울지않는벌새 : Security, Movie & Society

보안 취약점을 이용한 게시판 유도형 네이트온(NateOn) 메신저 악성코드 (2011.1.17)

벌새::Analysis
2010년 12월 전후로 그동안 네이트온(NateOn) 메신저의 악성 파일 유포 방식이 직접적인 파일 다운로드 방식에서 특정 인터넷 게시판으로 접속을 유도하여 웹 브라우저 보안 취약점을 이용한 자동 감염을 유발하는 방식으로 유포하기 시작하였습니다.

주말을 맞아 최근 유포된 사례를 통해 대략적인 감염 방식과 대응 방법에 대하여 알아보도록 하겠습니다.

[악성코드 유포 경로]

h**p://www.green****.org/zboard/view.php?id=notice&no=71
 ㄴ h**p://si**.net/zb/****/poempds/index.html
   ㄴ h**p://si**.net/zb/****/poempds/main.html
     ㄴ h**p://si**.net/zb/****/poempds/kr1.html
       ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
     ㄴ h**p://si**.net/zb/****/poempds/kr2.html
       ㄴ h**p://www.ke**.or.kr/Images/snows.jpg
   ㄴ h**p://si**.net/zb/****/poempds/in.js
     ㄴ h**p://si**.net/zb/****/poempds/ie.htm
     ㄴ h**p://si**.net/zb/****/poempds/ff10.htm
   ㄴ h**p://www.bannam****.org/bbs/****/gallery/ajax.js
     ㄴ h**p://hm.baidu.com/h.js?e3feb2116145e7efaa5da1104800440b
 ㄴ h**p://www.**521.com/test.htm 

먼저, 공격자는 해킹된 특정 네이트온 메신저에 등록된 친구들에게 국내 특정 인터넷 사이트 게시판 URL가 포함된 쪽지를 발송하고, 이를 클릭한 사용자 중 마이크로소프트(Microsoft)사에서 제공하는 최신 보안 패치가 적용되지 않은 경우 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않는 사용자의 경우 자동으로 감염되도록 구성되어 있습니다.

해당 사이트 게시판은 구형 제로보드로 최근 공개된 제로보드 취약점에 노출되어 있는 것으로 추정됩니다.

링크로 접속되는 사이트 게시판에서는 특정 코드가 삽입되어 index.html 악성 파일로 연결을 시도하고 있습니다.

main.html

index.html 소스에 포함된 iframe으로 형태로 추가된 main.html 소스에서는 특정 취약점을 악용하는 kr1.html / kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 이루어지지 않은 사용자의 PC를 감염시키도록 되어 있습니다.

참고로 k1.html 스크립트는 avast! 보안 제품에서 VBS:Obfuscated-gen (VirusTotal : 5/43) 진단명으로 진단되고 있으며, kr2.html / ie.htm / ff10.htm 스크립트는 해당 게시판에 수많은 인터넷 이용자가 접속하여 다운로드 되는 과정에서 트래픽 초과로 감염으로 연결되지 않는 상태입니다.

하지만 이런 트래픽 초과는 특정 시간이 지나면 다시 활성화되므로 접속 시간대에 따라 달라질 수 있습니다.

이렇게 특정 취약점을 이용한 kr1.html / kr2.html 스크립트는 보안 취약점이 존재하는 사용자의 경우 자동으로 snows.jpg (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b) 파일을 다운로드하여 악성 파일을 설치합니다.

snows.jpg

참고로 snows.jpg 파일은 UPX 실행 압축된 PE 파일로 Kaspersky 보안 제품에서 Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 21/42) 진단명으로 진단되고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system\Lcomres.dat :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\Lins.log :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winpingying.ime :: 숨김(H), 시스템(S) 속성
C:\WINDOWS\system\winweng.exe :: 숨김(H), 시스템(S) 속성 / 시작 프로그램 등록 파일

[생성 파일 진단 정보]

C:\WINDOWS\system\Lins.log (SHA1 : fb8c2f8d2fb36cb972123322531fa916f172d754)
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 1/43)


C:\WINDOWS\system\winpingying.ime (SHA1 : ae4a74e3343bca12c5867e5e7843edbbdc71b5cf)
 - avast! : Win32:Agent-OBK (VirusTotal : 8/43)

C:\WINDOWS\system\winweng.exe (SHA1 : 3c2be341092c825b9e208724bc26a7dbea614c6b)
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.xncu (VirusTotal : 21/42)


생성된 파일의 속성은 모두 숨김(H), 시스템(S) 속성으로 인하여 윈도우 탐색기의 기본값으로는 보이지 않으며, 숨김 폴더(파일)을 보이도록 폴더 옵션을 변경하여도 보이지 않습니다.

참고로 해당 생성 파일을 윈도우 탐색기로 보기 위해서는 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목의 체크 해제, [숨김 파일 및 폴더 표시] 선택을 통해 파일을 확인하실 수 있습니다.

winweng.exe

생성된 winweng.exe 파일은 snows.jpg 파일의 자가 복제 파일로 최초 악성 파일 생성시 AhnLab V3, 알약(AlYac), Kaspersky, 바이러스 체이서(Virus Chaser) 등의 보안 제품 무력화 기능이 포함된 AVKiller 기능을 포함하고 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - (기본값) = C:\WINDOWS\system\winweng.exe

또한 Windows 시작시마다 winweng.exe 파일을 자동 실행하여 보안 제품이 실행되지 않도록 하며, 삭제된 악성 파일을 다시 설치하는 동작이 이루어집니다.

해당 악성코드는 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winpingying.ime 파일을 추가하여 온라인 게임 계정 정보 탈취 등의 악의적 동작이 이루어지므로, 감염된 사용자는 반드시 치료 후 계정 비밀번호를 변경하시는 것이 중요합니다.

해당 악성코드의 유포 방식의 핵심은 공개된 보안 패치를 하지 않고 인터넷을 이용하는 사용자에게 금전적 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 자신의 PC에서 사용하는 소프트웨어를 최신 버전으로 꾸준하게 유지 관리하는 습관을 가지시기 바랍니다.