본문 바로가기

벌새::Security

미투데이(me2DAY)를 이용한 좀비PC 생성 악성코드 발견 (2010.7.22)

국내 무료 백신 이스트소프트(ESTSoft) 알약(AlYac)에서 네이버(Naver)에서 운영하는 SNS(Social Network Service) 서비스 미투데이(me2DAY)의 특정 계정에 좀비PC를 위한 악성 파일이 등록되어 있다는 분석 정보를 공개하였습니다.

내용인 즉, 2010년 4월 3일과 5월 25일 생성된 미투데이 특정 계정을 이용하여 5월 25일, 28일과 7월 13일에 악성 파일 정보를 등록하였고, 추가적으로 국내 Z 웹하드 특정 게시물과 해외 SNS 서비스 트위터(Twitter)에도 동일한 정보가 포함되어 있는 형태로 구성되어 있다는 내용입니다.

이를 통하여 감염된 사용자는 SNS 서비스를 통한 공격 명령에 따라 악의적 동작을 유발할 수 있으리라 보여집니다.

이와 같은 SNS를 이용한 봇넷 구성 방식은 5월경에 해외를 통해 정보가 공개되었으며 비슷한 시점에서 국내 SNS 서비스에도 유사한 기법이 발견된 첫 사례로 보입니다.

현재 알약에서는 V.DWN.Twime2, V.TRJ.Malex.gen 진단명으로 진단이 이루어지고 있다고 소개되어 있으며, 개인적으로 추가적인 정보를 확인하여 대략적인 정보를 공개하도록 하겠습니다.

참고로 이미 보안 업체에서 자세한 분석을 진행하고 있으며, 알약에서 정보를 공개하였기에 흔적만 찾는 방식으로 진행하겠습니다.

1. 미투데이(me2DAY)


[악성코드 유포 경로]

h**p://1**.1**.1**.1**/******/a**.exe
h**p://1**.1**.1**.1**/******/n******.exe
h**p://1**.1**.1**.1**/******/p*********.exe

[진단 정보]

a**.exe (MD5 : 7a566eb01e7677c9a23367ea1ef31b9f) - Hauri ViRobot : Trojan.Win32.Malex.184320 (VirusTotal : 22/42)
n******.exe (MD5 : 4754cd0d1c12296918e6383ec5ad2c06) - VBA32 : BScope.Dropper.Gen.14 (VirusTotal : 2/42)
p*********.exe (MD5 : fc4a84c5f6028d7e91176d38275fc4b9) - Hauri ViRobot : Worm.Win32.P2P-Palevo.D.Gen (VirusTotal : 2/42)

현재 미투데이에서는 2개의 계정에서 3개의 악성 링크와 공격 명령어가 발견되고 있으며, 초기 샘플 확보에서 국내 보안 업체에서 제대로 확보를 하지 못한게 아닌가 생각됩니다.

악성 파일 등록 아이피(IP)는 국내 VPN(가상 사설망)으로 확인이 되고 있으며, 해외에서도 이미 공개된 아이피로 알려져 있습니다.

a**.exe

a**.exe 파일 내부 정보를 살펴보면 배포자가 작업한 환경 정보를 확인할 수 있는데, 2010년 5월 1일에 해당 파일을 제작한 것으로 추정되고 있습니다.

추가적으로 a**.exe 파일 내부에서는 국내 Z 웹하드에 등록된 특정 게시물 2건에서 공격 명령을 받아오는 것을 확인할 수 있습니다.

2. Z 웹하드

첫 번째 웹하드 게시물은 알약에서 소개한 댓글에 등록된 공격 명령어는 발견되지 않고 있으며, 해당 웹하드에 등록된 특정 소프트웨어가 확인이 필요하다고 생각됩니다.

이유는 해당 게시물은 여름과 관련된 계절에 많이 찾는 소프트웨어로 악의적으로 제작된 프로그램이 아닌가 추정됩니다.

두 번째 웹하드 게시물은 동일한 게시자가 등록한 이미지 파일 확대 소프트웨어로 게시물 하단 댓글창에는 자신의 게시물에 [stop] 명령어를 입력한 것을 확인할 수 있습니다.

이는 감염된 시스템에 공격 명령을 내리는 C&C 서버를 웹하드 서버 또는 SNS 서버로 이용하는 방식으로 추정됩니다.

n******.exe

n******.exe 파일에서는 앞에서 살펴본 미투데이 계정과 함께 추가적으로 트위터(Twitter) 계정에 포함되어 있습니다.

또한 해당 파일은 Windows 자동 업데이트 관련 파일로 위장한 [C:\WINDOWS\system32\csupdt.dll] 파일을 생성하여 서비스(svchost.exe)에 [Windows Net Manager] 이름으로 등록하여 시스템 시작시 자동으로 실행되도록 구성하고 있습니다.

해당 csupdt.dll(MD5 : ac948fbf1a97abc50576db55b889f246) 파일은 발견 당시 모든 보안 제품에서 진단되지 않는 잘 만들어진 악성 파일로 확인이 되었습니다.

3. 트위터(Twitter)

[악성코드 유포 경로]

h**p://1**.1**.1**.1**/******/fm.exe ; 차단

트위터 계정은 미투데이 계정에서 등록한 이름과 유사하며, 표기된 이름(Name)에는 Cho라고 표시한다는 점에서 국내인일 수도 있다는 가설을 세울 수 있습니다.

실제 등록된 글에서는 모두 영어로 표기를 하고 있지만 유독 성을 한국식으로 표시한다는 점은 의심이 갑니다.

트위터 계정에 등록된 fm.exe 파일은 이미 차단이 되어 확인이 불가능하며, 공격 명령어가 함께 포함되어 있는 것을 확인할 수 있습니다.



SNS 서비스를 이용한 이같은 봇넷 구성을 통한 좀비PC 생성 및 악의적인 동작 행위는 새로운 공격 유형으로 테스트가 이루어지고 있는 것으로 보이며, 국내 웹하드가 포함되어 있다는 점에서 작년 7.7 DDoS에서와 같은 연관성도 확인할 필요가 있어 보입니다.

실제 사용자 감염은 어떤 경로를 통해 이루어졌는지 알 수 없지만 개인적으로 웹하드에 등록된 계절 관련 소프트웨어를 통해 감염을 유발하여 SNS라는 새로운 C&C 서버를 통해 공격 가능성을 확인하지 않았을까 생각됩니다.

현재 국내 보안 업체에서 분석 및 보안 제품을 통한 진단이 이루어질 것으로 보이므로 웹하드쪽을 이용하시는 분들은 반드시 시스템 정밀 검사를 해 보시기 권장합니다.