최근 네이버 지식인, 커뮤니티에 감염 경로를 알 수 없는 방식으로 카카오톡(KakaoTalk), Skype 관련 파일처럼 위장하여 실행되는 악성코드에 대한 정보가 올라오는 경우가 확인되고 있습니다.

 

 

해당 악성코드에 대한 정보 확인을 위해 Ec0nomist's Lab. 보안 블로그 운영자님으로부터 기초 정보를 받아서 유포 방식 및 전반적인 부분에 대해 간단하게 살펴보도록 하겠습니다.

 

우선 감염 유포처는 확인할 수 없지만 토렌트(Torrent)와 같은 파일 공유 방식으로 유포가 이루어지고 있는 것으로 보이며, 실제 다음과 같이 감염 시 한컴오피스 설치와 관련된 부분을 발견할 수 있었습니다.

 

사용자가 인터넷 상에서 임의의 파일을 다운로드하여 실행(설치)하는 과정에서 내부에 포함된 악성 파일(SHA-1 : 303792191df36dbe7e7a1c58b943da8adb4dc660 - BitDefender : Dropped:Trojan.GenericKD.3444477)을 통해 다음과 같이 감염될 수 있을 것으로 추정됩니다.

 

생성 파일 및 진단 정보

 

C:\Install.exe :: "HANCOM. INC," 디지털 서명이 포함된 한컴오피스 정상 파일

 

C:\lsm.exe
 - SHA-1 : 5f709bebd763d278cd0f8ec8ad8e01e9f3ad874c
 - Microsoft : Trojan:Win32/Subsys!rfn

 

 

 

최초 감염 과정에서 한컴오피스 인스톨(Install) 파일 생성 및 자동 실행을 통해 ['C:\install\setup.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.] 오류창이 생성됩니다.

 

이 과정에서 생성된 "C:\lsm.exe" 악성 파일은 임시 폴더(%Temp%) 영역에 다음과 같은 악성 파일을 생성합니다.

 

생성 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Local\Temp\csrss.exe
 - SHA-1 : d63ae664d781d3ebb0ce5a8a7b2c3f02d24ce11b
 - AhnLab V3 : Trojan/Win32.Nitol.R185419

 

C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe
 - SHA-1 : d040222a08512ac31728899d9f03ccee24873866
 - nProtect : Trojan/W32.Agent.522752.DO

 

 

 

임시 폴더에 생성된 "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" 악성 파일은 "C:\Users\%UserName%\AppData\Local\szfhe.reg" 파일 생성 및 실행을 통해 다음과 같은 시작 프로그램 등록값을 추가하여 Windows 부팅 시 자신이 자동 실행되도록 구성합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 821321 = C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe
 - 8cc99332a8e7bc53d1b1c2118359c53e = "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" ..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 8cc99332a8e7bc53d1b1c2118359c53e = "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" ..

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - {6DC0016D-4B64-458D-8BDD-562C3425415C} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe|Name=taskhost.exe|
 - {A4CF8361-E3CA-49DD-8E48-2727834B7784} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe|Name=taskhost.exe|

또한 Windows 방화벽에 "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" 파일을 허용되는 프로그램으로 추가하여 외부 통신 시 차단되지 않도록 설정합니다.

 

임시 폴더에 생성된 "C:\Users\%UserName%\AppData\Local\Temp\csrss.exe" 악성 파일은 "C:\lsm.exe" 악성 파일을 자가 복제하여 다음과 같은 악성 파일을 생성합니다.

 

생성 파일 및 진단 정보

 

C:\Windows\System32\Nationacq.exe
 - SHA-1 : d63ae664d781d3ebb0ce5a8a7b2c3f02d24ce11b
 - Microsoft : DDoS:Win32/Nitol.A

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Svchosteby

 

시스템 폴더에 생성된 악성 파일은 "Svchosteby (표시 이름 : Internet Secuirty Connectio xy Servicet)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Windows\system32\Nationacq.exe" 악성 파일을 자동 실행되도록 구성합니다.

 

 

위와 같이 백도어(Backdoor) 악성코드에 감염된 환경에서는 지속적으로 "160716.myq-see.com" C&C 서버와의 통신을 시도하며, 정상적으로 명령 서버와 통신이 이루어질 경우 추가적인 악성코드 다운로드를 통해 악의적인 기능을 수행할 수 있습니다.

 

 

  • h**p://45.32.40.**:****/KaKaoTalk_Setup.exe (SHA-1 : 4eea5938e799e59ca45ef87aa19c3ea8900eb091) - AhnLab V3 : Backdoor/Win32.Infostealer.C1536534
  • h**p://45.32.40.**:****/Skype_Setup.exe (SHA-1 : 47f44ebd3317a8447d4e158be2477a802b664920) - 알약(ALYac) : Trojan.Agent.MSIL.Injector

 

특히 추가적으로 다운로드될 수 있는 파일 중에서는 카카오톡(KakaoTalk), Skype 아이콘 및 파일명으로 위장한 악성 파일이 포함되어 있으며, 해당 악성코드는 2016년 8월 초부터 현재까지 활동하는 것으로 보입니다.

 

현재 알려진 감염 정보에 의하면 "C:\ProgramData\Kakao Talk\KaKaoTalk.exe" 폴더(파일) 생성을 통해 자동 실행되는 것으로 알려져 있으며, 감염될 경우 다음과 같은 악의적인 기능 수행이 있을 수 있습니다.

 

  1. 특정 프로세스 종료
  2. 시스템 복원점 삭제
  3. Windows 백도어 계정 생성
  4. RDP를 통한 원격 제어
  5. 백신 프로그램 종료
  6. 추가적인 파일 다운로드 및 다운로드 속도 측정(h**p://cachefly.cachefly.net/5mb.test)
  7. Windows 방화벽 설정 변경
  8. FileZilla FTP 프로그램이 저장된 계정 정보 수집
  9. C&C 서버 정보 : dd0s3r.zapto.org:6974 (45.32.40.87)

 

위와 같은 관련 정보를 기반으로 현재 추가적으로 유포될 수 있는 악성 파일이 서버에 존재한지 확인해 보았습니다.

 

 

  • h**p://45.32.40.**:****/Hema.exe (SHA-1 : 981a135e92c2590ec53125f40a3c2a5a5e8f3a0b) - AhnLab V3 : Trojan/Win32.ServStart
  • h**p://45.32.40.**:****/skull.exe (SHA-1 : 1e23dba92e7fbc7a88d87c557b730d77f0dc9deb) - BitDefender : Trojan.GenericKD.3510733

 

Berryz WebShare 서비스를 이용하여 등록된 2개의 악성 파일이 추가되어 있는 것을 확인할 수 있으며, 만약 다운로드 및 실행될 경우 자가 복제 방식으로 다음과 같은 악성 파일이 생성될 수 있습니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\spwindows
C:\Users\%UserName%\AppData\Roaming\spwindows\SP3Service-32-64.exe

 - SHA-1 : 981a135e92c2590ec53125f40a3c2a5a5e8f3a0b

 - AhnLab V3 : Trojan/Win32.ServStart

 

 - SHA-1 : 1e23dba92e7fbc7a88d87c557b730d77f0dc9deb

 - BitDefender : Trojan.GenericKD.3510733

 

 

생성된 악성 파일은 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\servicepack" 시작 프로그램 등록값 추가를 통해 Windows 시작 시 SP3Service-32-64.exe 악성 파일을 자동 실행되도록 구성합니다.

 

해당 악성 파일 역시 "dd0s3r.zapto.org:171" C&C 서버와의 통신을 통한 추가적인 악성 파일 다운로드, Windows 방화벽 설정 변경 등의 악의적인 기능을 수행할 수 있습니다.

 

참고로 수집된 서버 정보를 기반으로 유포된 추가적인 악성 파일 정보는 다음과 같으며, 일반적으로 카카오톡(KakaoTalk), Skype 외에도 Chrome, 시스템 파일명, (숫자).exe 파일 형태 등 다양한 파일명으로 감염될 수 있습니다.

 

  1. SHA-1 : 1298f3f06797c789c095ab197f9f26e3b847931f - Microsoft : Backdoor:MSIL/Bladabindi
  2. SHA-1 : 144c4e4785671b28430f293cacdd14916169dce1 - BitDefender : Trojan.GenericKD.3460785
  3. SHA-1 : 153f61d34f3fb749c31ae592ccf249f22f323c1a - ESET : a variant of Generik.DJXCOAQ
  4. SHA-1 : 19bfd46e55e745004d5d767e4392453dd4a1b695 - nProtect : Backdoor/W32.DarkKomet.1091072.C
  5. SHA-1 : 277d7fa7424b10784512669806083e1a7283a473 - BitDefender : Gen:Heur.ManBat.1
  6. SHA-1 : 2c28107b8a67b02051799884f40a3d678bfe0edc - AVG : Generic16_c.BFJ
  7. SHA-1 : 340113c475cf2ae0ec5f98cdd130d22549f6042e - ESET : a variant of MSIL/Injector.PYI
  8. SHA-1 : 5a635c3a641e01a36417ab86bfddf1e0d2a72f53 - ESET : a variant of MSIL/Injector.QAK
  9. SHA-1 : 60fbb1797ca3d7144a9eba453f263c7ed3fbba89 - Kaspersky : Trojan.Win32.Pincav.bqotl
  10. SHA-1 : 7a9bb65e43ceb40c50e16425bb31430c80458bf6 - Hauri ViRobot : Trojan.Win32.Z.Bladabindi.2493515[h]
  11. SHA-1 : 7fbbe581b7ed76f7fcdf17189a96cfb93823615b - avast! : Win32:Rootkit-gen [Rtk]
  12. SHA-1 : 8e8eaa4ebfc0f20da300296dfc99ab873c8f8343 - AVG : Generic15_c.CMGT
  13. SHA-1 : a42acc1e27f9d04e0341a1dc77489ce6a66de4ce - 알약(ALYac) : Trojan.Dropper.MSIL
  14. SHA-1 : a672973cf8add4d8597f16db8fb8ca4531644aa7 - Hauri ViRobot : Trojan.Win32.Z.Injector.659984[h]
  15. SHA-1 : ae1f5f3b896d6a57d5ead77a50a57f88762dfa7c - 알약(ALYac) : Trojan.MSIL.Injector.32943
  16. SHA-1 : c7fbe22713bb6d81dab43f1600cb687fbc1ec391 - 알약(ALYac) : Trojan.DDoS.Nitol.gen
  17. SHA-1 : ca1e09bff08813a97ec83eab3eaf2f0403bc8923 - AVG : Downloader.Generic_r.OO
  18. SHA-1 : d180bdbe942be82b8ff493b2c7a0c6f561c3f461 - ESET : a variant of MSIL/Injector.PYI
  19. SHA-1 : d234166405e0f514c9a0e6e13b3448964c44c3c6 - BitDefender : Trojan.GenericKD.3458045
  20. SHA-1 : f437a7124ef68c04cddd44b87b786f97849a3c77 - Kaspersky : Trojan.Win32.Swisyn.fpei

 

위와 같이 사용자가 신뢰할 수 없는 웹사이트를 통해 다운로드한 프로그램 설치 과정 시스템 파일명으로 교묘하게 감염된 후 지속적으로 악성 파일 추가 다운로드를 통해 정보 유출 및 좀비 PC가 될 수 있습니다.

 

특히 이번 악성코드는 최초 수백대 이상이 악성 파일에 노출된 것으로 보이므로 관련 감염이 의심될 경우 백신 또는 Malware Zero Kit (MZK) 도구를 이용하여 검사하여 뿌리뽑으시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..