울지않는벌새 : Security, Movie & Society

Telecom Italia Media S.p.A. 디지털 서명을 이용한 악성 ActiveX 유포 주의

벌새::Analysis
국내 단축 URL 서비스를 이용하여 악성 ActiveX를 통한 정보 유출형 악성코드를 설치하는 배포가 확인이 되었으므로 주의하시기 바랍니다.

[악성코드 유포 경로]

h**p://lady****.***.kr
 - <iframe> h**p://115.**.99.***/3.html
  -> <ActiveX> h**p://115.**.99.***/da.cab (test.exe)

여성 의류 쇼핑몰 관련 이름으로 위장하여 특정 단축 URL로 접속할 경우 내부에 iframe을 추가하여 중국 서버로 추정되는 특정 IP 서버에서 InstallerC6 (게시자 : Telecom Italia Media S.p.A.) ActiveX 설치창을 생성하는 동작을 하고 있습니다.

ActiveX에 사용되는 디지털 서명은 서명 시간과 연대 서명을 포함하고 있어 정상적인 것으로 오해할 소지가 높은 것이 특징입니다.

하지만 인증서 유효 기간이 2005년~2006년인 점을 감안하면 과거의 인증서를 불법 복제한 것이 아닌가 추정됩니다.

특히 해당 ActiveX 컨트롤 관련 파일 내부에 존재하는 DownloaderActiveX.ocx(MD5 : e2b5926c917182788b6bb8f2cbbfc287) 파일에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.81408.EC (VirusTotal : 21/41) 진단명으로 진단하고 있으며, 과거에 악용된 사례가 있는 것으로 보입니다.

최종적으로 ActiveX를 통해 다운로드되는 test.exe(MD5 : 3e64e26bb3996503b1dd56bebb288b69) 파일은 국내 온라인 음악 서비스 엠넷(Mnet) 아이콘으로 위장한 것을 확인할 수 있습니다.

해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Generic (VirusTotal : 13/41) 진단명으로 사전 차단하고 있으며, Microsoft 보안 제품에서는 Backdoor:Win32/Turkojan.AI 진단명으로 정식 진단을 하고 있습니다.
참고로 test.exe 파일은 상용 패커 Themida로 실행 압축되어 보안 제품 진단을 우회하려고 하고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\mstwain32.exe (AhnLab V3 : Malware/Win32.Generic: 자가 복제
C:\WINDOWS\cmsetac.dll (Microsoft : Backdoor:Win32/Turkojan.B)
C:\WINDOWS\ntdtcstp.dll (Microsoft : Trojan:Win32/Turkojan.A!dll)

해당 악성코드에 감염된 시스템에서는 mstwain32.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실제 동작을 살펴보면 메모리에 상주하는 mstwain32.exe 프로세스는 국내(경상북도 추정) 특정 IP와 연결되며, cmsetac.dll 모듈이 Internet Explorer 등의 프로세스에 삽입되어 정보 유출을 시도할 것으로 추정됩니다.

이번처럼 유효한 인증서가 포함되어 있는 방식의 경우 ActiveX를 무의식적으로 설치하지 마시고, 해당 인증서의 유효 기간까지 확인하는 습관도 필요하다고 생각됩니다. 또한 단축 URL을 통한 사이트 접속시 매우 주의가 요구됩니다.