본문 바로가기

벌새::Analysis

보안인증 ActiveX 설치를 이용한 SXGuide 유포 주의 (2010.6.13)

반응형
올해 2월경부터 국내 특정 단축 URL(Short URL)을 통해 인터넷 사이트에 접속할 경우 보안인증 ActiveX 설치창(Yooseung Development)을 생성하는 동작을 확인할 수 있었습니다.

당시 해당 ActiveX 설치 Classid 관련값은 2종류로 확인이 되었으며 국내 보안 업체에서는 JuneIP라는 이름으로 국내 애드웨어(Adware) 설치를 유도하는 것으로 알려지게 됩니다.

그런데 최근에 새로운 도메인을 이용하여 유사한 방식으로 유포가 이루어지고 있는 것을 재확인하였으며, 좀 더 세부적인 내용을 분석하여 공개해 보겠습니다.

기본적으로 해당 보안인증 ActiveX 설치창은 단축 URL가 연결하는 사이트가 어디냐에 따라 네이버(Naver) 메인 화면에서도 생성이 이루어질 수 있으며, 그림과 같은 위장된 악성 페이지에서도 유포가 이루어질 수 있습니다.

예시에 제시된 설치 페이지의 경우 마치 Microsoft 사에서 기본적으로 제공하는 특정 페이지를 찾을 수 없다는 메시지가 아닌 특정 도메인에 허위 페이지를 제작하여 ActiveX 설치창이 제시되는 방식을 이용하고 있습니다.


해당 보안인증 ActiveX를 사용자가 실제 설치를 할 경우 초기에는 ActiveX 설치 폴더(Downloaded Program Files) 내에 main.ocx / uac.inf / uac.ocx 파일을 생성할 뿐 특별한 동작은 발견되지 않습니다.


참고로 1차적으로 설치된 보안인증 ActiveX를 통해 생성된 레지스트리 정보는 다음과 같습니다.

HKEY_CLASSES_ROOT\AGreeActiveProj1.AGreeActive
HKEY_CLASSES_ROOT\CLSID\{0CBA4797-48DF-4C81-B27A-60A301D4E1B2}
HKEY_CLASSES_ROOT\CLSID\{4CA1B2FB-E681-44CF-BCE2-C635DFA838DD}
HKEY_CLASSES_ROOT\Interface\{799DBB52-C564-493F-B2A5-5D1EC4CB4810}
HKEY_CLASSES_ROOT\Interface\{AF8343C9-3E6E-4C0A-9FB5-29E27A5E4F40}
HKEY_CLASSES_ROOT\Interface\{DEACF12A-016E-487E-B870-D808137438DB}
HKEY_CLASSES_ROOT\Interface\{F353FF55-3C8A-4B99-B370-8ED139301A44}
HKEY_CLASSES_ROOT\TypeLib\{452A59FA-F6D6-4D8A-8AC8-0459CC93BAA7}
HKEY_CLASSES_ROOT\TypeLib\{4B3D943D-E42A-4CDF-B6C0-54B8C8B91BC2}
HKEY_CLASSES_ROOT\uacGreeProj1.uacGree
HKEY_LOCAL_MACHINE\software\Microsoft\Code Store Database\Distribution Units\{4CA1B2FB-E681-44CF-BCE2-C635DFA838DD}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/main.ocx
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/uac.ocx

그렇다면 해당 ActiveX가 보안과 관련된 동작을 하는지 여부를 확인하기 위해 생성된 main.ocx / uac.ocx 파일 내부를 통해 어떤 동작을 할지에 대해 유추해 보도록 하겠습니다.

파일 내부에는 ActiveX 설치로 인하여 최종적으로 특정 도메인에서 sxguide_inst.exe (MD5 : 2d0c7784538cf1d6dfd951512fedb26b) 파일을 다운로드하도록 구성되어 있는 것을 확인할 수 있습니다.

참고로 해당 sxguide_inst.exe 파일에 대하여 NOD32 보안 제품에서는 probably a variant of Win32/Delf.PHC (VirusTotal : 2/41) 진단명으로 진단되는 것을 확인할 수 있었습니다.

그렇다면 어떻게 설치가 유도되는지 과정을 재정리를 통해 살펴보도록 하겠습니다.

먼저 사용자가 특정 단축 URL 링크를 통해 인터넷 사이트를 방문할 경우 보안인증 ActiveX 설치창이 제시되며, 사용자는 보안과 관련된 프로그램을 설치해야 하는 줄 알고 무조건 설치를 할 수 있습니다.

이렇게 설치가 완료된 시스템은 사용자가 차후에 해당 단축 URL 링크를 통해 사이트에 재방문을 할 경우 사용자 몰래 출처를 확인할 수 없는 SXGuide 프로그램을 자동으로 설치하는 동작이 발생합니다.

먼저 보안인증 ActiveX 설치가 이루어진 사용자 시스템의 Internet Explorer에서 제공하는 추가 기능 관리 정보를 살펴보면 Yooseung Development에서 배포하는 uacGree Control 항목이 등록되어 있는 것을 확인할 수 있습니다.

해당 등록 항목의 세부 정보를 살펴보면 특정 웹 사이트에서 해당 기능이 동작하도록 구성되어 있는 것을 확인할 수 있으며 실제 해당 사이트에 접속할 경우 사용자 컴퓨터에 설치된 방화벽(Firewall)에서 sxguide_inst.exe 설치 파일이 Drop 되면서 특정 아이피(IP)로 연결을 시도하는 동작을 확인할 수 있게 됩니다.

sxguide_inst.exe 파일은 외부의 특정 서버에서 파일을 다운로드하여 사용자 몰래 프로그램을 설치하는 동작으로 연결이 이루어집니다.

해당 프로그램은 [sxguide] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 sxguide.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[sxguide.exe 네트워크 연결 정보]

GET / HTTP/1.1
Host: www.google.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1);

GET /ver/hver.php HTTP/1.1
Host: totoran.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1);

GET /ver/pver.php HTTP/1.1
Host: totoran.co.kr
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1);

GET /check/get_info.php HTTP/1.1
Host: petchaburi.net
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ;

해당 프로그램이 설치된 환경에서 외형적으로 사용자는 분석을 목적으로 하지 않는 이상 쉽게 프로그램 동작 여부를 확인할 수 없습니다.

테스트에서는 프로그램에서 지정한 특정 검색 사이트에서 인터넷 쇼핑몰 사이트에 접근시 그림과 같이 외부의 특정 광고 코드를 추가하여 접속하는 것을 확인할 수 있습니다.(1회 접속 이후 재접속시 광고 코드는 발견되지 않지만, 쿠키(Cookie) 파일을 Reset한 결과 재확인이 가능합니다.)

이런 광고 코드는 사용자가 해당 쇼핑몰에서 물품 구매 등의 행위가 있을 경우 프로그램 배포자에게 금전적 수익이 발생할 수 있습니다.

실제 SXGuide 프로그램은 쇼핑몰 관련 적립금 프로그램으로 알려져 있으며, 이번의 배포 방식은 실제 사용자 몰래 설치하는 방식으로 문제가 되는 것이 아닌가 생각됩니다.

프로그램 삭제시에는 작업 관리자에서 sxguide.exe 프로세스를 수동으로 종료한 후, 제어판의 [Windows sxguide navigation] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Program Files\sxguide] 폴더를 수동으로 삭제하시기 바랍니다.

[Windows sxguide navigation 생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sxguide.exe = C:\Program Files\sxguide\sxguide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
sxguide_delete.exe
HKEY_LOCAL_MACHINE\SOFTWARE\score
HKEY_LOCAL_MACHINE\SOFTWARE\sxguide

이처럼 유명 인터넷 사이트에 접근하는 경로가 정상적인 URL가 아닌 단축 URL 방식일 경우 추가적인 ActiveX 설치 또는 광고창이 생성될 수 있으므로 인터넷 사용자들은 주의를 하시기 바랍니다.


728x90
반응형