본문 바로가기

벌새::Analysis

서든월핵을 이용한 서든어택 계정 수집 악성코드 유포 주의 (2011.5.26)

오늘 한 차례 넷마블에서 서비스하는 온라인 게임 서든어택(Sudden Attack) 계정 수집을 하는 핵 프로그램에 대해 살펴보았었습니다.
 

그런데, 또 다른 서든월핵으로 위장한 프로그램이 서든어택 계정 수집을 목적으로 네이버(Naver) 블로그를 통해 유포가 이루어지고 있는 것을 확인하였습니다.

해당 프로그램의 특징은 서든어택 계정 정보를 입력시 유포자의 네이버(Naver) 이메일로 전송하기 위하여 웹 로그인을 시도하는 과정에서 유포자의 네이버 아이디(ID)와 비밀번호(Password)가 노출되는 부분도 발견할 수 있었습니다.

 

유포 블로그에서는 서든핵으로 소개한 압축 첨부 파일을 다운로드하도록 제공하고 있으며, 내부에는 그림과 같은 4개의 파일로 구성되어 있습니다.

 

압축 파일 내부에는 3개의 dll 파일과 악의적인 exe 실행 파일(MD5 : 5382b6fe71e2da270b9bcce2bc2496e6)이 있으며. 해당 실행 파일은 (주)나우콤에서 서비스하는 세컨드라이브(2ndDrive) 아이콘으로 제작되어 있습니다.

 

Sudden월핵+(종합).exe

먼저 해당 exe 실행 파일을 보면 네이버 웹 로그인을 통해 이메일로 전송하는 로직이 포함되어 있는 것을 확인할 수 있습니다.


참고로 분석 시점에서 실행 파일에 대하여 국내외 보안 제품에서는 진단이 전혀 이루어지지 않고 있습니다.

다음으로 3개의 dll 파일은 원래 Windows 7 시스템 폴더에 존재하는 특정 파일을 마치 핵 관련 파일로 파일명을 변경하여 추가하고 있는 것을 확인할 수 있습니다.

[압축 파일에 포함된 Windows 7 시스템 파일 정보]

데미지증폭.dll (Microsoft DirectMusic Composer)
C:\Windows\System32\dmcompos.dll

무반.dll (Microsoft DirectMusic Band)
C:\Windows\System32\dmband.dll

월핵.dll (Disk Management Snap-in Dialogs)
C:\Windows\System32\dmdlgs.dll

해당 실행 파일이 실행되기 위한 조건으로는 반드시 vb6ko.dll 언어 파일이 OS에 설치되어 있어야 합니다.

 

실행된 파일은 사용환경 초기화 안내창 이후 서든어택 로그인 화면과 핵 적용 부분으로 구성되어 있으며, 사용자가 핵 적용을 위해 서든어택 계정 정보를 입력하고 로그인(Login)을 시도할 경우 정확한 정보 입력을 요구하는 입력창이 생성되는 것을 확인할 수 있었습니다.


POST /nidlogin.login HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Referer:
https://nid.naver.com/nidlogin.login

Content-Length: 62
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: nid.naver.com
Connection: Keep-Alive


이런 과정에서 네이버 웹 로그인이 이루어지는 것을 확인할 수 있으며, 세부적인 분석을 하는 과정에서 다음과 같은 재미있는 부분을 확인할 수 있었습니다.

 

즉, 계정 수집을 위해 유포자의 네이버 계정 로그인 과정 중 자신의 아이디(ID)와 비밀번호(PW)가 평문으로 그대로 노출이 이루어지고 있습니다.

 

해당 핵 로그인 창에 입력된 서든어택 계정 정보는 유포자의 네이버 이메일에 전송이 이루어지며, 메일 본문(MailBody)에 아이디(ID)와 비밀번호(Password)가 포함되어 있는 것을 확인할 수 있습니다.

 

 

GET /777.txt HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: fb***.hosting.paran.com
Connection: Keep-Alive


사용자가 핵 프로그램을 종료할 경우에는 추가적으로 파란(Paran) 호스팅 계정을 통해 등록된 웹하드 관련 사이트가 노출되는 광고 행위를 확인할 수 있었습니다.

이번 핵 프로그램은 전형적인 서든어택 계정 수집용으로 핵 기능은 존재하지 않으며, 유포자는 자신의 네이버 계정 정보까지 노출하면서 타인의 계정 정보를 수집하는 웃지못할 파일을 유포하는 현실을 볼 수 있었습니다.

  • 아... 이런 식으로도 해킹되는군요. ㅡㅡ;; 얼추 이야기는 알고 있었지만 실제 있을까 했었는데 말이죠. 그나저나 게임 핵을 쓰는 사람들에게 고소하다고 해야할지 이들을 해킹하는 사람들이 더 나쁘다고 해야하는지... 쩝..

    • 추가로 확인해보니 저 유포자인지는 모르지만, 유사한 파일 아이콘 모양으로 던전 등 다양한 온라인 게임 계정 정보를 수집하더군요.

      아마 전문적으로 저런 파일을 유포해서 돈벌이를 하는 인간들이 있나 봅니다.

  • 아주좋아 2011.06.02 18:18 댓글주소 수정/삭제 댓글쓰기

    죄송하지만 Frame summary란 파일 어디서 받을수있나요?

  • 확실히 2011.06.14 12:23 댓글주소 수정/삭제 댓글쓰기

    위험하죠.. 게임하이측에서도 열심히 핵을 막고 있고, 현재는 계정이전 관련으로 신경을 쓰고 있는 듯 해요, 더 늦기전에 넥슨으로 이동시킬 생각도 해 보고 있는데, 여기 하는방법이 있어요 http://club.netmarble.net/CCafe/Board/viw_Board.asp?curl=sa-guy6261ndver&org_find_word=&PageSize=20&org_search=1&CafeSeq=1110107&BoardSeq=10543387&ListType=B3201&ContentSeq_Number=15&ContentSeq=25714793&page=

    이거보고 하려구요, 에효.. 해킹피해가 없었으면 좋겠고.. 이번일로 그냥 이전시키려고 해요