주말을 이용한 악성코드 유포 행위 중 go.kr 도메인을 사용하는 정부 기관 웹 사이트를 통한 유포가 확인되었으며, 확인된 정부 기관 웹 사이트는 기상청(kma.go.kr), 한국장학재단(kosaf.go.kr)입니다.
이를 통해 2015년 1월 31일경 보안 패치가 제대로 이루어지지 않은 PC 환경으로 해당 웹 사이트를 방문할 경우 취약점(Exploit)을 이용하여 자동 감염이 이루어졌을 것으로 추정됩니다.
실제 유포와 관련된 증거는 구글(Google) 검색을 통해 관련 웹 사이트 방문시 "다음 사이트에 멀웨어가 있습니다." 경고창을 통한 차단이 이루어지고 있는 것으로 알 수 있습니다.
해당 정부 기관(go.kr) 유포시 사용된 호스팅 도메인 주소를 기반으로 추정해보면 2015년 1월 31일 오후 5시경에 확인된 중앙일보 웹 사이트에서 사용된 URL 주소와 매칭되는 것으로 확인되고 있습니다.
- h**p://www.chage***.com/menu.css (SHA-1 : b04a4e6585b33d3103c4e1ca5d3d19681c6cdb18) - Hauri ViRobot : Trojan.Win32.R.Agent.61892[h] (VT : 35/57)
관련된 정보를 기반으로 확인 가능한 유포지에서 다운로드된 최종 파일을 기반으로 어떤 기능을 수행하는지 살펴보겠습니다.
해당 VPN 기반의 인터넷뱅킹 악성코드와 관련된 유사 상세 분석 정보는 알약(ALYac)에서 공개한 내용을 확인하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\midimapbits.txt
- SHA-1 : 9d0ac38d4a1769771a2d3052412c54834b186e71
- 알약(ALYac) : Trojan.GenericKD.2129241 (VT : 20/57)
C:\Windows\System32\midimapbits.dll
- SHA-1 : 9d0ac38d4a1769771a2d3052412c54834b186e71
- 알약(ALYac) : Trojan.GenericKD.2129241 (VT : 20/57)
최초 감염이 이루어진 경우 midimapbits.dll (= midimapbits.txt) 악성 파일을 생성하여 다음과 같은 MseUpdate 시작 프로그램 등록값을 추가하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MseUpdate = rundll32.exe C:\Users\사용자 계정)\AppData\Local\Temp\midimapbits.txt,Awuut
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- MseUpdate = rundll32.exe C:\Users\사용자 계정)\AppData\Local\Temp\midimapbits.txt,Awuut
이를 통해 "C:\Windows\System32\rundll32.exe" 시스템 파일이 메모리에 상주하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\midimapbits.txt" 악성 파일이 로딩됩니다.
또한 시스템에 기본적으로 존재하는 BITS (Background Intelligent Transfer Service) 서비스 값을 변조하여 midimapbits.dll이 자동 실행되도록 구성합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters
- ServiceDll = %SystemRoot%\System32\qmgr.dll :: 변경 전
- ServiceDll = C:\Windows\system32\midimapbits.dll :: 변경 후
감염이 이루어진 후 2분이 경과하면 한국방송카메라기자협회(tvnews.or.kr) 웹 서버로 감염자 PC의 Mac Address, 운영 체제 종류, Internet Explorer 웹 브라우저 버전 정보를 전송하지만, "404 Not Found"로 뜨는 것을 봐서는 속임수로 판단됩니다.
이후 2분이 추가로 경과하면 감염을 통해 메모리에 상주하는 "C:\Windows\System32\rundll32.exe" 프로세스에 삽입된 midimapbits.dll 악성 파일이 특정 서버에서 menuw.gif 악성 파일<SHA-1 : 1b68cb33bbd4321b2db8a43542191e51a7473dac - AhnLab V3 : Trojan/Win32.Banker (VT : 40/55)>을 추가 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\setupviewtmp.exe" 파일로 생성 및 실행되어 다음과 같은 추가적으로 악성 파일을 설치합니다.
C:\Windows\System32\V3Manager64.dll
- SHA-1 : 9153996d4429bdb0c0d665ff544eb795e3ce542a
- 알약(ALYac) : Trojan.KillAV.49664 (VT : 37/57)
이를 통해 "V3Manager (표시 이름 : V3 Manager)" 서비스 항목을 등록하여 시스템 시작시 "%SystemRoot%\system32\svchost -k V3Manager" 파일을 실행하여 rundll32.exe 파일을 메모리에 상주시켜 "C:\Windows\System32\V3Manager64.dll" 로딩하도록 구성되어 있습니다.
1. 감염 후 실행 중인 프로세스 정보
최종적으로 감염이 완료된 후 시스템 시작시마다 자동 실행된 프로세스 정보를 살펴보면 정상적인 svchost.exe, rundll32.exe 프로세스에 삽입되어 동작하므로 외형적으로 감염 여부를 판단하기 매우 어렵습니다.
2. 네이버(Naver) 홈 페이지 변경
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = (사용자 지정 URL 주소) :: 변경 전
- Start Page = www.naver.com :: 변경 후
추가 실행된 setupviewtmp.exe 악성 파일을 통해 "C:\Windows\System32\V3Manager64.dll" 악성 파일은 Internet Explorer 웹 브라우저 주소를 네이버(Naver)로 변경을 시도합니다.
이를 통해 사용자가 웹 브라우저 실행시 자동으로 네이버(Naver)로 연결되어 금융감독원 관련 팝업창을 생성하여 다양한 금융 웹 사이트로 접속을 유도하는 구조입니다.
3. "C:\Users\(사용자 계정)\AppData\Local\Temp\midimapbits.txt" 파일 기능(= midimapbits.dll)
Windows 시작시 MseUpdate 시작 프로그램 등록값을 통해 자동 실행된 rundll32.exe 프로세스에 삽입된 midimapbits.txt 악성 파일은 ESET Smart Security, MSE, AhnLab V3 365 Clinic, AhnLab V3 Lite, ALYac, Naver Vaccine, Trend Micro 보안 제품 삭제 또는 업데이트 무력화 기능을 수행합니다.
또한 BITS (Background Intelligent Transfer Service) 시스템 서비스 변조를 통해 "C:\Windows\System32\midimapbits.dll" 파일 역시 시스템 시작시 자동 실행되어 동일한 기능을 수행할 수 있습니다.
특히 해당 악성코드에 감염된 상태에서는 rundll32.exe 프로세스에 추가된 midimapbits.txt 악성 파일을 통해 다음과 같은 다수의 웹 서버에 실제로는 존재하지 않는 그림 파일을 로테이션 방식으로 로딩하여 트래픽을 유발합니다.
- h**p://ftp.cessedsd.com/chagesat.jpg?20152116
- h**p://ftp.chage***.com/menuw.gif
- h**p://www.naver.com/menu.gif
- h**p://www3.srsr.co.kr/bbs2/data/prize/chagesat.jpg?20152116
- h**p://www.srsr.co.kr/bbs2/data/prize/chagesat.jpg?20152116
- h**p://www.pluspoint.jp/member/img/chagesat.jpg?20152116
- h**p://www.myjeje.net/chagesat.jpg?20152116
- h**p://snsdate.gndot.com/chagesat.jpg?20152116
- h**p://www.smartrank.co.kr/images/common/chagesat.jpg?20152116
- h**p://www.yahoo.co.jp/chagesat.jpg?20152116
- h**p://www.nate.com/chagesat.jpg?20152116
- h**p://www.srhan.co.kr/bbs/data/free/chagesat.jpg?20152116
- h**p://www.msn.com/chagesat.jpg?20152116
- h**p://www.hangame.com/chagesat.jpg?20152116
- h**p://www.gizmodo.jp/chagesat.jpg?20152116
- h**p://snsdate.gndot.com/chagesat.jpg?20152116
- h**p://www.joinsmsn.com/chagesat.jpg?20152116
- h**p://www.joins.com/chagesat.jpg?20152116
- h**p://www.ncsoft.jp/?20152116
- h**p://www.plaync.jp/chagesat.jpg?20152116
- h**p://www.tistory.com/start/chagesat.jpg?20152116
- h**p://user.nexon.com/chagesat.jpg
- h**p://www.nexon.com/chagesat.jpg?20152116
- h**p://www.netmarble.net/chagesat.jpg?20152116
해당 기법은 예전부터 온라인 게임핵 및 인터넷뱅킹 악성코드에서 종종 발견되고 있으며, 이 과정에서 추가적인 악성 파일(menuw.gif) 다운로드가 이루어질 수 있습니다.
4. "C:\Windows\System32\V3Manager64.dll" 파일 기능
"V3Manager (표시 이름 : V3 Manager)" 서비스 항목을 통해 시스템 시작시 자동 실행된 svchost.exe 프로세스을 통해 로딩된 rundll32.exe 프로세스에 삽입된 V3Manager64.dll 악성 파일은 AhnLab V3 Internet Security 8.0, AhnLab V3 Lite 보안 제품에 삭제를 통한 무력화 기능이 포함되어 있습니다.
감염 이후 웹 사이트 접속시 정상적인 IP 주소가 아닌 127.0.0.1 루프백(LoopBack) IP 주소로 연결되며, 해당 방식은 "Internet Protocol Version 4 (TCP/IPv4)" 속성값의 DNS 서버 주소를 변조하는 방식이 아닌 VPN 방식으로 파밍(Pharming) 웹 사이트로 연결을 시도합니다.
- h**p://114.***.150.***/swfcode/index.txt :: VPN 서버 주소
- h**p://114.***.150.***/swfcode/start1.bat :: 호스트 파일 수정
참고로 VPN을 통한 파밍(Pharming) IP 서버는 특정 IP 주소(114.***.150.***)에서 주기적으로 받아와 "C:\Program Files\Common Files\Plugin\index.txt" 파일로 생성될 수 있으며, 테스트 당시에는 VPN 관련 동작은 확인되지 않고 있습니다.
이를 통해 연결되는 파밍(Pharming) 은행 사이트는 우체국, 새마을금고, 기업은행, 외환은행, 농협, 하나은행, 신한은행, 우리은행, 국민은행으로 파악되고 있습니다.
만약 정상적으로 VPN 서버 정보를 받아올 경우 호스트 파일(C:\Windows\System32\drivers\etc\hosts, C:\Windows\System32\drivers\etc\hosts.ics) 수정이 이루어질 수 있으며, 자신의 기능을 수행한 이후에는 수정된 호스트 파일을 리셋(Reset)하는 것으로 알려져 있습니다.
또한 사용자 PC에 저장된 공인인증서(NPKI) 폴더를 찾아 관련 파일을 수집을 수집하여 특정 FTP 서버로 전송하는 기능이 포함되어 있습니다.
■ VPN 인터넷뱅킹 악성코드 삭제 방법
해당 악성코드는 기본적으로 PC에 설치된 다양한 백신 프로그램을 삭제하거나 정상적인 동작을 방해할 수 있으므로 수동으로 제거하는 방법을 자세하게 살펴보도록 하겠습니다.
특히 일부 PC의 경우 백신 프로그램을 통한 치료 완료 후 Windows 부팅 과정에서 RunDLL 경고창이 생성되어 "C:\Users\(사용자 계정)\AppData\Local\Temp\midimapbits.txt을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다." 메시지 창이 생성될 수 있습니다.
이유는 감염으로 인해 변조된 BITS (Background Intelligent Transfer Service) 서비스 레지스트리 값을 수정하지 않았기 때문입니다.(※ 삭제 단계 중 (d-2) 내용을 참고하시기 바랍니다.)
(a) 모든 프로그램을 종료한 상태에서 Windows 작업 관리자를 실행하여 메모리에 상주하는 rundll32.exe 프로세스(3개)를 모두 종료하시기 바랍니다.
(b) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "V3Manager"] 명령어를 입력 및 실행하여 V3Manager 서비스 프로세스(svchost.exe)를 자동 종료하시기 바랍니다.
(c) 명령 프롬프트 창에 [sc delete "V3Manager"] 명령어를 입력 및 실행하여 V3Manager 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(d) 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.
- C:\Program Files\Common Files\Plugin
- C:\Users\(사용자 계정)\AppData\Local\Temp\midimapbits.txt
- C:\Users\(사용자 계정)\AppData\Local\Temp\setupviewtmp.exe
- C:\Windows\System32\midimapbits.dll
- C:\Windows\System32\V3Manager64.dll
특히 "C:\Windows\System32\midimapbits.dll" 파일 삭제시 "파일이 Background Intelligent Transfer Service에서 열려 있으므로 이 작업을 완료할 수 없습니다." 메시지로 인해 삭제가 이루어지지 않으므로 다음과 같은 방식으로 삭제하시기 바랍니다.
(d-1) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "BITS"] 명령어를 입력 및 실행하여 BITS (Background Intelligent Transfer Service) 서비스 프로세스(svchost.exe)를 자동 종료하시기 바랍니다.
(d-2) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters" 레지스트리 값의 ServiceDll 문자열을 선택하여 "C:\Windows\system32\midimapbits.dll → %SystemRoot%\System32\qmgr.dll" 값으로 수정하시기 바랍니다.
(d-3) "C:\Windows\System32\midimapbits.dll" 파일을 삭제하시기 바랍니다.
(e) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MseUpdate = rundll32.exe C:\Users\사용자 계정)\AppData\Local\Temp\midimapbits.txt,Awuut
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- MseUpdate = rundll32.exe C:\Users\사용자 계정)\AppData\Local\Temp\midimapbits.txt,Awuut
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
- V3Manager = V3Manager
(f) 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 추가적으로 진행하시길 권장합니다.
이번 정부 기관(go.kr) 웹 사이트를 이용한 악성코드 유포 행위는 해당 웹 호스팅을 담당하는 CDN 서버가 최근 지속적으로 해킹을 당해 발생하는 문제이며, 위와 같은 악성코드에 감염되지 않기 위해서는 사용자 PC에 설치된 Windows 및 각종 응용 프로그램을 항상 최신 버전으로 유지하는 습관이 중요하겠습니다.
또한 국민들이 신뢰하는 정부 웹 사이트에 접속하여 악성코드에 감염되는 사태가 발생함에도 불구하고 해당 웹 사이트에서는 공지를 통해 특정 시간대 접속자에 대한 악성코드 감염에 대한 정보를 공지하지 않는 운영은 비판이 제기되어야 할 것입니다.