windowstab.php) 또한 windowstab.php 파일이 확인되고, 이 페이지는 m***.co.kr windowstab.php 와 완전히 같은 기능을 하지만, 애드웨어 windowstab.exe 가 아닌, k01922.exe 를 다운받도록 수정되어 있다.



[
그림] 애드웨어 업데이트(), KRBanker 업데이트()

 



이는 애드웨어의 업데이트서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있음을 보여준다.


불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 이미 여러 백신업체에서 진단하고 있다. 하지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단 되기까지 짧은 공백이 존재할 수 있다. 또한 애드웨어는 사용자의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 정상 제휴 프로그램 처럼 설치되기에 감염사례가 매우 많다. 실제로 ISARC12월 악성코드 치료 통계자료에서 많은 PC가 애드웨어에 감염되어 있었음을 확인할 수 있다.




[
그림] 201512월 악성코드 유형 비율
(출처 - ISARC 12월 월간보안동향 보고서)

 



악성파일은 시간대별로 다르게 업로드 되어 유포된다. 시간대는 대체로 오후 3시부터 7시 사이로, 이 기간에만 잠시 동안 악성코드가 업로드 되었다 사라진다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 금융권 파밍 악성코드란 공통점이 있다. 테스트일 현재(2016-01-19 16) ad_25/k01922.exe 가 업로드 되어있고, 애드웨어의 정기 업데이트 기능을 이용해 유포될 것으로 보인다.



날짜

업로드 파일

2015-12-18

http://j****o*l.org/*****/*****/dwaof.exe

http://j****o*l.org/*****/*****/ress1.exe

2015-12-19

http://j****o*l.org/*****/*****/zcmsk.exe

2015-12-22

http://j****o*l.org/*****/*****/fwbbg.exe

http://j****o*l.org/*****/*****/olfhb.exe

http://j****o*l.org/*****/*****/vprhh.exe

2016-01-06

http://j****o*l.org/*****/*****/gpcqy.exe

2016-01-09

http://j****o*l.org/*****/*****/psrju.exe

2016-01-12

http://j****o*l.org/*****/*****/ajkbz.exe

2016-01-13

http://j****o*l.org/*****/*****/apuzbf.exe

http://j****o*l.org/*****/*****/kwsiu.exe

http://j****o*l.org/*****/*****/tkiqd.exe

http://j****o*l.org/*****/*****/yuefs.exe

http://j****o*l.org/*****/*****/hluze.exe

http://j****o*l.org/*****/*****/hnyixxr.exe

http://j****o*l.org/*****/*****/jnajkc.exe

http://j****o*l.org/*****/*****/conbaamhm.exe

http://j****o*l.org/*****/*****/gvrgih.exe

http://j****o*l.org/*****/*****/hulkm.exe

2016-01-14

http://j****o*l.org/*****/*****/kuocoxv.exe

http://j****o*l.org/*****/*****/lin.exe

http://j****o*l.org/*****/*****/miqbk.exe

http://j****o*l.org/*****/*****/vfkvezur.exe

http://j****o*l.org/*****/*****/nfbhxmnw.exe

http://j****o*l.org/*****/*****/bwchbi.exe

http://j****o*l.org/*****/*****/eyuyg.exe

http://j****o*l.org/*****/*****/lin12.exe

http://j****o*l.org/*****/*****/lin23.exe

http://j****o*l.org/*****/*****/otygngn.exe

2016-01-18

http://j****o*l.org/*****/*****/ali12.exe

http://j****o*l.org/*****/*****/ko.exe

2016-01-19

http://j****o*l.org/*****/*****/ko12k.exe

http://j****o*l.org/*****/*****/GO_1095724067_12312312e12e.exe

http://j****o*l.org/*****/*****/k01922.exe

2016-01-20

http://j****o*l.org/*****/*****/kod12.exe

http://j****o*l.org/*****/*****/kosa1.exe


[표] 날짜와 시간에 따른 유포파일 변화




[
그림] 금융권 파밍 악성코드로 로 교체된 WindowsTab



 

2-3. 실행 과정

애드웨어 업데이트를 이용해 유포된 k01922.exewindowstab.exe 란 이름으로 다운로드 되며, WindowsTab이 설치된 동일 폴더에 생성된다. 실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용하여 위조 포털 사이트로 연결 및 인증서 유출 등의 악성동작을 수행하게 된다.




 

3. 악성 동작

3-1. 자동 구성 프록시 (Proxy Auto-Config, PAC)

과거 비슷한 동작을 하는 악성코드가 hosts 파일 수정을 통해 위조 사이트로 연결시켰던 것과 달리, k01922.exe hosts파일을 수정하지 않고도, 위조 웹 서버로 연결시킨다. 이는 많은 백신 제품이 hosts파일 수정 방지 기능을 제공하기 때문에 이를 우회하기 위한 것으로 보인다.


자동 구성 프록시란 웹 브라우저 단에서 별도의 프록시서버 설정이 없이도 특정 URL에 대해 자동으로 프록시 서버 설정을 해 주는 스크립트다. 관련 정보는 IE 기준, "도구 -> 인터넷 옵션 -> 연결 -> LAN 설정에서 확인할 수 있다. (출처 – Proxy Auto-Config 위키)


감염PC“LAN 설정항목을 보면, 자동 구성 스크립트가 사용으로 설정되어 있고, 해당 주소는 127.0.0.1:1178 임이 확인된다. IP주소 127.0.0.1 는 감염PC 자신을 의미한다. 또한 이 주소를 제공하는 프로세스는 감염된 정상 프로세스 comp.exe 임이 아래 그림에서 확인된다.

 

 

 

 

[그림] 자동 구성 스크립트 설정 및 감염된 프로세스

 



k01922.exe comp.exe 을 감염시켜 프록시 서버로 이용하고, 이를 통해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다.


[
그림] 난독화 해제된 PAC 스크립트

 



감염된 정상 프로세스 comp.exe PC의 파일 비교 시 사용되는 윈도우 기본 프로그램이다. 일반적으로 감염PC의 상황과 같이 항상 실행중인 일은 없기 때문에 comp.exe 를 강제종료 하면 정상 포털 사이트로 접속해 악성동작을 예방할 수 있다.





3-2. 인터넷뱅킹 파밍 및 인증서 유출


k01922.exe 는 위조 서버의 주소를 얻기 위해 users.q****.**.com 를 이용한다. URL은 정상 중국 메신저 사이트로 이 URL에서 제공하는 API를 이용해 악성 서버의 IP를 얻어온다. 조회한 악성 서버의 IP는 고정적이지 않고, q****.**.com 또한 중국의 정상 웹 사이트기 때문에 원천적 차단에 어려움이 따른다.


이렇게 얻은 IP는 위조 사이트들의 웹 서버 및 기타 악성동작에 사용된다. 감염 PC에서 브라우저 실행 시 아래와 같이 위조 포털 사이트의 화면을 확인할 수 있다.


이 화면에서 각 은행의 배너 이외에는 클릭이 되지 않기 때문에 정상적인 인터넷 이용이 불가능하다. 은행배너 클릭 시 각 은행의 위조 페이지로 연결되며 계좌정보 및 보안카드 전체 정보 입력을 요구한다. 실제 사이트와 매우 유사하게 만들어져 있지만 이는 파밍 사이트로, 모든 입력 정보는 해커에게 전송된다.



[그림위조 네이버 접속화면




[
그림] 계좌정보 및 보안카드 정보 탈취 페이지




또한 아래 화면에서 PC에 저장된 모든 공인인증서가 임시폴더 하위에 저장된 모습을 확인할 수 있다. PC의 하드디스크 뿐 아닌 이동식 저장장치(E 드라이브) 에 저장된 인증서 또한 탈취되기 때문에 주의가 요구된다.




[그림] 임시 저장된 인증서


 

4. 결론

애드웨어 WindowsTab 은 사용자의 PC에 기본적으로 자동실행 등록되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다. k01922.exe 의 한가지 특징으로 파밍을 위해 hosts 파일을 수정하지 않기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다.




[
그림] 방화벽 해제 알림

 



이는 PAC를 제공하기 위해 방화벽 설정을 변경한다는 알림으로 계속 차단을 선택하면 악성동작을 수행하지 못한다. 하지만 많은 사용자들이 PC의 주요 보안경고에 주의를 기울이지 않고 악성코드에 피해를 입고 있는 실정이다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 애드웨어와 파밍 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, 위에 언급된 WindowsTab 외에도 다른 많은 애드웨어에 대한 주기적인 업데이트가 이뤄지고 있다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
Posted by nProtect

pmsis.exe 악성코드 분석 보고서  



1. 개요


최근 대부분의 일상생활을 PC를 통해 해결 가능하게 됨으로써 사용자가 인지하지 못하는 방법으로 설치되는 악성파일이 급증하고 있다. 이로 인해 PC 의 제어권을 빼앗기거나, PC 사용 정보를 유출하는 등 다수의 위험에 노출되게 된다.


이번에 분석한 pmsis.exe 의 경우 사용자가 인지하지 못하는 사이에 설치되어 PC의 사용 정보를 유출할 뿐 아니라 사용자의 키보드 사용 정보의 유출 위험성이 있어 개인정보의 유출 및 2차 피해의 우려가 있다.





2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

pmsis.exe

파일크기

145,408 byte

진단명

Trojan/W32.Agent_Packed.145408.I

악성동작

파일/프로세스 제어, 키보드 후킹, 개인정보 유출

 



 

2-2. 유포 경로


pmsis.exe 파일은 1월 초부터 다수의 웹 서버 에 업로드 된 것이 확인되었으며, 해당 다운로드 주소는 웹 페이지의 스크립트 동작을 통해 연결되어 다운 및 실행될 것으로 보인다.



49.***.**2.106/pmsis.exe

49.***.**1.100/pmsis.exe

182.***.***.50/pmsis.exe

180.***.**.146/pmsis.exe

49.***.**2.107/pmsis.exe

49.***.**9.108/pmsis.exe

182.***.***.51/pmsis.exe

180.***.**.147/pmsis.exe

49.***.**2.108/pmsis.exe

49.***.**9.178/pmsis.exe

182.***.***.52/pmsis.exe

 

 

49.***.**9.179/pmsis.exe

182.***.***.53/pmsis.exe

 


[] pmsis.exe 가 업로드 된 주소

 



pmsis.exe 파일이 업로드 되어있는 다수의 웹 서버 주소는 VPN 서비스를 제공하는 업체가 사용하는 IP 주소로 확인되었다. 해당 업체의 VPN 서비스를 통해 우회 과정을 거침으로써 실제 악성파일이 업로드된 웹 서버의 정보를 숨길 수 있다. 문제는 해당 업체의 VPN 서비스를 이용하여 웹 서비스를 제공하는 업체가 있어 IP 기준으로한 차단이 어렵다는 것이다. 이는 악성파일 유포를 유리하게 한다.



 


2-3. 실행 과정


악성파일 pmsis.exe 는 최초 실행 시 C:\ 하위에 map(임의숫자).dll 파일(이하 map245200.dll)을 생성하고 이를 pmsis.exe 내부에 연결하여 실행시킨다.


map245200.dll 파일은 실행 즉시 C:\Program File\ 하위에 Afjg 폴더를 생성하고 하위에 자신을 복제한 파일 Rrcfwqnhe.pic 를 생성한다. 폴더명과 파일명은 pmsis.exe 파일의 변종에 따라 이름이 임의로 지정되며, 복제된 파일의 확장자는 pic, jpg, bmp, gif 와 같이 이미지 파일 확장자로 지정, 생성한다.(이하 Rrcfwqnhe.pic)


pmsis.exe 실행 후 Prcfwqnhe.pic 파일을 생성하기까지의 동작은 pmsis.exe 내부에서 일어나기 때문에 일반 사용자가 확인하기 어렵다.




[그림] 실행 과정



 


3. 악성 동작


3-1. 서비스 생성


pmsis.exe C:\Program Files\Afjg\ 하위에 Rrcfwqnhe.pic(=map245200.dll) 파일을 생성한 뒤 해당 파일을 윈도우 부팅 시마다 실행하기 위해 서비스를 생성한다.



[
그림서비스 속성




 

svchost.exe 는 혼자서 구동될 수 없는 DLL 을 실행 및 관리하기 위한 windows 상 프로세스다. 이로 인해 일반 사용자가 해당 서비스의 실제 실행파일 경로 등 관련된 자세한 정보를 쉽게 확인하기 어렵다.




[
그림] 동작중인 서비스 정보





[
그림] 서비스 레지스트리 정보

 


서비스 생성 및 실행을 완료한 pmsis.exe 는 자신을 삭제한 뒤 종료된다.



 

3-2. C&C 동작


서비스로 동작하는 Rrcfwqnhe.pic 파일은 f***1*.c***s.com (49.***.***.25) 에 네트워크 연결을 시도하며, 해당 도메인의 IP 정보 또한 pmsis.exe 파일이 업로드 되어 유포되는 웹 서버 IP 정보와 동일하게, VPN 서비스를 제공하는 업체의 IP 이다.


연결이 성공할 경우, 전달받은 명령어에 따라 C&C 동작을 수행한다. PC 내의 파일이나 프로세스 제어뿐 아니라 키보드 후킹 동작도 수행할 수 있기 때문에 개인정보 유출 등의 추가적인 위험에 노출된다.



드라이브 정보 전송

실행 프로세스 목록 전송

실행 프로세스 목록의 실행파일 정보 전송

폴더 및 하위 파일 정보 전송

CMD 명령어 실행

파일 실행

프로세스 종료

인터넷 상 파일 다운로드 및 실행

키보드 후킹

키보드 후킹 정보 전송


[] C&C 악성 동작



 

 

4. 결론

pmsis.exe 파일은 C&C 동작에 따라 감염된 PC 의 제어뿐 아니라 사용자의 키보드 정보를 후킹하여 개인정보 유출 등의 추가적인 위험에 노출되게 한다. 악성파일 유포와 C&C 동작을 위한 연결 IPVPN 서비스 업체를 이용해 한 번 우회함으로써 공격자를 추적하기 쉽지 않으므로 이와 같은 악성파일에 감염되지 않도록 사용자의 각별한 주의가 요구된다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect