본문 바로가기

벌새::Analysis

백도어 + 키로거 기능을 포함한 청룡엔진 6.0 주의 (2011.5.24)

반응형
블로그 등 인터넷 게시판을 통해 유포가 이루어지고 있는 온라인 게임 치트 엔진 청룡엔진 6.0 버전을 실행할 경우 사용자 몰래 키보드 감시를 통한 키로거(Keylogger) 기능과 백도어(Backdoor) 기능이 포함되어 있는 것을 확인하였습니다.

실제 청룡엔진 배포자들은 보안 제품에서 파일을 진단하므로 정상적인 사용을 위해서는 실시간 감시를 끄고 사용하라고 안내를 하고 있지만, 이런 경우 사용자 몰래 추가적인 파일 등록을 통해 개인정보 유출과 추가적인 악의적인 동작이 있을 수 있습니다.

 

 

블로그를 통해 유포되는 청룡엔진 6.0 버전을 다운로드하여 보면 압축 파일 내부에 그림과 같은 파일을 포함하고 있는 것을 확인할 수 있습니다.

[청룡엔진 6.0 버전 : 압축 내부 파일 진단 정보]

SS.sys (MD5 : 6a197d3b9d952688acfae5aed0a67d50)
 - Hauri ViRobot : Trojan.Win32.Scar.60416.A (VirusTotal : 4/43)

SS.dll (MD5 : c8ba545b872cc5b347f133dd25ef0451)
 - Hauri ViRobot : Trojan.Win32.Scar.128512 (VirusTotal : 4/43)

청룡엔진6.0.exe (MD5 : ec71a93dfcd4ac81476927abbb15a8a6)
 - nProtect : Backdoor/W32.Agent.2971136 (VirsuTotal : 32/40)

 

해당 압축 파일을 해제하여 사용을 목적으로 실시간 감시를 OFF한 상태로 실행할 경우 그림과 같은 창이 생성되며 사용할 수 있습니다.

[청룡엔진 6.0 버전 실행시 생성 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys
C:\Windupdt
C:\Windupdt\winupdate.exe (MD5 : ec71a93dfcd4ac81476927abbb15a8a6)

 

하지만 청룡엔진을 실행시 사용자 몰래 숨김(H) 속성의 [C:\Windupdt] 폴더를 생성하며, 해당 폴더 내부에 Windows 시작시 자동 실행되는 숨김 속성의 winupdate.exe 파일을 추가하는 동작이 있습니다.
[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
 - EnableLUA = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winupdater = C:\Windupdt\winupdate.exe
HKEY_CURRENT_USER\Software\sang sinsang
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\Windupdt\winupdate.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
 - DisableNotifications = 1 :: 추가
 - EnableFirewall = 1 :: 추가​

 

또한, 레지스트리 변경을 통해 윈도우 보안 센터 및 Windows 방화벽 변경, 윈도우 사용자 계정 컨트롤(UAC : Windows User Account Controls) 변경 등을 통해 백도어 동작이 가능하도록 환경을 변경합니다.

 

 

감염된 PC는 Windows 시작 시점부터 svchost.exe 프로세스에 등록된 DNS Cache 서비스를 통해 UDP 프로토콜을 통해 지속적으로 외부와 통신을 할 수 있도록 접속을 유지합니다.

 

 

실제 연결을 시도하는 곳은 국내에서 서비스하는 유동 IP를 고정 도메인으로 연결시켜주는 서비스로 [cdhs3986.codns.com] 도메인으로 연결을 하고 있습니다.

 

 

추가적으로 감염된 PC에서 사용자가 입력한 키보드 값을 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dclogs.sys] 파일에 저장하여 차후 외부에서 피해자 PC에 접속하여 해당 파일을 통해 민감한 정보를 획득할 수 있을 것으로 추정됩니다.

테스트에서는 사용자가 네이버(Naver) 사이트에 접속하여 로그인을 시도할 경우 사용자 ID, 비밀번호가 그대로 기록되어 있는 것을 확인할 수 있었습니다.

위와 같이 불법적인 핵 프로그램은 보안 제품에서 진단할 수 있다는 논리로 사용시 보안 제품의 실시간 감시를 끄고 사용하도록 유도하며, 순순히 안내를 따를 경우 자신의 소중한 정보가 외부로 유출될 수 있으므로 이런 류의 프로그램은 사용하지 마시기 바랍니다.
728x90
반응형