해외 소프트웨어 정보 제공 및 파일 자료실로 유명한 Softpedia 웹 사이트로 위장한 페이지에 접속시 다운로드되는 파일을 통해 다수의 애드웨어(Adware)를 설치하는 유포 수법과 관련 프로그램에 대한 부분에 대해 살펴보도록 하겠습니다.
대표적인 가짜 Softpedia 웹 사이트로 납치가 이루어지는 방식은 사용자가 구글(Google) 검색을 통해 특정 웹 사이트에 접속하는 과정에서 조건에 부합될 경우 1회 연결이 이루어집니다.
구글(Google) 검색을 통해 표시된 URL 주소값(artpreview.fr/hash-string-decrypt-d63fd-tool-free)을 직접 웹 브라우저에 입력하여 접속할 경우에는 정상적인 웹 사이트로 연결되고 있습니다.
하지만 구글(Google) 검색 결과에서 제시한 링크를 이용하여 접속할 경우 다음과 같은 경유를 통해 문제의 사이트로 연결될 수 있습니다.
- h**p://megaupl0ad.me/archive/hash%20string%20decrypt%20tool%20free
구글(Google) 검색 결과를 클릭할 경우 검색 결과에서 표시하는 URL 주소로 연결되는 과정에서 리퍼러(Referrer) 값을 체크하여 특정 URL 값으로 리다이렉트를 시도합니다.
연결된 웹 사이트는 Softpedia 파일 자료실의 다운로드 페이지로 구성되어 있으며, 접속 후 자동으로 특정 파일을 다운로드 시도합니다.
이 과정을 살펴보면 가짜 Softpedia 웹 페이지 접속시 3초 경과시 특정 외부 서버를 로딩하는 동작을 확인할 수 있습니다.
이를 통해 최종적으로 파일명은 변경될 수 있지만 동일한 Hash 값을 가지는 설치 파일<SHA-1 : 02a15ca2a9904d5e302ab0accea2103ad3e348f3 - AhnLab V3 : PUP/Win32.Amonetiz.R95935 (VT : 16/51)>을 다운로드합니다.
만약 사용자가 가짜 Softpedia 웹 사이트에 접속한 이후 재접속을 시도할 경우에는 더 이상의 접속이 이루어지지 않으며 위와 같은 2개의 웹 사이트로 연결되어 파일을 자동 다운로드하고 있습니다.
- 디지털 서명 : Blisbury LLP <SHA-1 : 8bac2f7757bead2bb8301b0b80af3cb421097ebe - ESET : a variant of Win32/SimpleFiles.A (VT : 2/49)>
- 디지털 서명 : Via Advertising Group Limited <SHA-1 : aade6cdaf70cb65f5ab71d6706503c0e4e1411b1 - avast! : Win32:Downloader-UEO [PUP] (VT : 5/51)>
흥미로운 점은 이렇게 연결된 웹 사이트에서 다운로드되는 파일은 서버 사이드 폴리모픽(Server Side Polymorphic) 기법을 통해 다운로드시마다 Hash값 변경을 시도하고 있습니다.
이 글에서는 가짜 Softpedia 웹 사이트에서 다운로드된 파일을 사용자가 실행하여 설치될 수 있는 프로그램에 대해 간단하게 살펴보도록 하겠으며, 해당 설치 파일(SHA-1 : 02a15ca2a9904d5e302ab0accea2103ad3e348f3)은 분석을 방해할 목적으로 가상 환경에서는 실행되지 않도록 Anti-VM 기능이 포함되어 있습니다.
파일을 실행하면 Setup 창이 생성되며 자신을 "C:\Users\(사용자 계정)\AppData\Local\Temp\hash string decrypt tool__3038_i805180457_il5127543.exe" 파일로 복제하여 실행됩니다.
또한 바탕 화면에 "Continue installation - hash string decrypt tool_Downloader Installation" 바로가기 아이콘을 생성하여 사용자가 다운로드한 파일을 실행하는 것을 중단할 경우를 대비하고 있습니다.(※ 파일명 및 바로가기 아이콘 이름은 구글(Google) 검색 키워드 값에 따라 변경될 수 있습니다.)
실제 바탕 화면에 생성된 바로가기 아이콘을 클릭할 경우 ["C:\Users\(사용자 계정)\AppData\Local\Temp\hash string decrypt tool__3038_i805180457_il5127543.exe" /rsm] 파일을 실행하여 설치가 진행하도록 구성되어 있습니다.
설치 단계를 확인해보면 "InstallPath Install Manager" 동의 과정을 통해 다양한 제휴 프로그램이 설치될 수 있도록 구성되어 있습니다.
다음 단계에서는 비트코인(Bitcoin)과 같은 가상 화폐를 채굴하는 프로그램 설치를 유도하고 있으며, 특히 가상 화폐 채굴 프로그램은 사용자에게 어떠한 도움도 주지 않으며 과도한 CPU 사용량 증가를 유발하므로 주의하시기 바랍니다.
또한 MiniGet Smart Downloader 프로그램 설치 동의 과정을 통해 함께 설치하고 있습니다.
이를 통해 설치 단계에서는 3종의 프로그램을 설치하는 것처럼 표시하고 있지만 제어판 프로그램 목록 기준으로 최소 4종 이상의 프로그램이 설치된 것으로 추정되며, 설치 과정에서 설치 파일 기준으로 다운로드된 파일 정보는 다음과 같습니다.
- h**p://dl.****demoserv.com/25/all/hd/row/setup.exe (SHA-1 : bcf8ae13e1142bd26a482af973551904396bf517) - Malwarebytes : PUP.Optional.CrossRider.A (VT : 8/51) :: 디지털 서명(Kimahri Software inc.)
- h**p://d3i6t8hgsf9mgj.cl***front.net/Updater.exe (SHA-1 : 9871c4f1a57cb49bceb2da39ca332be44cc8e9a4) - BitDefender : Adware.Agent.ODF (VT : 29/51)
- h**p://get.file*desktop.com/DownloadManager/Get?p=5654&d=8701&l=8181&n=1&productname=MiniGetSmartDownloader&d1=1500000&d2=1
&filename=setup (SHA-1 : 4df67a8709a4c822432cc3531bbef342bc4dcb7a) - ESET : Win32/OutBrowse.V (VT : 12/51) :: 디지털 서명(OUTBROWSE) - h**p://cdn.download*desktop.com/Installer/ConstaSurf/ConstaSurfSetup.exe (SHA-1 : d4de718b8fb76dce751de835bdcb39236c1e53e0) - Dr.Web : Trojan.BPlug.72 (VT : 7/51) :: 디지털 서명(ConstaSurf)
- h**p://cdn.download*desktop.com/Installer/SavePassCrossRider/savepass2.exe (SHA-1 : 8739c4a7069c40ef50b16c4c0a9f6fe53c111753) - AhnLab V3 : PUP/Win32.MulDrop (VT : 9/51)
- h**p://dl.reven***.com/Files//Setup_product_8181.exe (SHA-1 : bfc622267ec3e0b0673fa61c52b525c28ffbdece)
이렇게 설치가 이루어진 환경에서 제어판에 등록된 4종의 프로그램 이름과 주요 생성 폴더 경로는 다음과 같습니다.
- MiniGet 1.0.8.2504 :: C:\Program Files\MiniGet
- Plus-HD-9.4 :: C:\Program Files\Plus-HD-9.4
- SavePass :: C:\Program Files\SavePass
- Software Version Updater
그 중에서 제어판 삭제 목록에는 표시되지 않는 "Google Update Helper" 프로그램이 사용자를 어떻게 기만하고 있는지 파일 속성을 통해 잠시 살펴보도록 하겠습니다.
"Google Update Helper" 프로그램의 생성 폴더 경로 및 구조는 구글 크롬(Google Chrome) 웹 브라우저의 업데이터 폴더와 매우 유사한 구조를 가지고 있습니다.
1. "C:\Program Files\Google\Update\GoogleUpdate.exe" vs. "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe" 파일 비교
구글 크롬(Google Chrome) 웹 브라우저가 설치된 환경에서 업데이트 기능을 담당하는 폴더(C:\Program Files\Google\Update) 내부에 존재하는 "C:\Program Files\Google\Update\GoogleUpdate.exe" 파일은 "Google Inc" 디지털 서명이 포함되어 있습니다.
하지만 "Google Update Helper" 프로그램이 생성한 "C:\Program Files\globalUpdate\Update\GoogleUpdate.exe" 파일(SHA-1 : 01c53fbc0030066fe9032fec431d9ea26b5811cc)은 디지털 서명이 포함되어 있지 않지만, 구글(Google) 업체에서 제작한 파일처럼 사용자를 속이고 있습니다.
2. "C:\Program Files\Google\Update\1.3.24.7\GoogleCrashHandler.exe" vs. "C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleCrashHandler.exe" 파일 비교
구글 크롬(Google Chrome) 웹 브라우저의 업데이트 폴더 내의 "C:\Program Files\Google\Update\1.3.24.7\GoogleCrashHandler.exe" 파일은 "Google Inc" 디지털 서명을 포함하고 있습니다.
하지만 "Google Update Helper" 프로그램이 생성한 "C:\Program Files\globalUpdate\Update\1.3.25.0\GoogleCrashHandler.exe" 파일(SHA-1 : 0e7cc420b0be38296ef8516dc3786361119f1f5f)은 "Google Inc (TEST)" 디지털 서명이 포함되어 있습니다.
특히 "Google Inc (TEST)" 디지털 서명은 유효하지 않은 구글(Google) 디지털 서명처럼 구성되어 있는 것을 알 수 있습니다.
이렇게 설치된 PC 환경에서는 Internet Explorer, Google Chrome 등의 다양한 웹 브라우저 환경에서 인터넷 이용시 원치않는 광고 배너 생성 등의 불편을 유발하며 가상 화폐 채굴 작업을 통해 CPU 상승을 통한 과도한 전기 사용량을 증가시킬 수 있습니다.
최근 국내 인터넷 사용자 중에서 국내 광고 프로그램 외에도 해외 광고 프로그램이 설치되어 고생하는 분들이 점점 증가하고 있으므로, 국내 광고 프로그램보다 더욱 지능적이고 삭제가 어려운 해외 광고 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.