2016년 초에 특정 이글루스(Egloos) 블로그를 악용하여 AutoHotkey로 제작된 악성코드 유포 활동이 이루어지고 있는 부분에 대해 살펴본 적이 있었습니다.

 

당시 분석글에서는 어떤 경로로 이글루스 블로그에 포함된 PNG 악성 파일을 체크하는지 확인하지 못하였는데, 최근 유포 행위의 시작점을 발견하여 추가적으로 살펴보도록 하겠습니다.

 

 

2015년 7월 6일경 특정 토렌트(Torrent) 파일 공유 사이트에 게시된 한글 2014 정품 프로그램을 배포하는 시드(Seed) 파일이 배포되기 시작하였습니다.

 

 

다운로드된 한글2014.zip 압축 파일 내부에는 성인 광고가 포함된 그림 파일 하나 외에는 정상적인 프로그램처럼 사용자를 속이고 있으며, 내부 구성 파일은 한글 2010 버전이 포함되어 있습니다.

 

정품 한컴오피스 2010 버전의 파일 구성을 확인해보면 install.exe 파일이 바꿔치기 되어 있음을 유추할 수 있습니다.

 

  • install.exe (SHA-1 : c7461ee29b3bcd0fb38faa4679513b9b2edc3ce7 - AhnLab V3 : Trojan/Win32.Ransom.C952681)

토렌트를 통해 다운로드된 install.exe 파일을 확인해보면 디지털 서명이 포함되어 있지 않으며, 2015년 7월 3일경 제작된 것을 확인할 수 있습니다.

 

이제 사용자가 한글 2014 버전으로 착각하여 install.exe 파일을 찾아 직접 실행하거나 ISO 파일 또는 DVD 제작을 통해 자동 실행할 경우 AUTORUN.INF 파일 구성값에 따라 악성 install.exe 파일이 실행되어 다음과 같은 특정 이글루스 블로그에 2015년 7월 2일 등록된 특정 게시글을 체크하는 행위를 수행합니다.

 

 

GET /6248166 HTTP/1.1
User-Agent: WooriAdris
Host: chocomaru.egloos.com
Cache-Control: no-cache

연결 과정에서는 User-Agent 값으로 WooriAdris 문자열이 포함되어 있는 것이 특징이며, 현재는 당시 분석을 통해 이글루스의 협조로 더 이상 연결되지 않도록 조치가 이루어진 상태입니다.

 

 

만약 정상적으로 이글루스 블로그에 게시된 URL 값을 체크한다면 현재까지도 특정 WordPress 계정에 업로드된 acttom.png 악성 파일(SHA-1 : 496c83635fbd1475d871d5602977d5c97b914eb0 - AhnLab V3 : Trojan/Win32.Agent.C1075943)을 임시 폴더(%Temp%)에 다운로드 및 실행됩니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysboot

감염된 PC 환경에서는 sysboot 시작 프로그램 값을 등록하여 Windows 부팅 시마다 자동 실행되도록 구성될 수 있으며, 이를 통해 추가적인 악성 프로그램 다운로드 및 정보 유출 등의 피해를 유발할 수 있을 것으로 보입니다.

 

그렇다면 위와 같은 활동을 진행하고 있는 일명 WooriAdris 조직이 2015년 7월경부터 최근까지 유포한 악성 파일은 무엇이 있었는지 VirusTotal 정보를 기준으로 추적해 보았습니다.(※ 날짜는 VirusTotal 최초 등록일입니다.)

 

  • 2015년 7월 24일 (SHA-1 : 008b817f8aaafcaf82cadc22fc7bb71b7c5f38ad - Hauri ViRobot : Trojan.Win32.Downloader.824320.A[h])
  • 2015년 7월 26일 (SHA-1 : dc9bc7c62a8e188a60439150be02e561b4dbadd3 - ESET : Win32/TrojanDownloader.AutoHK.AM)
  • 2015년 8월 1일 (SHA-1 : e3f10e6dab5a1f83dec50f7deb8c77ae6615f0ed - 알약(ALYac) : Trojan.Downloader.Cliker.ADV)
  • 2015년 11월 11일 (SHA-1 : f415760a01c2b43090b9f3fb0088bf756f0f968c - Kaspersky : Trojan-Ransom.Win32.Blocker.hrft)
  • 2015년 11월 11일 (SHA-1 : b5297dad52b70dc058944c2f866161a8ff137485 - AhnLab V3 : Backdoor/Win32.Graybird)
  • 2015년 11월 11일 (SHA-1 : 605ce73ee52ffa4ca167081d4d7af3503aeac3fd - Hauri ViRobot : Trojan.Win32.Z.Autohk.593408[h])
  • 2015년 11월 14일 (SHA-1 : 50374f8501fadbe685c93f9b611cee71db38cd15 - AVG : BackDoor.Generic_r.DHN)
  • 2016년 5월 16일 (SHA-1 : 039a7cdbea7c855d3938da8104d49863b876da30 - Avira : BDS/Backdoor.Gen)
  • 2016년 6월 2일 (SHA-1 : 9c2cf83a2faa42f4aeb8b70663c1788bf707c687 - Microsoft : Trojan:Win32/Bagsu!rfn)

특히 2015년 11월경 백도어(Backdoor) 기능을 가진 악성 프로그램의 경우에는 다음과 같은 C&C 서버와 통신을 시도한 부분이 발견되고 있습니다.

 

  • limitms.codns.com (110.13.113.75)

  • makevlar.codns.com (211.205.250.31)

또한 일부 진단 엔진에서는 파일 암호화 또는 협박성 메시지 생성과 유사한 패턴 또는 행위가 존재하였는지 랜섬웨어(Ransomware) 진단명이 포함되어 있는 점이 발견되고 있습니다.

 

아무튼 WooriAdris 조직은 기본적으로 감염된 PC에서 다양한 활동을 수행할 수 있는 백도어(Backdoor) 설치와 불법적인 광고 활동을 통해 수익을 내고 있는 것으로 보이므로 토렌트(Torrent) 파일 공유 서비스 이용 시 매우 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..