토렌트(Torrent) 파일 공유 방식을 통해 Windows 10 속도 향상 패키지로 위장하여 불특정 다수에게 Orcus RAT 악성코드를 유포하는 사례가 확인되어 살펴보도록 하겠습니다.
"윈도우10 속도향상 패키지"로 소개된 다운로드된 파일은 32 / 64 비트(Bit)별로 구분되어 있지만 모두 동일 파일(SHA-1 : 49a3b16f882e222b9a80d94facbed439705bcc24 - AhnLab V3 : Win-Trojan/MSILKrypt.Exp)입니다.
- Windows 10 정품 인증 패치 (SHA-1 : 6285ee958837c845ee819af336b1be9923b616f6 - Microsoft : VirTool:MSIL/Injector)
- 전력 최소화 채굴 프로그램 (SHA-1 : bb313264c446cc18744d77bd05fd118e6942322b - Trend Micro : BKDR_BLADABINDI.SMRR)
이외에도 공격자는 Windows 10 정품 인증 패치, 채굴 프로그램 등 다양한 파일을 토렌트를 통해 유사 악성코드를 유포하는 것으로도 확인되고 있습니다.
사용자가 다운로드된 파일을 실행하면 "C:\Users\%UserName%\AppData\Roaming\windows.exe" 파일로 자신을 복제합니다.
|
생성 파일 등록 정보 |
|
C:\Windows\System32\Tasks\Update
|
|
생성 레지스트리 등록 정보 |
|
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BE82DC90-3486-4C24-9F66-FCF914035735}
|
생성된 windows.exe 악성 파일은 시스템 시작 시마다 Update\admin 작업 스케줄러 값을 통해 자동 실행하도록 구성되어 있습니다.
|
생성 파일 등록 정보 |
|
C:\intel\mirco.exe
|
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
|
또한 "C:\intel" 폴더를 생성하여 내부에 micro.exe 파일명으로 또 하나의 자신을 복제하여 레지스트리 값 등록을 통해 Windows 부팅 시 자동 실행하도록 구성되어 있으며, micro.exe 파일은 시스템 환경에 따라 숨김(H), 시스템(S), 읽기(R) 전용 파일 속성값을 가질 수 있습니다.
이를 통해 Windows 부팅 시마다 자동으로 실행된 micro.exe / windows.exe 악성 파일은 부모-자식 형태로 실행되어 종료를 1차적으로 방해하며 다음과 같은 악의적인 행위를 수행할 수 있습니다.
실행된 악성 파일은 "6012.punkdns.pw (218.51.144.11)" C&C 서버와의 통신을 시도하며, 테스트 당시에는 정상적으로 연결이 이루어지지 않고 있습니다.
감염된 시스템 환경에서 사용자의 키로거(Keylogger) 정보를 수집하여 "C:\Users\%UserName%\AppData\Roaming\Orcus\klg_<Random>.dat" 파일 형태로 Base64 인코딩 방식으로 저장을 한 후 외부로 전송될 수 있습니다.
예를 들어 사용자가 Internet Explorer 웹 브라우저를 통해 네이버(Naver) 접속 후 로그인 시도, 인터넷 검색 시도 시 관련 정보가 수집되어 기록된 것을 알 수 있습니다.
이외에도 공격자의 명령에 따라 프로그램 제거 및 종료, 시스템 및 프로세스 정보 수집, 웹 브라우저에 저장된 비밀번호 수집, 음성 정보 수집, Proxy 설정 등 다양한 원격 제어가 가능한 Orcus RAT 기능을 수행할 수 있습니다.
토렌트(Torrent) 파일 공유 서비스는 사용자가 원하는 다양한 파일을 편하게 다운로드할 수 있지만 이를 악용한 악성코드 유포도 많다는 점에서 호기심을 자극하는 파일을 다운로드하여 검증없이 함부로 실행하는 일이 없도록 주의하시기 바랍니다.