본문 바로가기

벌새::Analysis

변조된 파일팝 다운로더를 통한 온라인 게임핵 유포 사례 (2014.1.9)

반응형

최근 국내 인터넷 사용자를 대상으로 유포되는 온라인 게임핵, 인터넷뱅킹 악성코드는 취약점(Exploit)을 이용한 유포 방식과 더불어 광고 프로그램을 통한 유포가 활발하게 이루어지고 있다는 소식이 전해지고 있습니다.

 

  <nProtect 대응팀 공식 블로그> [주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포 (2013.12.23)

 

  <nProtect 대응팀 공식 블로그> [긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증 (2014.1.6)

 

국내에서 제작된 광고 프로그램을 이용한 악성코드 유포 방식은 기존부터 발견이 되고 있었지만, 최근에는 공격적으로 관리가 부실한 광고 프로그램을 이용하여 유포에 활용하고 있는 것 같습니다.

 

그 중에서도 2013년 5월경부터 현재까지 변조된 광고 프로그램 배포 목적으로 제작된 "파일팝 다운로더" 파일을 통해 온라인 게임핵 악성코드를 지속적으로 유포하고 있는 사례를 살펴보도록 하겠습니다.

현재 파일팝(FilePop) 파일 자료실에 등록된 파일을 통해 확인을 해보면 556KB 크기를 가지는 파일을 이용하여 다양한 소프트웨어 파일처럼 위장하여 배포가 이루어지고 있는 것으로 파악되고 있습니다.

해당 배포 파일<SHA-1 : f3c05c2cde2ae1afc9b6defe5e4aab80d1099c35 - AhnLab V3 : Win-PUP/Dropper.MulDrop.569344 (VT : 34/48)>을 실행할 경우 "파일팝 다운로더" 창을 생성하여 "권장 프로그램"에 등록된 체크값을 그대로 유지한 상태에서 파일 전송을 진행할 경우에만 다양한 광고 프로그램이 자동으로 설치가 이루어지는 구조입니다.

 

그런데 2013년 5월경부터 해당 파일팝(FilePop) 서버에 등록된 배포 파일 상당수가 변조되어 유포가 시작되었으며, 이를 인지한 것인지 서버 운영자는 2013년 10월경 새로운 배포 파일로 교체하면서 기존의 변조된 파일을 삭제하지 않는 문제로 인하여 현재까지 다운로드가 이루어지고 있는 것 같습니다.

  • h**p://file***.co.kr/down_**/7z920x64_fsetup_1040_25.exe (SHA-1 : fa129bed4415b8520a26106bf238f02b73148d12) - 알약(ALYac) : Misc.Kor.MulDown (VT : 41/47)
  • h**p://file***.co.kr/down_**/DesktopToys_fsetup_283_27.exe (SHA-1 : a510cd033aa9aa3a9eec458078d174af7f4e5544) - AhnLab V3 : Trojan/Win32.Cidox.R69303 (VT : 43/47)
  • h**p://file***.co.kr/down_**/DTLite4_fsetup_1337_26.exe (SHA-1 : 88efefa89c52b7947f1cd526fbe2ca6103c1409c) - AVG : Dropper.Generic8.ADEW (VT : 43/48)
  • h**p://file***.co.kr/down/filepop_510_.exe (SHA-1 : 167b03fcfa5f5a3f92b12348aa48a284abe0dae8) - Avira : TR/Crypt.XPACK.Gen (VT : 42/48)
  • h**p://file***.co.kr/down_**/FreeAudioConverter240_fsetup_842_26.exe (SHA-1 : fd442fa798f8e6eb4b66c6c87cda37563fbf778b) - avast! : Win32:Kamso [Trj] (VT : 43/48)
  • h**p://file***.co.kr/down_**/FreeMP3Converter30_fsetup_193_18.exe (SHA-1 : 8436a146e40193887c18ef93188de623d113b07f) - ESET : a variant of Win32/TrojanDropper.Agent.QCF (VT : 44/48)
  • h**p://file***.co.kr/down_**/PES2012_Editor_1_fsetup_1273_29.exe (SHA-1 : d09b6a75091bbb844a39078d472b5c3f4f3f28af) - Kaspersky : Trojan-Downloader.Win32.Adload.cgmf (VT : 44/48)
  • h**p://file***.co.kr/down_**/PlantsVsZombies_fsetup_812_25.exe (SHA-1 : 27195da6fd17af08c8736cf46fcbac22eb9d12d3) - MSE : TrojanDropper:Win32/PWSOnLineGames (VT : 42/47)

간단하게 확인된 파일 8종의 경우 파일 크기가 820KB를 가지고 있으며, 파일 아이콘은 변조되기 전의 배포 파일과 일치하여 쉽게 구분되지 않고 있습니다.

변조된 배포 파일을 실행할 경우에는 "파일팝 다운로더" 창이 생성되는 과정에서 내부에 패킹된 악성 파일이 "C:\Users\(사용자 계정)\AppData\Local\Temp" 임시 폴더에 생성되어 시스템 감염을 유발하도록 제작되어 있습니다.

 

하지만 테스트에서는 Windows 7 운영 체제 환경에서는 정상적으로 감염이 이루어지지 않으며, Windows XP 운영 체제에서만 자동으로 감염이 이루어지고 있습니다.

 

Windows XP 운영 체제에서 변조된 파일팝(FilePop) 배포 파일인 PlantsVsZombies_fsetup_812_25.exe 파일<SHA-1 : 27195da6fd17af08c8736cf46fcbac22eb9d12d3) - MSE : TrojanDropper:Win32/PWSOnLineGames (VT : 42/47)>을 실행한 경우를 가정해 보도록 하겠습니다.

 

변조된 배포 파일을 실행하면 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5자리 영문+숫자).tmp" 파일<SHA-1 : 27195da6fd17af08c8736cf46fcbac22eb9d12d3 - AhnLab V3 : Trojan/Win32.Cidox (VT : 43/48)>을 생성 및 실행하여 다음과 같은 2개의 파일을 생성한 후 변조된 배포 파일은 자가 삭제 처리합니다.

자가 삭제되는 변조된 배포 파일과 동일한 파일명을 가진 PlantsVsZombies_fsetup_812_25.exe 파일<556KB, SHA-1 : 72e5fe8107f17478badcb154625423276aaae48c - AhnLab V3 : Downloader/Win32.Adload (VT : 31/48)>을 생성하여 "파일팝 다운로더" 창을 생성하여 사용자의 눈을 속이고 있습니다.

 

그와 동시에 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5자리 영문+숫자).exe" 파일<SHA-1 : fe059869e965ec7df584e9342ef8b5ecf4605221 - AhnLab V3 : Win-Trojan/Wgames.Gen (VT : 34/48)>을 생성하여 자동으로 다음과 같은 악성코드 설치를 한 후 해당 파일은 자가 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\4fba2.tmp
 - SHA-1 : 27195da6fd17af08c8736cf46fcbac22eb9d12d3
 - AhnLab V3 : Trojan/Win32.Cidox (VT : 43/48)

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dfeyei2fY.dll :: (= wshtcpip.dll)
 - SHA-1 : 5539385786f9bd2c6f1d051cdc551b196ef0b80a
 - nProtect : Trojan/W32.Forwarded.Gen (VT : 41/47)

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Drs.dll
 - SHA-1 : 3f47cd154c2f47d5830a71013f65d2bb210f2047
 - MSE : PWS:Win32/OnLineGames.AH (VT : 41/47)

 

C:\WINDOWS\system32\drivers\43d1f219.sys
 - SHA-1 : 111387685f9b431cbed2283be04ee25cff7b7f0e
 - 알약(ALYac) : Trojan.KillAV.sysdll (VT : 37/46)

 

C:\WINDOWS\system32\kakutk.dll
 - SHA-1 : 1481aef1136d65d4a027f756bffaf3c7c980c8a7
 - 알약(ALYac) : Spyware.OnlineGames-GLG (VT : 37/47)

 

C:\WINDOWS\system32\naverdsb.dll :: 정상 파일(wshtcpip.dll 백업 파일)
 - SHA-1 : 82ac612bf9a1c832bf75b8fa8d38714e28640a94

 

C:\WINDOWS\system32\wshtcpip.dll
 - SHA-1 : 5539385786f9bd2c6f1d051cdc551b196ef0b80a
 - 알약(ALYac) : Spyware.OnlineGames.pip (VT : 40/46)

 

악성코드 감염이 이루어지면 "C:\WINDOWS\system32\drivers\43d1f219.sys" 악성 드라이버 파일을 설치하여 보안 제품 무력화를 시도하며, wshtcpip.dll 시스템 파일(Windows Sockets Helper DLL) 변조를 위하여 ① "C:\WINDOWS\system32\naverdsb.dll" 정상 파일(= wshtcpip.dll) 생성 ② "C:\WINDOWS\system32\wshtcpip.dll" 정상 파일 이름 변경(h0eHuYsvV3) ③ "C:\WINDOWS\system32\wshtcpip.dll" 악성 파일 생성을 통한 패치(Patched)가 이루어집니다.

또한 미국(USA)에 위치한 "198.105.210.189" IP 서버에 사용자 Mac Address, 운영 체제 종류, 보안 제품 종류, 파일 버전과 관련된 정보를 전송합니다.

특히 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 브라우저 도우미 개체(BHO)가 존재할 경우 자동으로 삭제한 후 "IEHlprObj Class" 악성값을 등록하는 동작을 확인할 수 있습니다.

 

이를 통해 사용자가 Internet Explorer 웹 브라우저를 이용하여 온라인 게임, 문화 상품권 웹 사이트에 접속하여 로그인을 하는 과정에서 계정 정보를 외부로 유출하는 것으로 확인되고 있습니다.

 

이번 사례와 같이 관리가 부실한 광고 프로그램 배포 서버를 획득한 공격자는 변조된 악성 파일로 변경하여 광고업체에서 배포하는 통로를 그대로 이용하여 악성코드 유포에 활용하고 있으며, 최근에는 인터넷뱅킹 악성코드까지 확대된 상황으로 보입니다.

 

그러므로 사용자 PC에 설치된 광고 프로그램 중에는 광고 기능 이외에 정보 유출을 통한 금전적 피해를 유발하는 악성코드가 설치될 수 있다는 점을 명심하시고 블로그, 신뢰할 수 없는 파일 자료실에서 파일을 다운로드하여 절대로 실행하는 일이 없도록 하시기 바랍니다.

728x90
반응형