1. 개요


잉카인터넷 대응팀은 국내 몇몇 웹하드 서비스에 등록되고 있는 일부 파일 내부에 동영상과 악성파일이 함께 포함된 상태로 은밀히 배포되고 있다는 점을 발견하였다. 유포자는 다운로드 증가를 유도하기 위하여 조회수가 많은 음란한 성인 동영상 파일처럼 교묘하게 위장한 형태로 사용자들을 유혹하고 있으며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상 파일이 별도 생성되고, 재생도 가능하도록 만들어져 있다. 사용자로 하여금 신뢰할 수 있고 정상적인 파일처럼 보이도록 하기 위해서 실제 동영상을 복합적으로 포함하고 있는 속임수 수법을 활용하고 있으며, 일반 사용자들의 경우 대용량의 파일에 악성파일이 포함되어 있을 것이라고는 아직 익숙하지 않다는 점에서 특별한 주의가 요구된다.



동영상과 함께 포함되어 있는 악성파일은 다양한 성인 동영상처럼 위장되어 있고, 대체로 EXE 확장명을 가지고 있는 것이 특징이다. 동영상 파일은 일반적으로 AVI, WMV 등의 확장명을 사용하지만 악성파일 유포자들은 사용자들의 실행을 유도하기 위해서 자동압축 해제풀림(SFX:Self Extracting Archive)형식의 실행파일(EXE)로 만들고 있는 것이 특징이며, 일부는 압축파일(ZIP, RAR, ALZ, EGG) 내에 EXE 를 포함해서 유포하기도 한다.

2. 사례별 유포 기법

■ 사례 A

다음 화면은 실제 특정 웹하드 서비스에 등록된 성인용 동영상 게시물인데, EXE 확장명으로 등록된 것을 육안으로 쉽게 확인할 수 있다. (일부 모자이크 처리)


게시글에 첨부되어 있는 동영상을 다운로드하면 다음과 같이 ZIP 압축 파일 아이콘을 가지고 있는 실행파일(EXE)이 생성되고, 실행하면 자동 압축 해제(ZIP Self-Extractor) 화면이 보여지면서, 시스템 폴더에는 악성파일(EXE)을 사용자 몰래 설치하고, 처음 실행된 경로에는 실제 동영상(WMV) 파일을 추가로 생성시킨다.


처음 동영상을 받은 경로에는 실제 동영상 파일이 함께 생성되고, 정상적으로 재생이 가능하기 때문에 사용자는 악성파일에 감염된 것을 인지하기 쉽지 않다. 다음은 실제 생성된 동영상 파일을 재생한 화면인데, 노출이 극히 심한 관계로 동영상은 임의로 모자이크 처리하였다.


사용자 몰래 설치된 악성파일은 국내 특정 온라인 웹보드 게임 실행시 다양한 악의적 기능을 수행할 수 있다. 다음은 악성파일이 이용하는 데이터 파일(windrv.dat)로 감염된 사용자가 실행하는 온라인 도박 게임의 종류를 체크하기 위한 코드이다.


온라인 도박게임의 사이버 머니는 환전 매개체 등을 통해서 실제 현금으로 교환할 수 있기 때문에 이것은 사이버 범죄의 한 종류로 구분할 수 있고, 성인 동영상 등을 통해서 은밀히 유포되고 있다는 점에서 이용자들의 각별한 주의가 필요하다.

사례 B

국내 웹하드 서비스를 경유지로 하여 유포 중인 악성파일은 매우 다양하고 폭 넓게 유포되고 있는 상태이며, 이러한 사실이 많이 알려져 있지 않아 대표적인 보안 제품들에서 탐지하지 못하고 있는 형태도 다수 존재하는 것으로 보여진다. ▶잉카인터넷 대응팀은 현재 조직적으로 유포하고 있는 이러한 형태의 대용량 파일들을 개별적으로 집중 조사하고 있으며, nProtect Anti-Virus 패턴에 신속하게 업데이트를 수행하고 있다.

아래 화면은 국내 특정 웹하드 서비스에서 정상 동영상 파일처럼 사칭하여 배포 중인 악성파일 리스트를 정리한 화면이며, 많은 웹하드 서비스 사이트에서 이와 유사한 형태로 악용되고 있는 것으로 보여진다. 

 
다음 사례의 경우도 자동압축해제(SFX) 형태의 파일로 구성되어 있으며, 변종이 다수 존재하는 형태인데, 압축풀기를 수행하면 드라이브 루트 경로에 숨김 속성으로 3개의 악성파일을 사용자 몰래 생성한다.


생성된 악성파일은 sorinara.exe, CCC.exe, thumb.db_ 이며, sorinara.exe 는 아이콘이 투명한 형태이고, CCC.exe 는 ATI Catalyst Control Center 아이콘으로 위장하고 있다.

sorinara.exe 파일의 내부에는 다음과 같이 국내 특정 도박 게임과 관련된 기능과 문자열을 파악할 수 있으며, 변종에 따라 다양한 파일명이 존재한다.


악성파일은 netsh firewall 명령을 이용하여 함께 생성된 CCC.exe 파일을 외부 접속 허용으로 윈도우 방화벽 설정을 변경하고, TCP 220, TCP 156 포트도 오픈시킨다. 이것은 외부의 네트워크 접속을 허용하여 다양한 추가 명령 및 제어를 받게 하는 잠재적인 보안 위협이라 할 수 있다.
   


감염된 컴퓨터는 사용자의 화면 자료 수집 등을 수행하기 위하여 해상도와 모니터 정보 등을 파악하며, 온라인 게임과 관련한 악의적인 행위를 수행하게 된다.


CCC.exe 파일은 인터넷에 공개되어 있는 멀티 리모트 데스크톱 시스템 기능을 이용해서 감염된 사용자를 원격에서 제어할 수 있도록 한다.

 


thumb.db_ 파일에는 서버에 접속할 때 사용되는 것으로 추정되는 ID 등이 포함되어 있다.


■ 사례 C

특정 웹하드 업체들은 동영상 게시물에 부적절한 실행파일(EXE) 형태가 등록되는 것을 수시로 모니터링하여 강제 삭제하고, 등록자에 대한 이용정지 제재를 강력하게 취하고 있어 악성파일 배포를 신속히 차단하고 피해를 최소화하는데 다양한 노력을 하고 있다. 이 때문인지 악성파일 등록자들은 EXE 형태 뿐만 아니라 ZIP, RAR, ALZ, EGG 등 다양한 압축파일 형태로 만들어 다각적인 우회 등록을 시도하기도 한다.


다음은 실행파일(EXE) 확장명 종류가 아닌 형태로 등록된 게시글로, 확장명이 국내에서 사용되는 압축 유틸리티의 확장명인 EGG 이름으로 등록된 것을 볼 수 있다.


등록된 파일을 다운로드하고, 압축을 해제하면, 기존 방식과 동일하게 내부에 포함되어 있던 실행파일(EXE)이 보여진다.

 
압축이 해제되면 사례 B와 동일하게 sorinara.exe, CCC.exe 파일, thumb.db_ 파일 등이 동일하게 생성되고 있어, 동일한 사람이 등록한 것으로 보여지지만, 다양한 형태로 등록을 시도하고 있다는 것을 알 수 있다.

여기서 매번 다양하게 등록되는 sorinara.exe, CCC.exe 악성파일 등은 잉카인터넷 대응팀이 현재까지 분석한 바에 의하면 코드 내부적으로 큰 기능적인 차이는 없고, 접속 계정 정보가 다르게 포함되어 있는 thumb.db_ 파일을 변경하면서 다양하게 제작하고 있는 것으로 파악되었다. 이에 따라 nProtect Anti-Virus 제품에서는 포괄적으로 변종 탐지가 가능하다.



sorinara.exe 변종 2개의 개발 시간을 비교해 보면 그렇게 큰 차이가 없다는 것을 알 수 있는데, 기존 소스프로그램에서 일부만 변경하고 조금의 시차를 두어 지속적으로 변종을 개발하여 유포하고 있는 것을 짐작할 수 있다.

 
3. 마무리

국내 웹하드 서비스를 통해서 배포되는 수 많은 동영상이나 프로그램 파일에 악성파일이 교묘하게 포함되어 있다는 점을 인식하고, 웹하드에 등록되어 있는 동영상 확장명이 대표적인 실행파일(EXE, COM, SCR)이거나 압축파일(ZIP, RAR, ALZ, EGG, 7Z)일 경우에는 각별한 주의가 필요하겠다. 특히, 성인용 동영상 파일에 상대적으로 악성파일이 다수 포함되어 있을 수 있다는 점과 nProtect Anti-Virus 제품을 통해서 정기적으로 시스템 검사를 수행하여 숨겨져 있는 악성파일을 제거하도록 하는 관심이 중요하겠다.

상기에서 공개한 웹하드 경로를 통한 3가지 악성파일 유포 사례는 극히 일부이며, 실제로는 매우 다양하고 폭 넓은 범위에서 악성파일이 유포되고 있다는 점을 명심하도록 하며, 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.


  

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

3.3 DDoS 악성파일들이 국내 특정 웹하드 서비스 업체들의 업데이트 모듈 등을 변조하고 유포하여 문제가 되었는데, 이번에는 관련 홈페이지가 외부의 공격에 노출되어 최신 보안패치가 적용되지 않은 이용자들에게 다수의 악성파일 유포 시도를 하고 있어 각별한 주의가 필요한 상황이다.


특히 3.3 DDoS 악성파일을 유포했던 쉐***(S*******) 사이트의 경우 현재 이 시간(2011년 03월 05일 23시경) 접속자들에게 악성파일을 유포하고 있다는 점에서 웹하드 서비스 업체들의 전반적인 관리 실태 조사 및 보안 강화 조치가 필요할 것으로 보인다.



■ 3.3 DDoS 공격 긴급 경보
http://erteam.nprotect.com/131

잉카인터넷 대응팀에서는 현재 8개 이상의 국내 파일 공유 서비스 홈페이지에서 악성파일이 전파되고 있는 것을 확인하였고, 유포 중인 악성파일에 대한 긴급 업데이트를 완료하였다. 웹하드 서비스 업체들의 이용자가 많다는 점이 집중적으로 신종 악성파일 타겟형 유포 공격에 노출되고 있는 주요 원인으로 보인다.

쉐*** 사이트를 통해서 유포되고 있는 악성파일의 과정을 정리하면 아래와 같다.

1. 쉐*** 홈페이지 접속

정상적인 웹하드 서비스 이용자들이 쉐*** 홈페이지를 접속한다.


2. 악성 명령이 포함된 스크립트 파일 자동 연결

웹하드 서비스의 이용자가 홈페이지를 접속하는 절차 수행만으로 정상 자바스크립트 파일에 몰래 삽입된 악성 링크 명령이 자동으로 실행된다.

일부 모자이크 처리 (쉐***)


쉐*** 이외의 다른 웹하드 서비스 업체에 등록되어 있는 코드는 조금 다른 방식으로 악성 코드가 포함되어 있다. 해당 코드는 아래와 같다.

일부 모자이크 처리 (다른 웹하드 사이트)


악성 스크립트 명령부분은 분석을 어렵게 하기 위해서 일종의 난독화 방식으로 인코딩(암호화)되어 있으며, 디코딩(복호화) 작업을 거치면 다음과 같은 내용으로 구성되어 있는 것을 확인할 수 있다. 

일부 모자이크 처리 (쉐어박스)


쉐*** 이외의 다른 웹하드 서비스에 포함된 난독화 코드를 가독화 코드로 변경하면 아래와 같다.

일부 모자이크 처리 (다른 웹하드 사이트)


아이프레임(iframe) 명령어를 통해서 특정 도메인으로 연결되도록 구성되어 있고, main.htm 파일이 실행되면 인터넷 익스플로러의 취약점 중에 하나인 CVE-2010-0806/MS10-018 Exploit Code 가 작동됨과 동시에 내부에 포함되어 있는 <script src="K.Js"></script> 명령이 병행하여 실행된다.

3. 최종 악성 파일 다운로드 및 설치

취약점에 의해서 Exploit Code 부분이 정상적으로 실행되면 대만에 위치한 특정 도메인에서 "biz.exe" 파일명의 악성파일이 사용자 몰래 설치되고, 감염 작동을 수행한다.

http://file.*****.com/biz.exe

유포지 위치


참고로 악성파일 biz.exe 는 웹 상에는 XOR 연산으로 암호화되어 있기 때문에 해당 파일을 직접 다운로드하여도 실행이 가능한 PE Header 형태는 아니다. Exploit Code 파일에 의해서 설치되는 과정에 정상적인 실행파일 형태로 변경되어 설치된다.

아래 그림은 biz.exe 파일이 웹 상에 존재할 때와 실제 사용자 컴퓨터에 설치되었을 때(a.exe)의 내부 Hex 내용을 비교한 화면이다. biz.exe 파일은 0xA2 라는 XOR 연산 Key 를 통해서 정상적인 실행 파일 구조인 a.exe 파일로 변환 과정을 거친다. 이러한 방식으로 웹 상에 암호화된 파일을 등록해 두는 이유는 다운로드되는 과정에서 Anti-Virus 제품들의 실시간 감시 기능 등을 우회하기 위한 목적이라 할 수 있다.


4. 시스템 파일 변조 및 온라인 게임 정보 유출 시도

악성파일이 정상적으로 다운로드되어 감염이 이루어지면 Application Data 경로에 a.exe 파일을 생성하고 실행한다.

C:\Documents and Settings\(사용자계정)\Application Data


그 다음에 시스템 폴더에 존재하는 imm32.dll 파일을 악성파일로 교체하고, nt32.dll 이라는 이름의 악성파일을 숨김속성으로 생성한다. 그리고 사용자 컴퓨터에 특정 Anti-Virus 제품의 설치 및 실행 조건 여부에 따라서 변조(Patch)하는 방식이 다르게 적용될 수 있다.


설치된 악성파일들은 온라인 게임 이용자의 정보 탈취 기능을 설정된 조건에 따라 수행하게 된다.


상기 분석 내용외에도 다수의 웹하드 서비스 사이트가 변조되어 현재 유포 중인 악성파일을 nProtect Anti-Virus 최신 버전으로 진단 및 치료가 가능한 상태이다.

[참고 자료]
ad.jpg -> Script-JS/W32.Agent.VN
expomody.exe -> Trojan/W32.Klone.265728
images.jpg -> Script-JS/W32.Agent.VM
ain.htm -> Script-JS/W32.Agent.BNE
nt32.dll -> Trojan/W32.Agent.69632.AVN
reutkc.htm -> Script-JS/W32.Agent.BNI
revtkl.htm -> Script-JS/W32.Agent.BNF
yveqer.htm -> Script-JS/W32.Agent.BNG
a.exe -> Trojan/W32.Agent.76800.IK 외 다수 추가 업데이트


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect