최신 영화 파일로 위장한 악성코드 분석




1. 개요 


토렌트는 P2P 프로토콜로 데이터를 주고 받게 해주는 프로그램으로, 사용자들이 인터넷상에서 파일을 직접 공유할 수 있어 콘텐츠, 소프트웨어 등의 불법 유포 경로로 사용되고 있다. 최근 들어 이러한 토렌트를 악용하는 사례가 꾸준히 나타나고 있어 사용자들의 주의를 요하고 있다. 이번 보고서에서는 토렌트 사이트에서 국내 영화 ‘마스터’로 위장해 유포된 악성코드에 대해 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4

파일크기

955,519,487 byte

악성동작

백도어

네트워크

59.***.***.46

 



2-2. 유포 경로

해당 악성코드는 유명 토렌트 사이트에서 국내 영화 ‘마스터’로 위장 유포되었다. 해당 파일명은 “마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4” 이며, 파일 확장자가 .mp4라서 동영상 파일로 보이지만 실행 시 악성 동작을 수행한다.



2-3. 실행 과정

파일 실행 시 동영상은 출력되지 않고 사용자 모르게 악성코드가 동작하게 된다. 실행된 악성코드는 Program Files 폴더에 win32 라는 폴더를 생성 후 자기 자신을 ‘win32.exe’라는 이름으로 복사 후 실행한다. ‘win32.exe’는 원격지 서버와 연결을 시도하며, 연결에 성공할 경우 명령에 따른 동작을 수행하게 된다.




3. 악성 동작


3-1. 파일 확장자 변조

아래 그림과 같이 파일 확장자가 .mp4 로 되어있는 것을 확인할 수 있다. 이는 실행 파일이 아닌 동영상 파일인 것처럼 보여주지만, 사실을 그렇지 않다. 해당 파일의 확장자는 .exe 로 파일의 유형이 응용 프로그램으로 나타난다.


[그림 1] 파일 이름과 유형[그림 1] 파일 이름과 유형




이는 유니코드 문자인 RLO(Right to Left Override)를 이용한 것이다. 유니코드란 전 세계의 모든 문자를 컴퓨터에서 일관되게 표현할 수 있도록 설계된 표준으로 많은 문자 집합을 포함하고 있다. 대부분의 언어의 경우 좌측부터 우측으로 글을 읽지만, 일부의 경우 우측에서 좌측으로 읽어야 하는 경우가 있다. 이런 경우를 위한 문자가 바로 RLO이다.


바로 이 RLO를 악용하면 사용자들로부터 파일명을 속이는데 사용될 수 있다. 해당 악성코드의 경우 RLO 문자를 제외하면 파일의 이름이 “마스터.2016.720p.BRRip.AVC.AAC IHS4pm.Exe”가 되는 것이다. 하지만 파일의 이름 “S” 와 “4” 사이에 RLO를 넣으므로 “4”부터는 역순으로 출력되어 “4pm.Exe”가 “exE.mp4”로 보이게 된다. 이와 같은 방식으로 ‘.exe’ 와 ‘.scr’ 등 실행 파일의 확장자를 감출 수 있는 것이다.


[그림 2] 실제 파일 확장자[그림 2] 실제 파일 확장자






3-2. 자동 실행 등록

실행된 악성코드는 Program Files 폴더에 win32 폴더를 생성 후 그 안에 자기 자신을 win32.exe 라는 이름으로 복사한다. 그리고 사용자가 PC를 재부팅 하면 자동 실행되도록 작업 스케줄러에 등록한다.


[그림 3] 작업 스케줄러 등록[그림 3] 작업 스케줄러 등록



3-3. 원격지 서버 연결

해당 악성코드는 원격지 서버 ’59.10.197.46 ’ 와 연결을 지속적으로 시도한다.


[그림 4] 원격지 서버 연결[그림 4] 원격지 서버 연결



현재 정상적으로 연결이 이루어지지 않지만, 연결이 정상적으로 이루어질 경우 명령에 따른 동작을 수행하게 된다. 명령에 따른 동작 중 몇 가지는 다음과 같다.


우선 사용자 PC 정보를 수집하기 위한 명령어가 있고 해당 명령을 받으면 사용자 PC의 운영체제, 하드웨어, 네트워크, BIOS 등의 정보를 수집한 뒤 원격지 서버로 전송한다.





그리고 각 브라우저를 통해 저장된 쿠키나 패스워드 정보를 수집하여 원격지 서버로 전송한다.

[그림 6] 패스워드 정보 탈취[그림 6] 패스워드 정보 탈취




키로깅과 관련된 동작도 존재하고 있으며, 이를 통해 공격자는 사용자가 키보드에 어떠한 문자를 입력하는지 확인한다.

[그림 7] 키로깅[그림 7] 키로깅


이외에도 사용자 PC의 웹 캠을 조작하거나 원격에서 접속하는 등의 동작을 수행할 수 있어 추가 피해의 소지가 있다.






4. 결론


이번 악성코드는 해외에서 제작된 RAT 프로그램을 통해 생성된 파일이다. 해당 사이트에서는 자신들이 제작한 프로그램이 악성코드가 아니라 언급하고 있지만, 해외에서는 이미 악용 사례가 여럿 발생하고 있다. 이번 악성코드의 경우에도 사용자에겐 최신 영화 파일로 위장했다는 점을 비롯하여 악의적인 의도를 가지고 있다고 볼 수 있다.


토렌트의 경우 영화, 드라마, 게임 등 불법적인 다운로드의 한 수단으로 많이 사용되고 있다. 악성코드 유포자 또한 이러한 점을 이용하여 악성코드 유포의 수단으로 사용하고 있다. 특히 유포 시 잘 알려진 ‘.exe’ 나 ‘.scr’ 등의 실행 파일 확장자가 아닌 미디어 파일이나 문서 파일 등의 이름으로 위장하여 사용자가 의심하기 어렵게 한다.


만약 다운로드 한 파일의 이름에 ‘exe.’나 ‘rcs.’ 등의 문자가 포함되어 있다면 RLO 문자 등에 의해 공격자가 파일 이름을 조작한 것일 수도 있으므로 필히 주의하여야 한다. 동영상이나 사진이 있는 폴더의 경우 아래와 같은 아이콘 모양으로 나타나는 경우가 많아 파일 확장자를 착각하기 쉽다.




이러한 파일 확장자 위장을 방지하기 위해서는 다음과 같은 설정을 할 수가 있다.



아래와 같이 폴더 보기를 [자세히]로 설정할 경우 아래와 같이 파일의 유형을 나타내준다. 파일 이름이 ‘.mp4’로 끝나지만 파일의 유형이 ‘응용 프로그램’ 인 것을 확인할 수 있다. 이러한 경우 정상 미디어 파일이 아닌 악성코드 일 수도 있으므로 함부로 실행해서는 안된다.


[그림 9] 폴더 보기 변경[그림 9] 폴더 보기 변경



[그림 10] 파일 유형 보기[그림 10] 파일 유형 보기




무엇보다 무분별한 토렌트 사용은 사용자를 악성코드에 쉽게 노출시키므로 사용을 자제해야 한다. 사용자는 토렌트 이용 시 신뢰되지 않는 프로그램을 함부로 다운로드 하지 않아야 하며, 다운로드 한 프로그램을 실행 할 때 파일 이름과 유형을 확인하는 등 보안에 각별한 주의를 기울여야 한다.


관련 글: 

토렌트를 통한 유포방식의 악성코드 분석 보고서 (링크)

인기 게임으로 위장한 악성 토렌트 (링크)

HashCop_Bypass.exe 토렌트를 통한 악성코드 유포 (링크)




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

토렌트를 통한 유포방식의 악성코드 분석 보고서  



1. 개요

플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다.


토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 위키백과]


하지만 그 편의성과 접근성으로 인해 악성코드의 주요 공격수단으로 이용되고 있기도 하다. 이 보고서에서는 안전한 PC이용을 위해 토렌트를 이용한 악성코드 유포방식에 대해 살펴보겠다.

 

 

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe

파일크기

430,080 byte …

진단명

Trojan/W32.Agent.430080.SL …

악성동작

C&C, 백도어 등

 

 

2-2. 유포 경로

아래 토렌트 파일들은 모두 유명 토렌트 공유 사이트들에서 수집한 파일들이다. 공유 사이트의 성격에 따라 다르지만 일부 사이트들은 저작권 침해자료, 성인자료 공유, 기타 문제 등으로 사이트 차단이 번번이 일어난다. 문제는 이런 사이트들은 사이트가 차단될 때 마다 서버의 주소를 바꿔 운영하며, 불법 자료 공유는 끊이지 않아 완전한 차단에 어려움이 따른다.




2-3. 실행 과정

윈도우 OS에선 확장자를 통해 파일과 프로그램을 연결한다. 예를 들어 .doc 확장자를 갖고 있는 파일은 더블클릭 시 워드 프로세서가 실행된다. 이와 마찬가지로 .torrent 파일을 더블 클릭하면, 토렌트 공유 프로그램이 실행된다. 이처럼 실행을 위해 별도의 프로그램이 필요한 일반 파일과 달리, 악성 코드는 그 자체가 하나의 프로그램이다. 때문에 토렌트 공유 사용자들에게 자신을 .torrent 파일, 혹은 기타 정상 파일로 보이도록 다양한 수법을 활용해 위장하고, 사용자의 실행을 유도한다.




 

3. 유포 방식

3-1. 업로드 파일 확장자 수정

해커 입장에서 가장 간단하면서도 손쉬운 방식이다. 게시글의 첨부파일에는 일반적으로 .torrent 파일만 올린다는 점을 이용하여, 파일명을 torrent 파일처럼 보이게 바꾸고, 확장자를 .exe로 하여 업로드 하는 수법이다. 다운로드 완료 시 바로 실행버튼을 누른다면 .torrent 가 실행되는 대신, 악성코드에 감염될 것이다.



[
그림유포사례, 확장자 수정

 

여기서는 단순히 확장자를 바꾸는 예시만 있지만, 경우에 따라 파일명에 긴 공백을 넣어 다운로드 시 확장자가 노출되지 않게 하는 수법도 즐겨 사용되고 있다. 또한 실행파일의 아이콘을 임의로 설정할 수 있다는 점을 이용, 얼핏 보기에는 토렌트 파일과 차이점을 알 수 없게 만든다.


아래는 재현을 위해 임의로 설정한 예시이다. 같은 폴더에 있는 두 파일은 파일명이 동일해 보인다. 하지만 동일 폴더에 동일 파일명을 가진 두 개 파일은 함께 존재 할 수 없다. 실제로 두 파일은 정상 .torrent 파일과 긴 공백을 삽입한 악성 실행파일(.exe)이다.



    











[그림] 보기(V)-자세히(D),    보기(V)-간단히(L)

 


 

3-2. 압축파일 업로드

토렌트 공유 사이트는 첨부파일로 .torrent 파일을 업로드 하는 것이 일반적이다. 이 유포 방식은 토렌트 대신 압축파일을 업로드 해 두고, 압축을 풀면 토렌트 파일을 얻을 수 있다고 설명한다. 여러 개의 토렌트 파일을 동시에 공유하기 위해 실제로 정상 압축 파일을 공유하는 경우도 있지만, 대다수는 토렌트로 위장한 악성파일이 나올 뿐이다.



[
그림] 압축파일 유포사례

 


위 유포지 에서 다운받은 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip”파일의 압축을 풀면 마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe” 파일을 얻을 수 있다. 토렌트 파일이 주로 사용하는 파일명을 사용하고, 아이콘 또한 토렌트 파일 같지만 이는 악성 실행파일이다.




[
그림] 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip 압축 해제 결과

 


 

3-3. 도움말 파일(.chm)을 통한 유포

.chm 확장자를 갖는 파일은 컴파일 된 HTML 도움말 파일이라는 정상 파일 형식이다. 이는 검색, 색인, 온라인 도움말 등 도움말을 쉽게 찾아보기 위해 개발된 파일 형식으로 일반적으로 아래와 같은 실행 화면을 확인할 수 있다.




[
그림] 정상 .chm 파일




.chm 파일은 온라인 도움말 등의 편의기능을 제공하기 위해 일반 문서파일형식(DOC, TXT )과 다른 특징이 하나 있는데, 그것은 html 페이지를 그대로 사용할 수 있다는 점이다. 아래의 악성파일 영상 보기전에 읽어주세요.chm”에는 악성 스크립트가 삽입된 razor.htm 파일이 존재한다.



[
그림] 유포사례




[
그림] 토렌트 파일의 내용

 


.chm 파일을 실행하면 아래와 같은 화면을 확인할 수 있는데, 이는 razor.htm 파일이 출력된 것이다. razor.htm의 소스코드에는 악성서버 http://c****c***g.s****i*c.com:2721/flyy.exe 로부터 파일을 다운받아 실행하는 코드가 들어있다.



[
그림] 악성 .chm 실행 화면 (razor.htm)




[
그림] razor.htm 파일 내의 악성 스크립트 




현재는 서버에 접속이 되지 않는 상태로, .chm 파일을 실행한다고 해서 감염되진 않으나 해커가 서버를 활성화 시킨다면 언제든 악성코드를 다운 받을 수 있다는 점, 그리고 그 악성코드가 언제든 교체될 수 있다는 점에서 매우 주의가 요구된다.

 

 

3-4. 화면보호기 파일(.scr)을 통한 유포

.scr 확장자를 사용하여 유포하는 사례이다. 대부분의 동영상 플레이어는 동일 파일명을 가진 영상파일과 자막파일이 같은 폴더 내에 있을 경우, 두 파일을 자동으로 함께 재생시키는 기능이 있다. 이 때문에 자막이 있는 동영상의 경우 동일한 이름의 두 파일이 함께 공유되는 형태가 다수를 차지한다.


동영상 자막에 사용되는 확장자는 .sub, .smi.srt s로 시작하는 확장자가 많이 사용된다. 이에 익숙하지 않은 사용자의 경우 .scr 확장자 또한 자막파일로 오해하고 실행하기 쉽다. 이를 이용하여 실행을 유도하거나 혹은 .scr 파일 자체를 동영상 파일로 위장하여 유포하는 사례 등이 자주 발견된다.




[
그림] .scr 확장자를 이용한 유포사례

 



.scr 확장자는 윈도우 화면보호기를 위해 쓰이는 정상적인 확장자이다. 하지만 이 파일형식을 이용해 파일을 실행할 수 있다는 점이 문제가 된다. .scr 확장자를 이용한 악성코드 유포는 비단 토렌트 뿐 아닌 다른 형태의 유포에도 즐겨 사용되는 방법으로써, 언제나 화면보호기 파일을 이용할 때에는 신뢰할 수 있는 파일인지 검증이 요구된다.




 

4. 결론

위에 나열된 방식 외에도 악성코드가 PC를 감염시키기 위해 자신을 위장하는 방식은 실로 다양하다. 일차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다. 또한 토렌트를 이용한 이런 감염 유도는 주로 불법적인 사이트에 국한되어 있기에, 합법적인 경로를 통해 건강한 콘텐츠이용을 하는 것이 바람직하다.


토렌트로 위장한 악성코드는 C&C 서버 등 사용자의 PC에 백도어를 설치하는 형태가 다수를 차지했다. 상기 나열된 악성코드 들은 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

HashCop_Bypass.exe 악성코드 분석 보고서

 


1. 개요


1.1. 파일정보


구분

내용

파일명

HashCop_Bypass.exe, svchost.exe

파일크기

1,009,152 byte

진단명

Trojan-Downloader/W32.Agent.1009152.C

악성동작

Bot, Downloader











1.2. 유포경로


HashCop_Bypass.exe는 *토렌트를 통해 유포되었다. 이 악성 파일에 대한 내용이 담긴 torrent 파일 “Inside Men, 2015 .720p.HDRip-H264.by-kyh -.torrent” 은 현재에도 토렌트 공유 사이트에 업로드 되어 있고 파일 다운로드가 가능하므로 주의가 요구된다.


*토렌트 – 사용자와 사용자 간(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어. 하나의 파일을 인터넷 상에 분산 저장하고, 다수의 접속을 사용하여 여러 곳에서 동시에 파일을 가져오게 되어 전송 속도가 빨라진다.
파일을 공유하기 위해서 해당 파일이 아닌, 그 파일에 대한 정보와 공유하는 사람에 대한 정보가 담긴 시드파일(.torrent)을 사용한다. (출처-위키백과)




[그림] 유포지 캡쳐화면






2. 분석정보


2.1. 실행 과정


토렌트를 통해 파일을 다운받으면 아래와 같은 파일들을 확인할 수 있다. 해당 토렌트 다운로드 안내글에선 암호화된 영화파일의 복호화 하기 위해 HashCop_Bypass.exe 파일을 실행하도록 유도하고 있다. 


또한, 함께 다운받아진 Read Me First.txt 파일 내용을 확인하면 HashCop_Bypass.exe 파일이 백신의 오진으로 실행이 안 될 수 있다고 백신 종료를 유도한다. 해당 내용은 사실이 아니며, 이런 형태의 백신 종료 유도는 악성코드의 전형적인 행동 패턴이다.





[그림] 토렌트 다운로드 파일





[그림] 허위 안내문


 




유도에 따라 HashCop_Bypass.exe 를 실행하면 %UserProfile%\Local Settings \Application Data\Microsoft 하위에 svchost.exe로 자신을 복제한 후 이를 실행시킨다. 또한 이 파일을 'Windows Update'란 이름으로 자동실행 등록한다. 이 파일은 윈도우 정상 프로세스 svchost.exe 와 같은 파일명을 사용하기 때문에 사용자가 감염사실을 알기 어렵다.





[그림] 숨김 속성으로 복제된 HashCop_Bypass.exe






3. 악성 동작

HashCop_Bypass.exe는 PC에 상주하며 악성서버에서 명령을 받아 악성동작을 수행한다. 악성서버는 현재 접속되지 않지만 다운로더, DDoS 봇 등에 활용될 수 있는 실행코드가 내장되어 있다. 




 


[그림] 추가 악성 파일 다운로드 동작






[그림] 각종 DDoS 공격 코드의 일부





4. 결론


이 악성 파일은 최신 영화 '내부자들'로 위장 유포되고 있다. 파일이 복호화에 대한 안내문이 있지만 다운로드 된 'Inside Men, 2015 .720p.HDRip-H264.by-kyh -.JTJ' 파일은 단순히 7zip으로 압축된 파일이며, 안내문에 따라 악성 파일을 실행해도 압축은 해제되지 않는다. 또한 수동으로 압축을 풀더라도 압축된 영화 파일은 '내부자들'이 아닌 '8월의 크리스마스'이다.


이처럼 정상적인 유통경로를 거치지 않은 공유 파일에 악성코드를 삽입하는 방식은 이전부터 해커들이 즐겨 사용하던 방식이다. 비단 영화뿐 아닌, 음악, 만화, 게임, 프로그램 여러 형태로 위장한 악성파일들이 곳곳에 산재해 있다. 악성코드가 포함된 파일이 쉽게 공유되고 불법임에도 토렌트를 통해 저작권이 있는 파일을 공유하는 행위는 줄어들지 않고 있다.


안전한 PC 이용을 위해선 저작권이 있는 콘텐츠는 저작권자가 제공하는 방법으로 이용하고, 불법 공유 사이트에 방문하지 않는 것이 바람직하다. 또한, 악성코드 실행 유도에 속아 백신 프로그램의 실행을 종료하는 것은 위험한 행위며, 백신 설치 및 상시 업데이트를 통해 악성코드 공격에 대비해야 한다.


해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면





[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect