1. 개요


최근 까지 인스턴스 메신저 또는 쪽지 등을 통하여 직접적인 파일 다운로드 방식으로 악성파일을 유포 하였던 일명 "네이트온 악성파일"이 특정 인터넷 게시판으로 접속을 유도한 뒤 웹 브라우저의 취약점을 이용하여 감염을 유발하는 등 좀 더 다양하고 지능된 유포 방식이 확인 되어 관련 글을 작성하여 보았다.


[참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=

[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788

2. 감염 방식 및 취약점 정보

2-1. 감염 방식

최초 악의적인 공격자에 의하여 해킹된 네이트온 메신저의 등록 되어진 친구들에게 국내의 특정 인터넷 게시판 URL 주소가 포함된 쪽지를 발송하게 된다. 이후 사용자가 이를 클릭할 경우 해당 컴퓨터의 MS 보안 패치 적용 유무 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않을 경우 자동으로 감염되게 된다.

정상적으로 수신되어진 쪽지 안에는 아래와 같이 특정 URL 주소가 포함되어져 있으며, 클릭시 자동으로 사이트에 접근하게 된다.


현재 링크로 접속되어진 사이트의 게시판에는 악의적인 주소가 포함 되어진 top.html, pop.html 와 같은 스크립트 파일로 연결을 시도하게 된다. (현재 해당 사이트의 게시판은 폐쇄되어진 상태이다.)

또한, 해당 게시판은 제로보드 구버전으로 최근 공개되어진 제로보드 취약점에 노출 되어진 게시판으로 추정 되어 진다.

※ 제로보드(게시판) 취약점 정보 및 보안 패치 정보

[국내 공개 웹 게시판(그누보드) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=492&seq=-1   (인터넷침해 대응센터)

[국내 공개 웹 게시판(테크노트) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=491&seq=-1 (인터넷침해 대응센터)

[XpressEngine Core 1.4.4.4(보안패치)]
http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerDownload (제로보드)

zboard.php 소스안에 iframe 형태로 추가된 main.html 스크립트 파일에는 MS의 특정 Internet Explorer 취약점을 악용하는 kr1.html, kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 적용되지 않은 사용자의 컴퓨터를 감염시키도록 되어 있다.

zboard.php의 특정 난독화 코드


zboard.php의 특정 난독화 코드(디코딩 후)


위 그림에 포함되어진 pop.html, top.html 소스에는 다음과 같은 특정 파일로 접근이 가능하도록 되어져 있다.


제일 먼저 main.html 부터 알아 보도록 하겠다. main.html 파일 내부에는 아래와 같이 4개의 함수와 함수내 각각의 변수로 받는 배열 값들이 서로 난독화 되어진 상태이다.


난독화 되어진 스크립트를 사용자가 알 수 있게 디코딩하게 되면 아래와 같은 악성 URL 주소가 포함되어진 파일로 접근하게 된다.


kr1.html 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, kr2.html 파일은 MS09-002 취약점을 이용하여 38.jpg 악성 파일을 다운로드하게 된다.

kr1.html 인코딩 상태의 파일 내용


디코딩 되어진 kr1.html, kr2.html 스크립트 파일 내부에 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.


두번째로 in.js 파일을 알아 보도록 하겠다. in.js 파일 내부에는 아래와 같이 ff10.htm 파일로 접근이 가능하도록 되어있다.


ff10.htm 파일 내부에는 사용자 컴퓨터의 OS 버전 및 특정 웹 브라우저(Internet Explorer, Firefox)의 버전을 비교하여 최신 버전이 아닐 경우 Exploit Code로 부터 취약한 환경에서 악의적인 동작 수행이 가능하다. (일부 내용만 공개)


만약 사용자의 특정 웹 브라우저 버전이 낮을 경우 다음과 같이 취약점이 노출되어진 Firefox 또는 Internet Explorer 환경에서 아래와 같은 cosplay.swf (플래쉬 파일)을 다운로드 받게 된다.


다운로드 된 cosplay.swf 파일이 실행 되었을때 사용자가 보기에는 정상적으로 동작하는 평범한 Flash 영상으로 보이지만 내부에는 악의적인 코드가 포함 되어져 있으며, 취약점이 발생할 경우 38.jpg 악성파일을 다운로드 받아 실행되게 된다.


이러한 취약점으로 부터 다운로드 되어진 38.jpg 파일은 정상적인 그림 파일인 것처럼 확장자가 jpg로 위장 되어져 있으나 실제 악의적인 동작을 수행하게 된다.


3. 감염 증상

다운로드 되어진 38.jpg 악성파일이 실행되면 아래와 같이 특정 경로에 파일을 생성하게 된다.

[생성파일]

C:\WINDOWS\system\winpingying.ime
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lins.log
C:\WINDOWS\system\winweng.exe

또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염이 발생하게 된다.

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

- 값 이름 : "기본값"
- 값 데이터 : "C:\WINDOWS\system\winweng.exe"



38.jpg.exe 파일에 의하여 생성되어진 winweng.exe 파일은 아래와 같이 특정 보안 프로그램의 기능을 무력화 시킨다. 또한, 윈도우 시작시 마다 winweng.exe 파일을 자동 실행하여 보안 프로그램이 실행되지 못하도록 한다.

- AhnLab (V3)
- 이스트소프트 (알약)
- 바이러스 체이서(Virus Chaser)
- 카스퍼스키


또한, 해당 악성파일은 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplorer.exe 프로세스에 winpingying.ime 파일을 인젝션하여 특정 온라인 게임 계정 정보를 탈취하는 등의 악의적인 동작을 수행하게 된다.

- Maplestory
- Aion
- Hangame
- Pmang
- Lineagea1
- Lineagea2
- Mabinogi
- DNF


4. 예방 조치 방법

위와 같은 악성파일의 유포 방식은 공개된 보안 패치를 적용하지 않고 인터넷을 이용하는 사용자들로 부터 금전적인 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준한 관리 습관을 가지도록 노력하여야 한다.

현재 잉카인터넷 대응팀에서는 다양한 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 취약점 공격을 대비하여 상시 대응체계를 유지하고 있다.

1. 윈도우와 같은 OS 및 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
2.신뢰할 수 있는 보안업체에서 제공하는
백신을 항상 최신 엔진 및 패턴 버전으로 업데이해 사용해야 하며, 실시간
감시 기능을 "ON" 상태로 유지하도록 한다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


최근들어 개인정보 유출을 목적으로 하는 악성 파일들이 다양한 유포방식을 통하여 발견 되어지고 있다. 이러한 가운데 윈도우 운영체제의 중요 시스템 파일을 변조 하거나 백신 프로그램  검사 우회, 치료나 삭제시 시스템에 영향을 주는 악성파일들이 발견 되어짐에 따라 사용자들의 각별한 주의와 신속한 대응 전략이 마련 되어져야 할 것으로 보여지고 있다.


2. 감염 방식 및 취약점 정보

2-1. 감염 방식

현재 해당 악성파일은 사용자가 변조되어진 웹 페이지를 열람할 경우 MS 보안 취약점에 노출되어진 컴퓨터에서 악성파일이 실행되어 진다. 최근까지도 발생하고 있는  정상 Comres.dll 변조 악성파일은 인스턴스 메시지나 쪽지 등의 확인되지 않은 URL 접근시 또는, 변조되어진 웹 페이지를 열람 할 경우 감염이 진행되게 된다.


네이트온 악성파일로 잘 알려진 해당 악성파일은 기존의 단일화 되어진 유포방식을 지나 위의 그림처럼 좀더 다양하고 지능화 되어진 방식을 통하여 확산 및 감염이 가능하도록 그 목적을 두고 있다.

2-2. 취약점 정보


이와 같은 악성파일 감염은 최초 보안 취약점에 노출되어진 환경에서 발생할 수 있는 조건을 갖추고 있음으로 아래와 같이 MS 보안 업데이트 적용을 통하여 감염을 미연에 방지할 수 있다.


3. 감염 증상

다운로드 되어진 01.exe와 3.exe 악성파일이 실행되면 아래와 같은 특정 경로에 파일을 생성하게 된다. 또한, 해당 악성파일에 감염되면 정상 운영체제에서 사용되어지는 comres.dll 와 imm32.dll 파일을 변조하게 된다.

[생성파일]

(시스템 폴더)\ComResA.dll
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\imm32.dll(임의의 영문.tmp)
(시스템 폴더)\nt32.dll.(임의의 영문).tmp
(시스템 폴더)\systemInfo.ini
(시스템 폴더)\systemInfomations.ini

[참고사항]

 - (시스템 폴더)란 일반적으로 C:\WINDOWS\system32 이다.

실제 정상 운영체제에 사용되어지는 Comres.dll 파일이 삭제 되어질 경우 시스템 이상 증상을 유발시킬 수 있기 때문에 백신 프로그램 등을 통하여 변조되어진 파일들을 정상 파일로 복원시켜주는 적절한 과정이 필요하다.

<참고> 파일 사이즈에 따른 정상파일 및 악성파일 구분 방법!!
 
  A. 정상 Comres.dll 파일 
     C:\WINDOWS\system32\comres.dll (16,232 바이트) 

  B. 악성 Comres.dll 파일
     C:\WINDOWS\system32\comres.dll  (7,168 바이트)

3.exe 파일에 의하여 생성되어진 nt32.dll 파일은 아래와 같이 특정 온라인 게임 계정 탈취 목적을 가지고 있다.

Pmang.com
Netmarble.net
Nexon.com
Lineage.plaync.co.kr
Hangame.com

※ 정상 Comres.dll, Imm32.dll 파일과 변조되어진 Comres.dll, Imm32.dll 파일 비교



4. 예방 조치 방법

1. 신뢰할 수 있는 보안 업체에서 제공하는 보안 소프트웨어를 설치하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
3. 윈도우와 같은 OS 및 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.

현재 comres.dll 과 imm32.dll 변조 관련 악성파일은 아직까지도 많은 변종이 나타나고 있으며 각기 다른 증상이 발생하고 있다. 이와 같이 시스템 이상 증상이 발생할 경우 AVS2007 상단의 [신고하기] 메뉴를 이용하여 관련 정보를 제공하여 주시면 확인 후 좀더 빠른 대응 및 답변을 드릴 수 있습니다.

※ nProtect ANti-Virus/Spyware 2007 제품으로 진단한 화면



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect