본문 바로가기

벌새::Analysis

파일 확장자를 조작한 가짜 동영상 파일 재생시 XtremeRAT 백도어(Backdoor) 감염 주의 (2014.8.20)

반응형

토렌트(Torrent)와 같은 파일 공유 서비스를 이용하여 드라마, 영화 파일을 다운로드하는 경우 동영상 파일과 함께 동봉된 샘플 동영상처럼 구성된 악성 파일을 통해 XtremeRAT 백도어(Backdoor)를 감염시키는 사례에 대해 살펴보도록 하겠습니다.

대표적인 유포 사례로 토렌트(Torrent) 공유 사이트에 게시된 "끝까지간다.A Hard Day.2014.720p.iptv.XviD AARCS" 파일을 이용하여 영화 파일을 다운로드를 시도해 보았습니다.

다운로드된 시드(Seed) 파일을 통해 MP4 동영상 파일(657MB)과 샘플 동영상(9.65MB)이 포함되어 있는 것을 알 수 있습니다.

동영상 파일 다운로드가 완료되는 시점에서 AhnLab V3 365 Clinic 보안 제품에서 샘플 동영상 파일(끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4)에 대하여 Trojan/Win32.Injector.R9201 진단명으로 차단하는 모습을 볼 수 있습니다.(※ 알약(ALYac) : Backdoor.Xtreme.gen, avast! : Win32:KeyLogger-AWB [Spy], Symantec : W32.Spyrat 진단명으로 진단될 수 있습니다.)

 

이제 본격적으로 악성코드로 진단된 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 파일(SHA-1 : 5cb9daff42b9c11cadc61ac1ca1388e98b6c8a24)의 정체에 대해 살펴보도록 하겠습니다.

Windows 탐색기 설정이 기본값(알려진 파일 형식의 파일 확장명 숨기기 체크)인 경우에는 진단된 악성 파일의 확장자명을 알 수 없으며, 파일 아이콘은 곰플레이어(GOM Player)에서 제공하는 MP4 동영상 파일처럼 보이도록 제작되어 있습니다.

폴더 옵션 설정을 변경하여 "알려진 파일 형식의 파일 확장명 숨기기" 항목의 체크를 해제한 경우 진단된 악성 파일은 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 파일명으로 표시되며, 파일 확장자명은 MP4 동영상 파일로 표시되어 사용자의 의심을 피하고 있습니다.

 

하지만 파일 유형을 확인해보면 "MP4 - MPEG-4 동영상 파일"이 아닌 "화면 보호기"로 표시되고 있는 부분을 발견할 수 있으며, 이를 근거로 해당 파일 확장자가 조작되어 있는 것을 눈치챌 수 있습니다.

파일의 코드를 확인해보면 동영상 파일이 아닌 실행 가능한 .scr 화면 보호기 파일임을 알 수 있습니다.

또한 실제 파일명은 Windows 탐색기에서 표시하는 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 파일명이 아닌 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AA 4PM.scr" 파일명으로 제작된 것을 알 수 있습니다.

 

위와 같은 조작 방식은 유니코드(Unicode) 문자를 통해 파일 확장자명 부분을 RLO(Right-to-Left Override) 방식(오른쪽에서 왼쪽으로 덮어쓰기)으로 작성하는 기법으로 알려져 있습니다.

 

■ 일반 사용자가 RLO 방식이 적용된 파일을 쉽게 확인하는 방법

일반적으로 파일 확장자명이 RLO 방식으로 조작된 것으로 의심되는 파일을 쉽게 확인하는 방법으로는 파일 확장자명까지 전체 복사하여 메모장에 붙여넣기를 하며 그림과 같이 Windows 탐색기에서 표시되는 이름으로 보이며, 공격자는 사용자의 눈에 MP4 동영상 파일처럼 인식하여 실행하게 유도하고 있습니다.

그런데 실제 파일 확장자명을 보기 위해 메모장을 오픈하여 마우스 우클릭을 통해 "유니코드 제어 문자 삽입 → RLO 오른쪽에서 왼쪽 덮어쓰기 시작" 메뉴를 실행한 후 파일명을 붙여넣기를 시도해 보시기 바랍니다.

그러면 그림과 같이 붙여넣기한 파일명이 오른쪽에서 왼쪽으로 작성되며(※ 마치 아랍어 작성시처럼) 파일의 확장자명이 .SCR 파일(화면 보호기)임을 확인할 수 있습니다.

 

다시 본론으로 돌아와서 파일 확장자명이 조작된 것을 눈치채지 못한 사용자가 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 악성 파일을 실행할 경우 발생하는 문제에 대해 알아보겠습니다.

파일 실행을 하면 "C:\Users\(사용자 계정)\AppData\Local\Temp\426섹시자위쇼1.avi" 동영상 파일을 생성하여 Windows Media Player를 이용하여 파일을 재생하려고 시도하지만 "파일을 재생하는 동안 문제가 발생했습니다."라는 오류 메시지만 뜹니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe
 - SHA-1 : 5cb9daff42b9c11cadc61ac1ca1388e98b6c8a24
 - MSE : Backdoor:Win32/Xtrat.A (VT : 47/53)

이 과정에서 사용자 몰래 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 악성 파일을 사용자가 확인하기 어려운 폴더를 생성하여 win31.exe 파일로 자가 복제를 시도합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HKCU = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe

해당 악성 파일은 Windows 시작시 "HKCU" 시작 프로그램 등록값을 등록하여 자신을 자동 실행하며 이를 통해 정상적인 iexplore.exe, svchost.exe 2개의 프로세스를 실행하여 자신을 인젝션하여 동작합니다.

이를 통해 실행된 iexplore.exe 프로세스는 "118.176.10.163:81" 국내 IP 서버로 지속적인 연결을 시도하며, 현재 테스트 시점에서는 연결이 이루어지지 않고 있습니다.

 

또한 감염된 환경에서는 키로깅을 통한 정보 유출, 웹캠 활성화를 통한 녹화, 추가 명령 수행을 통한 파일 다운로드 및 업로드, 시스템 설정 변경, 응용 프로그램 실행 또는 종료, 파일 삭제와 같은 다양한 악의적 기능을 통해 피해를 유발할 수 있습니다.

특히 감염된 악성코드 제거를 위해 iexplore.exe 프로세스를 종료할 경우 svchost.exe 프로세스가 지속적으로 재실행을 하도록 프로세스 보호 기능을 수행하므로, 프로세스 종료를 위해서는 "svchost.exe → iexplore.exe" 프로세스 순서로 종료를 하시기 바랍니다.

 

참고로 iexplore.exe, svchost.exe 프로세스는 모두 정상적인 프로세스이며, PC 사용시 다수의 동일 프로세스가 표시될 수 있으므로 구별이 매우 어렵습니다.

조금 더 쉽게 구별하기 위해서는 Windows 작업 관리자를 실행한 후 Internet Explorer 웹 브라우저를 모두 종료한 후에도 종료되지 않고 있는 iexplore.exe 프로세스는 다른 파일이 악용하고 있을 가능성이 있으며, "모든 사용자의 프로세스 표시" 버튼을 클릭하지 않은 상태에서 표시되는 svchost.exe 프로세스 역시 외부 파일에 의해 동작하고 있을 가능성이 높습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\--((Mutex))--
 - 426섹시자위쇼1.avi = OK
 - ServerStarted = (일)/(월)/2014 (시):(분):(초)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HKCU = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe
HKEY_CURRENT_USER\Software\XtremeRAT

 

XtremeRAT 백도어의 경우에는 특징적으로 레지스트리 값에서 "--((Mutex))--""XtremeRAT" 키값이 생성되는 특징이 있으므로 감염 여부를 체크해 볼 수도 있습니다.

 

그러므로 파일 공유 서비스를 이용하여 드라마, 영화 파일을 다운로드하여 실행할 경우 파일 아이콘, 확장자명, 파일 유형을 잘 확인하여 악성코드에 감염되는 일이 없도록 하시기 바랍니다.

 

 

728x90
반응형