‘게임 핵’ 으로 위장한 악성코드 감염 주의



1. 개요 


‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.

지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Whindow.exe

파일크기

24,064 byte

악성동작

게임 계정 정보 탈취

 



2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서 공유된 것으로 확인된다.



2-3. 실행 과정

아래 그림과 같이 온라인 커뮤니티 카페에 공개용 게시 글로 특정 게임의 불법프로그램 ‘오토에임(AutoAim)’ 인 것처럼 사용방법과 함께 .EGG 확장자를 가진 압축파일을 다운로드 할 수 있도록 유도하고 있다. 실제 압축 해제 하였을 때, “오토에임.exe” 실행파일 한 개만 존재한다.


[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일




이를 실행할 경우 %APPDATA%경로에 원본 실행 파일과 동일하지만 ‘Whindow.exe’ 이름으로 변경 된 파일이 복사되어 재 실행 된다.


[그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe [그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe






3. 악성 동작


3-1. 시작 프로그램 등록

%APPDATA% 에 복사된 ‘Whindow.exe’을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 등록하여 부팅 시 자동 실행 되도록 한다.


[그림 3] 레지스트리 값 추가[그림 3] 레지스트리 값 추가




3-2. 해당 파일 방화벽 예외 추가

아래 그림과 같이 해당 악성코드는 네트워크 명령 쉘을 이용하여 방화벽에 ‘Whindow.exe(악성코드)’를 허용하도록 만든다. 이는 [그림 5]와 같이 원격지 IP로 통신을 시도하기 위한 것으로 확인된다.


[그림 4] 악성코드 실행 파일 방화벽 예외 추가[그림 4] 악성코드 실행 파일 방화벽 예외 추가


[그림 5] 해당 IP와 통신을 시도[그림 5] 해당 IP와 통신을 시도




3-3. 사용자 PC의 Cam 카메라 목록 확인

CapGetDriverDescriptionA API 함수를 사용해서 사용자 PC 에 있는 Cam 카메라 정보를 획득하는 것으로 확인된다.


[그림 6] 캠 드라이버 정보 획득[그림 6] 캠 드라이버 정보 획득





3-4. 키로깅

해당 악성코드는 HKCU\Software\b4873ebc6e6f78dfdb2b3345770c744c 경로에 [kl] 값으로 로그 파일 정보를 저장한다. 이는 감염된 사용자PC에서 게임사이트로 접속하여 키보드로 입력 시 계정 정보가 그대로 노출 된다는 것을 확인 할 수 있다.

아래 그림은 게임사이트뿐만 아니라 일반 웹사이트를 방문 시 키보드로 입력한 ID와 패스워드 등의 문자열이 그대로 노출되는 것을 확인 할 수 있다.


[그림 7] 키보드 입력 시 문자열 저장[그림 7] 키보드 입력 시 문자열 저장






4. 결론

해당 악성코드의 경우, 불법 게임 핵인 ‘오토에임’을 위장했다는 점에서, 사용자가 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 프로그램을 실행할 수 있어 문제가 되고 있다. 해당 프로그램을 유포한 온라인 카페에서도 이를 근거로 백신 삭제 및 실행 해지를 사용자에게 권하고 있음을 확인할 수 있다. 재미와 호기심으로 다운받은 불법 프로그램이 개인 정보 유출로 이루어질 수 있으므로 사용자의 각별한 주의가 필요하다.


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다.



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 온라인 게임 계정정보 탈취를 목적으로 하는 악성파일이 웹 하드 사이트 등을 중심으로 지속적인 유포가 이루어지고 있는 가운데 MBR(Master Boot Record)을 변조하여 지속적인 감염을 유발하는 변종이 출현해 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 감염 후 백신 등을 통해 치료를 진행하여도 재부팅되면 지속적으로 재감염되는 감염증상을 가지고 있어 안전한 PC사용을 위해서는 백신의 실시간 감시 기능 등으로 사전 예방 대책을 마련하는 것이 무엇보다 중요하다고 할 수 있다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 같이 각종 웹 하드 사이트 등을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 SNS 및 메신저 등을 통해서도 유포될 수 있다.

해당 악성파일은 imm32.dll, lpk.dll 파일과 같은 정상파일을 Patched 형태로 감염 시키는 증상을 보이는 등 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 동일한 감염증상을 보이고 있다. 다만, MBR을 변조하여 지속적인 재감염 증상을 유발하는 것이 핵심이자 차이점이라 할 수 있다.
  

◆ 변조되기 전 MBR

변조된 MBR

위 그림은 MBR의 변조 전과 변조 후의 상태를 보여주고 있다. 위 그림과 같이 MBR이 변조되면 게임 계정 정보를 탈취하는 악성파일이 치료된다고 해도 재부팅될 시 지속적인 재감염 증상을 나타낼 수 있다.

재감염 유발 코드가 포함된 MBR 은 아래의 그림을 통해 확인이 가능하다.

재감염 코드가 포함된 변조된 MBR

  

또한, 감염되면 아래와 같은 추가적인 악성파일들이 생성 및 다운로드 될 수 있다.

※ 생성 파일

 - C:\Windows\lpk.dll
 - C:\Windows\system32\DiskSystem.exe
 - C:\Windows\system32\halc.dll
 - C:\Windows\system32\imm32.dll
 - C:\Windows\system32\ws2sock.dll
 - C:\Windows\system32\dnetcom.dll
 - C:\Windows\system32\drivers\FileEngine.sys


위와 같이 추가적으로 생성된 악성파일까지 감염이 완료되면 lpk.dll 파일 등과 같이 정상파일에 대한 Patched 형태의 악성파일을 통해 온라인 게임 계정정보가 탈취될 수 있으며, FileEngine.sys파일에 의해 특정 백신에 대한 프로세스 실행 감시 기능 등이 동작될 수 있다.

3. 예방 조치 방법

위와 같은 악성파일은 감염될 경우 MBR을 변조시키기 때문에 백신에 의한 완전한 치료가 어려울 수 있다. 이 경우 MBR에 대한 복원 작업이 선행되어야 하므로 아래의 방법을 통해 MBR을 복원 후 백신에 의한 치료를 진행할 수 있도록 하자.

  

변조된 MBR에 대한 수동 복구 및 치료 방법

① 우선 가지고 있는 "윈도우 설치 CD"를 사용하여 아래의 그림과 같이 진행 후 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

 

③ 위와 같이 ①, ② 번 항목을 수행하면 MBR에 대한 복구가 완료되며, 백신을 통해 나머지 악성파일들에 대한 치료를 완료 할 수 있도록 한다. 

  

일반 사용자의 경우 위와 같은 악성파일에 의해 MBR 영역이 변조 되더라도 MBR 변조 여부에 대해 인지하기가 쉽지 않으며, 일반적인 방법으로 치료가 어려울 수 있다. 때문에 위와 같은 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 최선의 방법이라고 할 수 있다.

 

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect