울지않는벌새 : Security, Movie & Society

SWF 파일을 이용한 납치 광고와 악성코드 유포 (2011.4.8)

벌새::Analysis
올해 1월경에 인터넷 게시판에 등록된 광고성 글에 악성 SWF 파일을 삽입하여 불법 도박 사이트, 악성 파일 유포 사이트로 납치를 하는 방식으로 홍보를 하는 사례가 있었습니다.

현재 해당 게시글에 접근을 할 경우 납치를 유발하는 move.swf(MD5 : 07a89bac44e87ad02732607d7b2157f7) 파일에 대하여 국내외 보안 제품 중 알약(ALYac) 2.0 버전에서만 Trojan.SWF.Redirect 진단명으로 진단하여 납치 행위를 차단하고 있는 것을 확인할 수 있습니다.

세부적인 접근 로그를 살펴보면 사용자가 인터넷 게시판에 등록된 악성 광고 게시글을 열었을 경우, 해당 게시글에 포함된 악성 SWF 파일이 등록된 태그(Tag)로 인하여 미국(USA)에 위치한 호스팅 도메인으로 납치가 이루어지도록 구성되어 있습니다.

납치된 최종 사이트는 변수에 따라 불법 도박 사이트(바다 이야기) 또는 싸이월드 추적 관련 프로그램 등이 등록된 특정 사이트로 연결이 이루어지고 있습니다.

그 중에서도 그림과 같은 방문자의 호기심을 유발하는 프로그램을 등록하여 다운로드를 유도하여 악성 파일을 사용자 몰래 설치하는 부분에 대해 살펴보도록 하겠습니다.

[다운로드를 통한 설치 파일 진단 정보]

싸이월드_추적기_2010.exe (MD5 : e22536f93ed9729c58347ff6b476684d)
- AhnLab V3 : Worm/Win32.Palevo (VirusTotal : 3/41)

싸이트레이너_3.6.exe (MD5 : 747c793eb00de1acb264e8281667fe0e)
 - AhnLab V3 : Worm/Win32.Palevo (VirusTotal : 7/41)

방문자_역추적기.exe (MD5 : b20d97782d2c3176d93b6bc78b87ab39)
- AhnLab V3 : Worm/Win32.Palevo (VirusTotal : 3/42)

HKTV_SETUP.exe (MD5 : cc5159ead2063fcba6d584c495350ed1)
 - Kaspersky : Worm.Win32.AutoRun.byol (VirusTotal : 4/42)

스타 맵핵1.16.2.exe (MD5 : 645bf19d1e06f4e5df0d84563fa064c5)
 - F-Secure : Trojan:W32/Agent.DRQK (VirusTotal : 2/42)

다운로드되는 설치 파일은 해당 기능을 포함하고 있으면서 사용자 몰래 설치 과정에서 추가적인 악성 파일을 설치하는 것으로 추정됩니다.

테스트에서는 스타 맵핵 설치 파일을 통해 어떤 동작이 이루어지는지 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\temptemp.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\스타맵핵 1.16.2.lnk
C:\Program Files\스타맵핵
C:\Program Files\스타맵핵\!Readme - zLoader.txt
C:\Program Files\스타맵핵\!Readme - ZynMapHack.rtf
C:\Program Files\스타맵핵\DrophackProtection1.1.dll
C:\Program Files\스타맵핵\DrophackProtection1.1.inj
C:\Program Files\스타맵핵\HackSettings.ini
C:\Program Files\스타맵핵\zLoader.exe
C:\Program Files\스타맵핵\zLoader.snp
C:\Program Files\스타맵핵\ZynMapHack.dll
C:\Program Files\스타맵핵\ZynMapHack.ini
C:\Program Files\스타맵핵1.16.2
C:\Program Files\스타맵핵1.16.2\Uninstall.exe
C:\Program Files\스타맵핵1.16.2\Uninstall.ini
C:\WINDOWS\system32\msinet.ocx
C:\WINDOWS\system32\MSWINSCK.OCX
C:\WINDOWS\system32\RgmhtcC.dll
C:\WINDOWS\system32\RICHTX32.OCX
C:\WINDOWS\system32\vb6ko.dll

[생성 파일 진단 정보]

C:\WINDOWS\system32\RgmhtcC.dll (MD5 : 660010cc48bd56e1288141bb7eb14c59)
 - AhnLab V3 : Win-Trojan/Downloader.61952.BO (VirusTotal : 38/42)

스타 맵핵 프로그램을 설치하면 [h**p://live****.files.wordpress.com/2011/03/u202222.jpg] 경로를 통해 UPX 실행 압축으로 제작된 파일을 다운로드하여 시스템 폴더에 RgmhtcC.dll 파일을 생성하고, 시스템 시작시 자동 실행되도록 서비스 항목에 RgmhtcC.dll 파일을 등록하는 동작이 이루어집니다.

u202222.jpg

워드 프레스 계정에서 다운로드되는 u202222.jpg(MD5 : 3d882f7e1e1c8aadd309e7af1f1462a2) 파일은 PE 구조를 가지고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서 Backdoor/Win32.Nbdd (VirusTotal : 31/40) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - krnlsrvc = Media_Center
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_CENTER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Media_Center

서비스 등록 정보를 살펴보면 [Media_Center] 이름으로 등록되어 있으며, 마치 정상적인 마이크로소프트(Microsoft)에서 등록한 서비스 항목으로 위장하고 있습니다.

프로세스 정보에서는 svchost.exe 프로세스에 RgmhtcC.dll 파일을 등록하여 동작하는 것을 확인할 수 있습니다.

svchost.exe 프로세스를 통해 통신하는 아이피(IP) 주소를 확인해보면 홍콩(HongKong)에 위치한 [113.10.161.63:2026]과 통신을 유지하여 차후 유포자의 의도에 따라 악성 파일 다운로드 등 악의적인 동작이 있을 수 있습니다.

해당 유포 행위는 이미 1월경에 이루어졌으며, 3월경에 다운로드 설치 파일(u202222.jpg)을 변경한 것으로 보이므로 현재도 공격은 진행형으로 추정됩니다.

위와 같이 호기심을 유발하는 프로그램을 이용하려는 사람들은 보안 제품에서 당연히 진단한다는 판단에 보안 제품을 OFF하고 사용할 가능성이 있으므로 주의하시기 바랍니다.