1. 개 요


최근 온라인 게임 계정 정보 탈취를 노리는 악성파일에 대한 유포가 지속적으로 발생하고 있어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일에 감염될 경우 온라인 게임 계정정보에 대한 유출을 비롯해 사용중인 Internet Explorer(이하 IE)의 비정상적인 종료 현상이 빈번히 발생되어 사용자들로 하여금 상당한 불편함을 유발할 수 있다. 또한, 해당 악성파일의 경우 지속적인 변종 유포로 백신 상으로의 대응에도 한계점이 있는 것이 사실이다.

  

[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파]
http://erteam.nprotect.com/170

[v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요]
http://erteam.nprotect.com/157

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]
http://erteam.nprotect.com/130

2. 유포 경로 및 감염 증상

해당 악성파일은 주말을 기점으로 국내 파일 공유 사이트 등을 통해 중점적인 유포가 이루어지고 있다. 파일 공유 사이트의 경우 일반 사용자들이 주말 여가 시간을 이용해 많은 접속을 시도할 수 있어 감염 범위가 상당히 커질 수 있을 것으로 추정되고 있다.

악성파일 제작자 및 유포자는 국내 파일 공유 사이트의 취약점을 이용해 추가적인 악성파일이 다운로드 및 실행될 수 있도록 악성 URL을 삽입 할 수 있다.

이렇게 되면 일반 사용자의 경우 웹 사이트가 변조된 파일 공유 사이트에 접속하게 되는것 만으로도 쉽게 온라인 게임 계정정보 탈취를 목적으로 하는 해당 악성파일에 감염될 수 있다.

아래의 그림은 파일 공유 사이트에 삽입된 악성 URL을 통해 다운로드 및 취약점에 의해 실행 가능한 악성 스크립트의 복호화 화면이다.

  

■ 악성 스크립트 복호화 화면

 

  

또한, 예전 글에서 설명하였던 국내 소셜 커머스 사이트 변조 사례와 유사하게 IE, Flash 취약점을 이용한 추가적인 악성파일 다운로드 및 실행을 시도하고 있는것도 특징이라 할 수 있다.
  

■ 악성 Flash 파일 내의 악의적 코드(문자열 변환 작업)


위 그림과 같은 악성 Flash 파일 내부의 일부 코드를 통해 추가적으로 다운로드할 수 있는 악성파일과 관련된 일종의 설정 작업 등을 수행할 수 있게 된다.

  

위에서 설명한 절차를 거쳐 감염 과정이 완료가 되면 아래의 그림과 같이 윈도우 정상 시스템 파일명 교체 등의 변조 작업을 통해 실질적인 온라인 게임 계정 탈취를 위한 악성 기능이 동작될 수 있다.

※ 생성 파일

  - (사용자 임시 폴더)\nsp9.tmp\SelfDel.dll
  - (사용자 임시 폴더)\ws2help.dll
  - (프로그램 폴더)\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
  - (윈도우 시스템 폴더)\(년월일시분초).dll (예:2011619162132)
  - (윈도우 시스템 폴더)\ws2help.dll
  - (윈도우 시스템 폴더)\ws3help.dll(정상파일)

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.


해당 악성파일 감염으로 유출될 수 있는 온라인 게임 리스트는 아래와 같다.

※ 온라인 게임 계정 정보 유출 리스트

  - dnf.exe(던전앤파이터)
  - MapleStory.exe(메이플스토리)
  - FF2Client.exe(피파온라인2)
  - lin.bin(리니지)
  - DarkBlood.exe(다크블러드)
  - heroes.exe(마비노기영웅전)
  - LOB.exe(레전드오브블러드)
  - x2.exe(엘소드)

※ OTP 관련 모듈 모니터링

  - PCOTP.exe


또한, 해당 악성파일은 아래의 그림과 같이 특정 백신에 대한 종료 기능을 가지고 있다.


3. 예방 조치 방법

위와 같은 악성파일은 주말을 기점으로 파일 공유 사이트 변조를 통해 지속적인 유포를 시도하기 때문에 한동안 끊임없는 보안 이슈로 작용할 전망이다. 현재 주말 뿐만 아니라 평일에도 파일 공유 사이트 및 온라인 게임을 즐기는 사용자가 많아 엄청난 금전적인 손실 피해가 뒤따를 수 있는 만큼 아래와 같은 "보안 관리 수칙"을 반드시 준수해 안전한 PC사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 치료

- Script-JS/W32.Agent.CFH
- Script-JS/W32.Agent.CFE
- Trojan-Exploit/W32.SWFlash.3467.JT
- Script-JS/W32.Agent.CFG
- Trojan/W32.Agent.85104.B
- Script-JS/W32.Agent.ZV
- Trojan/W32.Agent.44096.IJ
- Trojan/W32.Agent.33588742.B
- Trojan/W32.Agent.33600522



 

저작자 표시
신고
Posted by nProtect

1. 개 요


2011년 06월 15일 국내 유명 특정 소셜 커머스 웹 사이트가 변조되고 플래시 취약점 등이 악용되어 새로운 악성파일을 다수 유포하고 있는 것이 발견되었다. 소셜 커머스는 다양한 상품을 저렴한 가격으로 구매할 수 있기 때문에 많은 사람들이 이용하고 있다. 이러한 특성을 가지는 소셜 커머스 중 금일 웹 사이트가 변조된 해당 소셜 커머스의 경우 많은 광고 등을 통해 널리 알려진 업체이기에 감염 범위가 상당할 것으로 예상되고 있다. 이와 같이 정상적인 웹 사이트를 변조할 경우 일반 사용자들은 악성파일의 감염에 쉽게 노출될 수 있음으로 사용자 스스로의 관심과 주의가 더욱 요망되고 있다.

  

※ 소셜 커머스(Social commerce) 란?

페이스북, 트위터 등의 소셜 네트워크 서비스(SNS; Social Network Service)를 활용하여 이루어지는 전자상거래의 일종으로, 일정 수 이상의 구매자가 모일 경우 파격적인 할인가로 상품을 제공하는 판매 방식이다. 소셜 쇼핑(Social shopping)이라고도 하며, 상품의 구매를 원하는 사람들이 할인을 성사시키기 위하여 공동구매자를 모으는 과정에서 주로 소셜 네트워크 서비스를 이용하기 때문에 이런 이름이 붙었다.

2. 감염 경로 및 증상


변조된 국내 유명 소셜 커머스 웹 사이트에 접속할 경우 미리 삽입된 악성 URL 및 일부 버전에서 동작 가능한 Flash 파일의 취약점을 통해 추가적인 악성파일들이 다운로드 된다. 이러한 방식을 거쳐 최종적으로 다운로드된 095.exe, 95.exe, 122.exe 악성파일은 감염되면 정상 시스템 파일인 lpk.dll 파일을 변조하여 특정 온라인 게임 계정정보 탈취 등의 악성 동작을 할 수 있다. 

금번 플래시 취약점을 악용하는 이 방식은 보통 휴일기간에 집중되고 있는 타겟형 공격 중 하나였으나, 플래시 플레이어 보안패치가 공식 배포되면서 평일에도 공격을 수행하고 있는 것으로 보여진다. 웹 사이트에 삽입되었던 악성 스크립트는 해당 서버 관계자에 의해서 신속하게 제거가 된 것으로 확인되었으나, 추가 공격이 발생할 가능성이 잔존하므로, 소셜 커머스 이용자들은 반드시 취약점이 보완된 가장 최신 플래시 플레이어와 MS 보안패치 등을 설치하는 것이 중요하고, 웹 서버쪽에는 보안 취약점 제거의 노력이 필요하다. 최신 버전이 설치되어 있지 않은 상태에서 웹 사이트에 방문하는 경우에는 대부분 자동으로 악성 파일에 감염된다. 감염된 사용자의 경우 nProtect Anti-Virus 프로그램을 통해서 진단/치료 수행을 권장한다.


■ 소셜 커머스 웹 사이트 변조에 따른 악성파일 다운로드

해당 소셜 커머스 웹 사이트에 접속할 경우 아래의 그림들과 같이 미리 삽입된 악성 URL을 통해 추가적인 악성파일에 대한 다운로드 및 실행이 가능하다.

클릭하시면 확대된 화면을 보실 수 있습니다.



또한, 위와 같은 방법으로 미리 삽입된 URL에 의해 다운로드 및 실행될 수 있는 악성 스크립트 중에서는 일부 버전에서 동작 가능한 Flash 파일의 취약점을 이용해 추가적인 악성파일 다운로드를 시도하는 경우도 있다.

위 그림은 Flash 파일의 취약점에 의해 추가적인 악성파일을 다운로드 할 수 있는 SWF 파일에 대한 디코딩 화면이며, 아래의 그림은 위에서 설명한 SWF 파일이 실행될 시 브라우저 체크 및 다운로드에 필요한 URL 파싱 등의 작업을 위한 코드이다.

■ Flash exploit 취약점에 영향을 받는 Adobe Flash Player 버전

 - 10.3.181.14 버전
 - 10.3.181.22 버전
 - 10.3.181.23 버전
 - 10.1.82.76 버전
 - 최신 버전(10.3.181.26 버전)을 제외한 모든 버전은 업데이트 필요

※ Adobe Flash Player 최신 업데이트 사이트

☞ 
http://www.adobe.com/go/getflash (10.3.181.26 버전이상 최신 업데이트 권장)


■ 정상 시스템 파일(lpk.dll)의 변조


최종적으로 다운로드되는 095.exe, 95.exe, 122.exe 악성파일 등은 감염 시 정상 시스템 파일인 lpk.dll 파일의 파일명을 lpk32.dll로 변경한 후 자신이 생성한 특정 온라인 게임 계정정보 등의 탈취가 가능한 악성파일을 lpk.dll 파일명으로 명명하게 된다. 따라서 감염되지 않은 정상 시스템의 경우에는 시스템 폴더에 lpk.dll 파일명으로 존재하므로, lpk.dll 파일이 존재한다고 하여 무조건 감염된 것은 아니다. 감염 여부를 체크하는 가장 좋은 방법은 최신 Anti-Virus 제품으로 검사를 수행해 보는 것을 권장한다.

 
[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]
http://erteam.nprotect.com/130

[v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요]

http://erteam.nprotect.com/157
  

3. 예방 조치 방법

위와 같이 다양하고 많은 사람들이 사용하는 소셜커머스 등의 사이트를 변조하여 악성파일을 유포할 경우 감염 범위가 상당히 넓어질 수 있으며, 엄청난 금전적 손실 피해가 뒤따를 수 있다. 

특히, 이번과 같이 정상 사이트 변조 및 응용 프로그램 취약점을 동시에 사용한 경우 일반인들은 인지하지 못하는 상태에서 감염이 이루어질 수 있다. 이러한 유포 기법을 사용하는 악성파일로 부터 안전하기 위해서는 아래의 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ nProtect Anti-Virus 제품군에 치료 기능이 추가된 악성파일 진단명

- Trojan-Exploit/W32.SWFlash.5863.JF
- Trojan-Exploit/W32.SWFlash.3949.JG
- Trojan-Exploit/W32.SWFlash.3820.JC
- Trojan-Exploit/W32.SWFlash.2956.JE
- Trojan/W32.Magania.33585878
- Trojan/W32.Agent.83876.C
- Trojan/W32.Agent.33599194
- Script-JS/W32.Agent.CEK
- Script-JS/W32.Agent.CEL
- Script-JS/W32.Agent.CEN
- Script-JS/W32.Agent.ZR
- Script-JS/W32.Agent.CEO

 


저작자 표시
신고
Posted by nProtect