울지않는벌새 : Security, Movie & Society

UDP Flood 사이트 공격 도구 변조 주의

벌새::Security
해외에서 오래 전에 서버 테스트 도구(Stress Testing Tools)로 공개된 UDP Flood 프로그램이 최근 사이트 공격 도구라는 이름으로 배포되는 과정에서 원본 파일과 다르게 변조되어 유포되고 있는 것을 확인하였습니다.

MD5 : 4d3dfdb5af3f82e4c8f16067060991b4

해당 프로그램에 대해서는 안철수연구소(AhnLab) 보안 제품에서 Win-Trojan/Udp.10240 (VirusTotal : 39/42) 진단명으로 진단을 하는 악성코드이며, 일반적으로 초기 제작 동기는 UDP 패킷을 특정 IP / 포트(Port)에 정해진 패킷(Packet)을 보내어 서버를 테스트하는 것으로 알고 있습니다.

그런데 최근 사이트 공격을 위해 이런 프로그램도 이용이 되는 과정에서 공식 배포 파일과는 다른 변조된 형태(MD5 : aaba4d99b704fa72666b8760974049f9)로 유포되는 것을 확인하였습니다.

해당 변조 파일에 대해서는 안철수연구소(AhnLab) 보안 제품에서 Win32/Parite (VirusTotal : 40/41) 진단명으로 진단을 하고 있습니다. 하지만 문제점은 이런 공격 도구는 일반적으로 보안 제품에서 진단을 한다고 생각하는 사용자로 인하여 실행시 보안 제품의 실시간 감시를 OFF한 상태로 변경하여 실행을 하는 경향이 매우 강할 것으로 보입니다.

해당 Win32/Parite 바이러스의 경우 감염시 exe 파일 등 PE 파일을 모두 감염시켜 시스템을 파괴하는 것으로 감염시 피해가 큰 것으로 알려져 있습니다.

또한 변조된 UDP Flood 프로그램의 경우 그림과 같이 추가적으로 Usp10.dll 파일을 포함하고 있으며, 원본 파일의 경우 단독 실행 파일인 점을 감안한다면 추가적인 악의적 동작이 발생할 위험성이 있습니다.

해당 Usp10.dll(MD5 : 454bf00c297b8dbb6ee67c526e722de7) 파일은 하우리 바이로봇(Hauri ViRobot) 보안 제품에서 Trojan.Win32.PSWWow.159744.J (VirusTotal : 31/42) 진단명으로 진단을 하고 있는 악성코드입니다.

Usp10.dll

해당 파일의 내부 정보를 살펴보면 중국 서버로 온라인 게임 와우, 미르의 전설 관련 계정 정보를 탈취할 것으로 보입니다.

아마 중국에서 제작된 온라인 게임 계정 탈취용 악성코드에 포함된 파일을 이용하거나 누군가가 악의적으로 포함했을 가능성도 존재합니다.

이처럼 사이트 공격을 한다는 목적하에 무조건 공개된 프로그램을 보안 제품의 경고를 무시하고 사용할 경우 공격 받는 서버만 피해를 보는 것이 아니라 자기 자신도 피해를 볼 수 있으므로 주의하시기 바랍니다.