최근 토렌트(Torrent) 파일 공유 서비스를 이용하여 동영상 파일을 배포하면서 내부에 비트코인(Bitcoin) 가상 화폐 채굴을 목적으로 한 악성코드를 유포한다는 제보가 있어서 조사를 진행해 보았습니다.
특정 토렌트(Torrent) 시드 공유 사이트에 2014년 11월 12일에 등록된 XTM에서 방송한 "주먹이 운다 - 용쟁호투" TV 동영상 파일 공유 게시글이 올라와 있는 것을 확인할 수 있습니다.
다운로드한 파일은 "[XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.zip" 압축 파일로 되어 있으며, 내부에는 "[XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.exe" 실행 파일이 동봉되어 있습니다.
해당 실행 파일은 곰플레이어(GOMPlayer) 관련 아이콘으로 제작되어 있으며, 실행 압축 내부에는 다음과 같은 2개의 파일이 포함되어 있습니다.
- [XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.mp4 :: 정상적인 동영상 파일
- B.exe (SHA-1 : 3800b627fb508ded4ff1cc8648b50bc45eeebe04) - AhnLab V3 : Trojan/Win32.MDA.C630448 (VT : 15/55)
내부에 숨어있는 Payne 내부 속성값을 가지는 B.exe 악성 파일은 2014년 11월 12일 오후경부터 국내에서 발견되고 있으며, 일부 AhnLab V3 보안 제품 사용자의 경우 진단이 이루어지기 전에 파일 실행 중 생성된 프로그램 실행 알림(클라우드 평판)창을 무시하여 감염이 이루어졌을 것으로 보입니다.
다운로드한 압축 파일 내에 존재하는 동영상 파일로 착각한 "[XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.exe" 실행 파일을 실행할 경우, 정상적인 Windows 운영 체제에서는 동영상 파일이 아니므로 사용자 계정 컨트롤(UAC) 알림창을 생성하여 1차적으로 실행 여부를 묻는 모습을 확인할 수 있습니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\[XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.mp4
- C:\Users\(사용자 계정)\AppData\Local\Temp\B.exe (SHA-1 : 3800b627fb508ded4ff1cc8648b50bc45eeebe04) - AhnLab V3 : Trojan/Win32.MDA.C630448 (VT : 15/55)
감염이 진행되는 과정에서 화면 상으로는 임시 폴더에 생성된 "[XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.mp4" 동영상 파일이 자동 실행되어 사용자의 눈을 속이고 있으며, 내부에 존재하던 B.exe 악성 파일은 임시 폴더에 생성되어 다음과 같은 시스템 감염 후 자동 삭제 처리됩니다.
C:\Program Files\Microsoft Services :: 시스템(S), 숨김(H) 속성
C:\Program Files\Microsoft Services\symgr.exe
- SHA-1 : 3800b627fb508ded4ff1cc8648b50bc45eeebe04
- AhnLab V3 : Trojan/Win32.MDA.C630448 (VT : 15/55)
C:\Users\(사용자 계정)\AppData\Local\Temp\3939 :: 시스템(S), 숨김(H) 속성
- SHA-1 : 3800b627fb508ded4ff1cc8648b50bc45eeebe04
- AhnLab V3 : Trojan/Win32.MDA.C630448 (VT : 15/55)
※ 해당 시스템 파일은 (4자리 숫자) 파일로 생성됩니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\[XTM] 주먹이 운다 용쟁호투.E09.141111.HDTV.H264.720p-WITH.mp4
감염을 통해 생성된 "C:\Program Files\Microsoft Services" 폴더는 시스템(S), 숨김(H) 속성값을 가지며, 내부에 생성된 "C:\Program Files\Microsoft Services\symgr.exe" 파일은 자동 실행되어 메모리에 상주합니다.
실행된 파일은 15초 간격으로 일본(Japan)에 위치한 "m8gpx8jw03.pw (49.212.146.130)" C&C 서버에 감염된 PC의 사용자 계정명, 컴퓨터 이름, 운영 체제(OS) 종류값이 추가된 실행 정보를 전송하며, 테스트 당시에는 서버에서 ID값을 받아오지 못하였지만 2014년 11월 12일에 확인한 ID값으로 추정되는 감염자는 100~200대 이상일 것으로 보입니다.
테스트 환경에서는 감염으로 인해 자동 실행값이 정상적으로 등록되지 않지만, 파일 코드를 봐서는 시작 프로그램 위치에 자동 실행되도록 추가될 수 있으며 이를 통해 다음과 같은 악의적 기능을 수행할 수 있습니다.
- 봇넷(BotNet) 구축을 통해 가상 화폐 채굴
- 트래픽 공격
- 구글 크롬(Google Chrome) 웹 브라우저에 저장된 로그인 정보 탈취
- 폴더 옵션 숨김 파일 관련 설정 변경
- Windows 방화벽 허용 추가
- USB 저장 매체를 통한 전파
실제 연결된 공격자 서버는 비트코인(Bitcoin) 채굴을 목적으로 운영되는 것을 볼 수 있으며, 비트코인(Bitcoin) 채굴 기능을 수행하는 악성코드 감염시 PC의 시스템 자원을 이용하여 연산 활동을 수행하므로 시스템 속도 저하 및 전기세 증가와 같은 피해를 받을 수 있습니다.
해당 악성코드 감염으로 인해 생성된 파일을 찾기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제, "숨김 파일, 폴더 및 드라이브 표시" 체크를 한 후 폴더(파일)를 찾아 삭제해야 하므로 참고하시기 바랍니다.
이번 사례와 같이 토렌트(Torrent) 파일 공유를 통해 다운로드한 동영상 파일의 확장자를 반드시 확인하여 EXE 실행 파일인 경우에는 절대로 실행하는 일이 없도록 주의하시기 바랍니다.