중국에서 국내 온라인 게임 계정 탈취를 목적으로 제작된 악성코드 중에서는 Windows 시스템 파일을 패치(Patch)하는 방식을 많이 이용하고 있습니다.
기존의 comres.dll / imm32.dll / midimap.dll 파일과 더불어 최근에 lpk.dll 시스템 파일을 패치하는 방식이 발견되고 있습니다.
현재 국내에서 감염을 유발하는 방식은 대체로 악의적으로 변조된 국내 인터넷 사이트에 접속하는 시점에서 Internet Explorer 웹 브라우저 취약점, Adobe Flash Player 취약점을 이용한 방식으로 매월 정기적으로 제공되는 Windows 보안 패치 미설치자와 함께 Adobe Flash Player 최신 버전 미사용자의 경우에는 보안 제품의 진단이 이루어지지 않을 경우 자동으로 감염되고 있습니다.
단, 보안 패치가 잘 적용된 PC 환경에서는 보안 제품의 진단 능력에 상관없이 자동 감염이 이루어지지 않으므로 보안 패치의 중요성은 근본적인 문제 해결 방법입니다.
오늘 살펴볼 악성코드 파일(MD5 : 92ea08eb72789eb08acddfd392d8fa95)은 위에서 언급한 취약점을 이용하여 유포가 이루어지고 있는 것으로 추정되며, 감염시 정상적인 lpk.dll 시스템 파일을 패치하여 악용하는 사례입니다.
현재 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack 진단명으로 진단되며 알약(ALYac) 2.0 보안 제품에서는 Mal/EncPk-CK 진단명으로 사전 차단되고 있습니다.
[생성 파일 등록 / 진단 정보]
C:\WINDOWS\system32\2011521212529.dll :: lpk.dll 백업 파일(정상 파일) ※ 해당 파일은 감염 시간에 따라 파일명이 2011(Random 9~10자리 숫자).dll 패턴으로 생성됩니다.
C:\WINDOWS\system32\lpk.dll :: 변경 전 파일 크기 - 22,016 Bytes / 변경 후 파일 크기 : 33,593,490 Bytes - MD5 : FDDE6BE41D554BCDF8001A0F15868D8A - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 5/42)
악성코드 감염시 윈도우 파일 보호(WFP) 기능을 무력화하여 정상적인 lpk.dll 파일을 lpk32.dll 파일로 백업을 하고, 악성 기능을 가진 lpk.dll 파일을 생성하고 있습니다.
패치된 lpk.dll 파일은 그림과 같이 중국에서 제작된 것으로 추정되며, 사용자가 웹 브라우저를 이용하여 특정 온라인 게임이 접속하여 로그인을 하는 과정에서 계정 정보(ID, 비밀번호 등)를 외부로 유출하고 있습니다.
참고로 lpk.dll 파일을 패치하면서 생성된 백업 파일(2011(Random 9~10자리 숫자).dll / lpk32.dll)은 그림과 같습니다.
실제 동작 과정을 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 lpk.dll 악성 파일을 추가하며, 원래 정상적인 lpk.dll(Language Pack) 파일의 기능은 백업된 lpk32.dll 파일이 수행하는 것을 확인할 수 있습니다.
해당 악성코드에서는 피망(pmang.com), 메이플스토리(MapleStory), 던전앤파이터 등과 같은 온라인 게임 계정을 표적으로 하고 있으며, 실제 계정 탈취는 사례는 다음과 같습니다.
