df.exe 악성코드 분석 보고서

 


1. 분석 정보


df.exe는 출판사 홈페이지 http://www.a****o*k.net/upload_data/temp_files/df/df.exe 에서 발견됐으며 정확한 유포경로는 밝혀지지 않았다.


악성코드 df.exe는 260140.txt(랜덤숫자.txt)의 특정 파일을 임시폴더에 생성하고 실행시킨 후 자신을 삭제한다. 생성된 파일은 확장자명이 txt지만 사실 dll파일이며 *rundll32.exe를 통해 실행된다.

(*rundll32.exe : 자체적으로 실행할 수 없는 dll 파일을 실행할 때 사용되는 윈도우 정상 프로그램) 


260140.txt 는 rundll32.exe를 사용해 함수 xx를 호출한다. 함수 xx는 레지스트리 키 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 에 반복적으로 자신을 추가한다. 이 레지스트리 키는 윈도우 시작 시 자동으로 시작되는 프로그램을 나타낸다.



[그림]자동실행 등록





260140.txt는 자신을 실행시킨 프로세스 rundll32.exe의 메모리를 조작해 정상 프로세스처럼 보이는 악성동작을 수행하도록 한다. 이 작업은 파일이 아닌 메모리상에서 이뤄지므로 만약, 다른 프로그램에서 rundll32.exe를 사용하여도 문제없이 동작한다



[그림]변조된 rundll32.exe





이후 정상 프로세스 explorer.exe 및 하위 모든 프로세스에 인젝트되어 게임 관련 특정 사이트와 프로세스에 대하여 계정 정보 탈취를 시도한다.


계정정보 탈취를 위해 사용하는 방법 중엔 API후킹이 있는데, 이는 프로그램 제작을 위해 제공되는 API함수의 명령코드 일부를 수정하여 해당 정상 함수가 동작을 마치기 전에 해커가 원하는 동작을 수행하게 하는 기법이다. 


260140.txt 는 인터넷 통신에 반드시 사용되는 send함수를 후킹하기 때문에, 패치/업데이트로 바뀔 수 있는 게임 프로세스 계정정보 탈취에 실패해도 인터넷으로 전송되는 계정정보를 탈취할 수 있다. 탈취된 계정 정보는 임시폴더안에 ini파일을 이용해 임시 저장되고, 악성 URL로 전송된다.



[그림]후킹된 API



함수이름

함수 설명

ReadFile

PC상의 파일 읽기

MultiByteToWideChar

문자 형식 변환

InternetReadFile

인터넷상의 파일 읽기

HttpSendRequest

웹 페이지 요청

Send

네트워크를 통한 데이터 송신

[표]후킹된 API의 역할





[그림]유출된 계정정보







또한, 로그인 시 계정정보는 https 통신을 통해 암호화되어 전송돼야 하지만 df.exe에 감염된 이후엔 정상적인 로그인 통신이라도 계정정보가 암호화되지 않고 전송되는 것을 확인할 수 있다.



[그림]암호화되지 않는 패킷





3. 결론


게임 내 자산이 현금으로 거래 가능하게 된 이후 PWS(password stealer)계열의 악성코드는 지속적으로 발전해 왔다. 특히 OTP(One Time Password, 일회용 비밀번호)사용을 하여도 해킹된 사례가 발견되면서 계정에 대한 2, 3중의 안정장치가 필수가 되었다. 


이를 막고자 대부분 게임사이트에선 로그인 시 문자 알림 서비스를 제공하고 있다. 비정상으로 로그인되어도 알림 서비스를 이용한다면 빠른 사실 인지와 비밀번호 변경을 할 수 있어 설령 계정정보가 유출되어도 자산 피해를 최소화 할 수 있을 것이다.


df.exe는 잉카인터넷 nProtect Anti-Virus/Spyware로 진단명 Trojan-PWS/W32.WebGame.76921로 진단 및 치료가 가능하다. 가장 중요한 것은 주기적 백신검사, 업데이트로 악성코드에 감염되지 않게 하고 사이트 별로 다른 아이디와 비밀번호를 사용하여 하나의 계정정보가 유출되더라도 피해가 확산되지 않도록 해야한다.



[그림]nProtect Anti-Virus/Spyware 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

1. 개 요

 

최근 악의적인 목적을 가지고 스마트폰 단말기 정보 등의 탈취를 시도하는 악성 애플리케이션이 다수 발견되고 있다. 이러한 가운데 해외에서 E-mail 계정 및 비밀번호 탈취를 시도하는 악성 애플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 정상 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 E-mail계정과 비밀번호를 입력 후 로그인 하게될 경우 계정정보가 외부로 유출될 수 있다.
  

2. 유포 경로 및 감염 증상

해외를 중심으로 각종 블랙 마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며, 국내에서는 해당 동영상 스트리밍 서비스 업체의 사업이 진행되지 않아 특별한 감염 및 피해 사례는 나타나지 않고 있다.

해당 악성 애플리케이션은 설치시 아래와 같은 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INJECT_EVENTS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.DUMP"
- android:name="android.permission.GET_TASKS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.


위와같이 모든 설치 과정이 완료된 후 해당 악성 애플리케이션을 실행하면 아래의 그림과 같은 실행화면을 보여주게 된다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 애플리케이션으로 위장한 형태이므로 아래의 그림과 같이 육안상으로 정상 애플리케이션과 구별이 가능하다.


위 그림을 자세히 살펴보면 레이아웃 구성에서 차이점이 있는것을 확인할 수 있다. 우선 상단 부분의 "스마트폰 상태바"가 정상 애플리케이션의 경우 존재하나 악성 애플리케이션의 경우 존재하지 않는다. 또한, 정상 애플리케이션의 경우 진행되는 "프로그레스바"가 안드로이드에서 제공되는 일반 프로그레스바를 사용하고 있으나, 악성 애플리케이션의 경우 디자인된 프로그레스바를 사용하고 있다. 마지막으로 "인 화면의 이미지에 검은색 테두리""loading 텍스트의 유무"로도 구별이 가능하다.

위의 과정을 거쳐 애플리케이션 로딩이 완료되면 아래의 그림과 같이 메인 로그인 창이 출력된다.


위 그림을 자세히 살펴보면 마찬가지로 정상/악성 애플리케이션 간에 차이를 육안상으로 확인할 수 있다. "스마트폰 상태바"와 "이메일 계정 정보 입력창" 등 다양한 부분에서 차이점이 발견된다.

이때, 악성 애플리케이션의 경우 위 그림에서 로그인을 위한 계정 정보 입력 후 "Sign in" 버튼을 클릭하면 아래의 일부 코드에 의해 Email, Password가 저장된 EditText 값을 아래와 같은 특정 외부 URL로 유출 시도를 할 수 있다.


※ 이메일 계정 정보 유출 시도 URL

http://erofolio.[생략].biz/login.php

위 그림과 같은 로그인 과정 진행이 진행될때 해당 악성 애플리케이션은 이메일 계정 입력 시 어떠한 계정 정보를 입력해도 로그인 과정을 완료할 수 있으나, 정상 애플리케이션의 경우 해당 업체의 계정정보를 입력하지 않으면 아래의 그림과 같이 로그인 과정을 완료할 수 없다.

 


위 그림을 살펴보면 정상 애플리케이션의 경우 해당 업체의 계정 정보 이외의 정보 입력 시 로그인에 실패함을 확인할 수 있으며, 악성 애플리케이션의 경우 계정 정보 존재 유무에 상관없이 무조건 위 그림과 같은 창을 출력하게 된다. 또한, 악성 애플리케이션의 경우 위 그림과 같은 "Cancel" 버튼을 클릭할 경우 해당 악성 애플리케이션에 대한 삭제를 진행할 수 있다.

3. 예방 조치 방법

일반 사용자들은 동영상 스트리밍 서비스 업체의 정상 애플리케이션이 어떻게 구성되어 있는지 모르는 경우가 많다. 해당 악성 애플리케이션의 경우 이러한 점을 악용해 최대한 정상 애플리케이션과 유사한 화면을 구성하여 사용자들을 속일 수 있으며, 이로인해 유출될 수 있는 이메일 계정 정보는 다양한 목적을 가지고 악용될 수 있다. 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.FakeNefilix.A





저작자 표시
신고
Posted by nProtect