반응형
주말마다 이루어지는 국내 웹 사이트 해킹을 통한 악성코드 유포 행위는 대체로 온라인 게임 계정 정보 탈취를 목적으로 하고 있으며, 한 번 해킹된 사이트는 취약점 수정이 이루어지지 않는 경우 매주 계속적으로 유포가 이루어지는 특징이 있습니다.
이번에는 평일 국내 모 언론 사이트를 통해 Adobe Flash Player 취약점과 Internet Explorer 웹 브라우저 취약점을 이용한 악성 스크립트를 이용한 유포 행위가 확인이 되었는데, 기존과 다르게 온라인 게임 계정 탈취 목적이 아닌 백도어(Backdoor) 감염을 통한 좀비 PC 확보 차원으로 보입니다.
이번에는 평일 국내 모 언론 사이트를 통해 Adobe Flash Player 취약점과 Internet Explorer 웹 브라우저 취약점을 이용한 악성 스크립트를 이용한 유포 행위가 확인이 되었는데, 기존과 다르게 온라인 게임 계정 탈취 목적이 아닌 백도어(Backdoor) 감염을 통한 좀비 PC 확보 차원으로 보입니다.
[악성코드 유포 경로]
h**p://www.kook**.co.kr/comm/main.js
ㄴ h**p://825***.com/wm/
ㄴ h**p://825***.com/wm/load.html
ㄴ h**p://825***.com/wm/k.js
ㄴ h**p://825***.com/wm/1.html
ㄴ h**p://825***.com/wm/KBL.swf
ㄴ h**p://825***.com/wm/gnodad.txt :: 암호화
ㄴ h**p://825***.com/wm/2.html
ㄴ h**p://825***.com/wm/setup.exe
ㄴ h**p://825***.com/wm/KBL-1.swf
h**p://www.kook**.co.kr/comm/main.js
ㄴ h**p://825***.com/wm/
ㄴ h**p://825***.com/wm/load.html
ㄴ h**p://825***.com/wm/k.js
ㄴ h**p://825***.com/wm/1.html
ㄴ h**p://825***.com/wm/KBL.swf
ㄴ h**p://825***.com/wm/gnodad.txt :: 암호화
ㄴ h**p://825***.com/wm/2.html
ㄴ h**p://825***.com/wm/setup.exe
ㄴ h**p://825***.com/wm/KBL-1.swf
해킹된 언론 사이트에 접속시 홍콩(HongKong)에 위치한 특정 서버로부터 다운로드되는 악성 스크립트 파일을 확인해보면 Adobe Flash Player 취약점을 이용한 1.htm 파일에 대하여 알약(ALYac) 2.0 보안 제품에서는 Exploit.JS.Mult.Swf.E 진단명으로 진단되고 있으며, IE 웹 브라우저 취약점 CVE-2010-0806을 이용한 2.htm 파일에 대하여 Kaspersky 보안 제품에서는 Exploit.JS.CVE-2010-0806.az 진단명으로 진단되고 있습니다.
이를 통해 추가적으로 다운로드되는 KBL.swf 파일에 대하여 알약 2.0 보안 제품에서는 Exploit.SWF.ShellCode.Gen 진단명으로 진단되고 있으며, 최종 실행 파일(MD5 : bc9cfedd6cc72689c36d0cdf1574ec1f)에 대하여 마이크로소프트(Microsoft) 보안 제품에서는 Backdoor:Win32/PcClient.ZR (VirusTotal : 16/43) 진단명으로 진단되고 있습니다.
보안 패치가 최신으로 적용되지 않은 상태로 해당 언론 사이트에 접속을 하는 경우 자동으로 감염되며 감염된 PC는 다음과 같은 악의적인 동작이 예상됩니다.
[생성 파일 및 진단 정보]
C:\WINDOWS\system32\msvrhelp.dll
- MD5 : 5c8833665a8d8df809ca299392a8c840
- AhnLab V3 : Packed/Win32.Vmpbad (VirusTotal : 18/43)
C:\WINDOWS\msvrhelp.temp
- MD5 : f936b2de3a4a1fca263f0924344dc46f
- Microsoft : Backdoor:Win32/PcClient.ZR (VirusTotal : 15/43)
C:\WINDOWS\system32\msvrhelp.dll
- MD5 : 5c8833665a8d8df809ca299392a8c840
- AhnLab V3 : Packed/Win32.Vmpbad (VirusTotal : 18/43)
C:\WINDOWS\msvrhelp.temp
- MD5 : f936b2de3a4a1fca263f0924344dc46f
- Microsoft : Backdoor:Win32/PcClient.ZR (VirusTotal : 15/43)
해당 악성코드는 감염시 svchost.exe 프로세스에 서비스로 등록하여 시스템 시작시 자동으로 실행되도록 구성됩니다.
● 서비스 이름 : NWCWorkstation, ias, iprip (※ 이름은 감염시마다 달라질 수 있습니다.)해당 서비스 등록값은 중지를 하지 못하도록 서비스 상태 버튼을 비활성화하고 있으며, 사용자는 표시 이름을 통해 감염 여부를 체크할 수 있습니다.
● 표시 이름 : Network Connections Manager
● 설명 : Windows DHCP Manage Services
하지만 언어를 살펴보면 중국어로 표시되고 있으며, 7월 28일경 제작된 파일로 추정됩니다.
재부팅 완료 후 다음의 파일과 레지스트리 값을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\msvrhelp.dll
- C:\WINDOWS\msvrhelp.temp
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias
또는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iprip
또는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NWCWORKSTATION
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ias
또는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPRIP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iprip
또는
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_NWCWORKSTATION
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation
이번 사례와 같이 백도어 감염을 통하여 사용자 몰래 원격 제어를 통해 지속적인 정보 유출이 발생할 수 있으므로, 반드시 인터넷을 이용하실 때에는 사용자가 사용하는 운영 체제를 비롯한 각종 소프트웨어 최신 버전을 사용하는 습관을 가지시기 바랍니다.
728x90
반응형