주말마다 이루어지는 국내 웹 사이트 해킹을 통한 악성코드 유포 행위는 대체로 온라인 게임 계정 정보 탈취를 목적으로 하고 있으며, 한 번 해킹된 사이트는 취약점 수정이 이루어지지 않는 경우 매주 계속적으로 유포가 이루어지는 특징이 있습니다.

이번에는 평일 국내 모 언론 사이트를 통해 Adobe Flash Player 취약점과 Internet Explorer 웹 브라우저 취약점을 이용한 악성 스크립트를 이용한 유포 행위가 확인이 되었는데, 기존과 다르게 온라인 게임 계정 탈취 목적이 아닌 백도어(Backdoor) 감염을 통한 좀비 PC 확보 차원으로 보입니다.

[악성코드 유포 경로]

h**p://www.kook**.co.kr/comm/main.js
 ㄴ h**p://825***.com/wm/
   ㄴ h**p://825***.com/wm/load.html
     ㄴ h**p://825***.com/wm/k.js
     ㄴ h**p://825***.com/wm/1.html
       ㄴ h**p://825***.com/wm/KBL.swf
         ㄴ h**p://825***.com/wm/gnodad.txt :: 암호화
     ㄴ h**p://825***.com/wm/2.html
       ㄴ h**p://825***.com/wm/setup.exe
       ㄴ h**p://825***.com/wm/KBL-1.swf

해킹된 언론 사이트에 접속시 홍콩(HongKong)에 위치한 특정 서버로부터 다운로드되는 악성 스크립트 파일을 확인해보면 Adobe Flash Player 취약점을 이용한 1.htm 파일에 대하여 알약(ALYac) 2.0 보안 제품에서는 Exploit.JS.Mult.Swf.E 진단명으로 진단되고 있으며, IE 웹 브라우저 취약점 CVE-2010-0806을 이용한 2.htm 파일에 대하여 Kaspersky 보안 제품에서는 Exploit.JS.CVE-2010-0806.az 진단명으로 진단되고 있습니다.

이를 통해 추가적으로 다운로드되는 KBL.swf 파일에 대하여 알약 2.0 보안 제품에서는 Exploit.SWF.ShellCode.Gen 진단명으로 진단되고 있으며, 최종 실행 파일(MD5 : bc9cfedd6cc72689c36d0cdf1574ec1f)에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 Backdoor:Win32/PcClient.ZR (VirusTotal : 16/43) 진단명으로 진단되고 있습니다.

보안 패치가 최신으로 적용되지 않은 상태로 해당 언론 사이트에 접속을 하는 경우 자동으로 감염되며 감염된 PC는 다음과 같은 악의적인 동작이 예상됩니다.


[생성 파일 및 진단 정보]

C:\WINDOWS\system32\msvrhelp.dll
 - MD5 : 5c8833665a8d8df809ca299392a8c840
 - AhnLab V3 : Packed/Win32.Vmpbad (VirusTotal : 18/43)

C:\WINDOWS\msvrhelp.temp
 - MD5 : f936b2de3a4a1fca263f0924344dc46f
 - Microsoft : Backdoor:Win32/PcClient.ZR (VirusTotal : 15/43)


해당 악성코드는 감염시 svchost.exe 프로세스에 서비스로 등록하여 시스템 시작시 자동으로 실행되도록 구성됩니다.

● 서비스 이름 : NWCWorkstation, ias, iprip (※ 이름은 감염시마다 달라질 수 있습니다.)
● 표시 이름 : Network Connections Manager
● 설명 : Windows DHCP Manage Services
해당 서비스 등록값은 중지를 하지 못하도록 서비스 상태 버튼을 비활성화하고 있으며, 사용자는 표시 이름을 통해 감염 여부를 체크할 수 있습니다.

프로세스 정보를 확인해보면 서비스(services.exe) 프로세스 하위의 svchost.exe 프로세스에 msvrhelp.dll 파일을 추가하여 동작하는 것을 확인할 수 있습니다.

msvrhelp.dll 파일은 마이크로소프트(Microsoft) 관련 파일로 위장하고 있으며, Disk Management Snap-in Support Library(원본 파일 : dmvdsitf.dll) 기능을 가진 파일로 표시하고 있습니다.

하지만 언어를 살펴보면 중국어로 표시되고 있으며, 7월 28일경 제작된 파일로 추정됩니다.

시스템 시작시마다 자동 실행된 svchost.exe 프로세스는 국내 "211.233.231.209:88" IP와 연결 상태를 유지하고 있으며, 차후 공격자에 의한 정보 유출 또는 추가적인 다운로드 등 악의적인 동작이 예상됩니다.

수동으로 문제 해결을 원하시는 분들은 서비스(services.msc) 항목에 등록된 [Network Connections Manager] 항목의 시작 유형을 [사용 안 함]으로 변경한 후 시스템 재부팅을 하시기 바랍니다.

재부팅 완료 후 다음의 파일과 레지스트리 값을 수동으로 삭제하시기 바랍니다.
  • C:\WINDOWS\system32\msvrhelp.dll
  • C:\WINDOWS\msvrhelp.temp
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias

또는

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iprip

또는

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NWCWORKSTATION

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation

이번 사례와 같이 백도어 감염을 통하여 사용자 몰래 원격 제어를 통해 지속적인 정보 유출이 발생할 수 있으므로, 반드시 인터넷을 이용하실 때에는 사용자가 사용하는 운영 체제를 비롯한 각종 소프트웨어 최신 버전을 사용하는 습관을 가지시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..