본문 바로가기

벌새::Analysis

서든 어택(Sudden Attack) 계정 정보 수집 목적으로 유포된 오토에임 악성코드 주의 (2017.4.16)

반응형

최근 네이버(Naver) 블로그에 게임핵으로 위장한 악성코드 유포 목적으로 운영되는 것으로 보이는 특정 계정을 통해 서든 어택(Sudden Attack) 온라인 게임에서 사용할 수 있는 오토에임(AutoAim)으로 위장한 악성코드 유포가 확인되어 간단하게 살펴보도록 하겠습니다.

 

 

해당 블로그에 작성된 글을 보면 첨부된 파일 실행한 후 반드시 서든 어택 홈 페이지에 접속하여 로그인을 해야한다고 언급하고 있습니다.

 

또한 백신 프로그램에서 진단될 수 있으므로 실시간 감시 기능을 OFF한 후 다운로드 및 실행하도록 안내하고 있습니다.

 

특히 다수의 백신 탐지 때문에 비밀번호(1234)가 설정된 EGG 압축 파일을 통해 유포가 이루어지고 있습니다.

 

  • 오토에임.exe (SHA-1 : ca6a0fb2fd1220ad0be5dde45db63308ff3d6c87 - AhnLab V3 : Backdoor/Win32.Bladabindi.R91438)

 

첨부 파일 내에는 오토에임.exe 악성 파일이 동봉되어 있으며 실제 다수의 백신 프로그램이 이미 차단하고 있지만, 온라인 게임핵의 특성상 백신에서 탐지되는 것으로 생각하여 진단을 무시하는 경향이 있을 것으로 보입니다.

 

생성 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\Whindow.exe :: 시작 프로그램(b4873ebc6e6f78dfdb2b3345770c744c) 등록 파일
 - SHA-1 : ca6a0fb2fd1220ad0be5dde45db63308ff3d6c87
 - Microsoft : Backdoor:MSIL/Bladabindi.B

 

 

 

압축 해제된 파일을 사용자가 실행할 경우 자신을 %AppData% 폴더에 Whindow.exe 파일명으로 복사한 후 Windows 시작 시마다 자신을 실행하도록 b4873ebc6e6f78dfdb2b3345770c744c 등록값으로 추가합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - b4873ebc6e6f78dfdb2b3345770c744c = "C:\Users\%UserName%\AppData\Roaming\Whindow.exe" ..

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - b4873ebc6e6f78dfdb2b3345770c744c = "C:\Users\%UserName%\AppData\Roaming\Whindow.exe" ..

특히 사용자가 해당 시작 프로그램 등록값을 삭제할 경우를 대비하여 Whindow.exe 악성 파일은 지속적으로 b4873ebc6e6f78dfdb2b3345770c744c 등록값을 추가 시도합니다.

 

 

또한 Windows 방화벽을 통한 외부 통신 차단이 이루어지지 않도록 netsh.exe 시스템 파일(네트워크 명령 셸)을 이용하여 netsh firewall add allowedprogram C:\Users\%UserName%\AppData\Roaming\Whindow.exe Whindow.exe ENABLE 명령어를 실행하여 Whindow.exe 악성 파일을 허용하도록 설정합니다.

 

 

해당 악성 파일의 코드를 확인해보면 Proxy 방식으로 "192.168.0.22:5552" IP 방식으로 외부 통신을 시도할 것으로 보입니다.

 

 

만약 감염된 PC에 웹캠이 존재할 경우 녹화를 통해 영상을 외부로 유출할 수 있을 것으로 보입니다.

 

 

가장 핵심적인 기능인 정보 유출과 관련해서 감염된 PC에서 키보드 입력값 정보를 키로깅하여 "HKEY_CURRENT_USER\Software\b4873ebc6e6f78dfdb2b3345770c744c\[kl]" 레지스트리 값에 데이터를 저장합니다.

 

실제로 서든 어택(Sudden Attack) 홈 페이지에 접속하여 로그인을 시도할 경우 아이디(ID)와 비밀번호가 저장되는 것을 확인할 수 있습니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER
 - di = !
HKEY_CURRENT_USER\Environment
 - SEE_MASK_NOZONECHECKS = 1
HKEY_CURRENT_USER\Software\b4873ebc6e6f78dfdb2b3345770c744c
 - [kl] = <키로깅 정보 저장 데이터>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - b4873ebc6e6f78dfdb2b3345770c744c = "C:\Users\%UserName%\AppData\Roaming\Whindow.exe" ..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - b4873ebc6e6f78dfdb2b3345770c744c = "C:\Users\%UserName%\AppData\Roaming\Whindow.exe" ..
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

FirewallRules
 - {C8635E94-972C-45E4-8F03-40F66C663538} = v2.26|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\%UserName%\AppData\Roaming\Whindow.exe|Name=Whindow.exe|
 - {FE89B723-DE93-45B2-AD6B-4D633D7FC147} = v2.26|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\%UserName%\AppData\Roaming\Whindow.exe|Name=Whindow.exe|

 

 

해당 악성코드 역시 대다수의 백신 프로그램에서 차단이 이루어지고 있지만 오토에임(AutoAim) 기능을 확인하고 싶은 호기심에 백신 진단을 무시하고 실행하여 정보 유출이 이루어지는 피해가 갈 수 있으므로 매우 주의하시기 바랍니다.

 

728x90
반응형