울지않는벌새 : Security, Movie & Society

보안제품에 대한 도박 사이트의 공지

벌새::Analysis
국내 웹사이트 게시판이나 블로그 등 글을 적을 수 있는 곳이면 수단과 방법을 가리지 않고 스팸처럼 광고하는 도박 사이트들이 있습니다.

사용자 삽입 이미지

해당 도박 사이트는 [라이브 바카라(Live Baccarat)]라는 이름을 걸고 국내 이용자를 모집하여 돈벌이를 하고 있는 것으로 보입니다.

실제 도박에 빠진 사람들로 인해 알게 모르게 해외로 돈이 빠져 나가고 있으리라 보여집니다.

해당 도박 사이트의 메인에 보면 재미있는 공지글이 하나 있습니다.

사용자 삽입 이미지

해당 공지글은 제 기억에는 올해 초봄 정도에 작성된 것으로 기억합니다.

제가 확인한 해당 도박 사이트에서 유포하는 도박 프로그램 다운로드 파일을 안철수연구소의 스파이제로에서 진단하는 것을 확인한 적이 있었습니다.

현재에는 다른 변종 다운로드가 유포되고 있고, 안랩에서 진단하지 않는 것도 많은 것으로 보입니다.

사용자 삽입 이미지

실제 해당 사이트에서 제공하는 도박 프로그램을 다운로드해 보았습니다.

파일 용량을 보시면 아시겠지만 78.1KB의 용량입니다. 타 도박 사이트에서 제공하는 일반적인 도박 프로그램이 기본 20MB를 넘는 것을 고려한다면 해당 파일을 실행하면 추가적으로 인터넷을 통해 특정 서버에서 도박 프로그램을 다운로드하는 일종의 드랍퍼로 보입니다.

사용자 삽입 이미지

실제 해당 파일은 다운로드하여 살펴보면 WinRAR를 이용하여 다시 한 번의 압축을 하여 보안 제품의 실시간 감시에서 1차적으로 우회하려는 모습도 보입니다.

사용자 삽입 이미지

해당 압축을 풀어보면 2개의 파일이 나옵니다.

기본적으로 해당 광고 사이트의 도메인은 cn 주소를 이용한 중국 서버임을 알 수 있으며, 해당 파일의 다운로드 IP 역시 중국 서버임을 확인할 수 있습니다.

사용자 삽입 이미지

config.ini 파일을 열어보면 god of war 라는 이름으로 특정 도메인을 제공하고 있습니다. 해당 도메인은 현재 국내 IP를 가지고 있으며 접속은 차단된 상태입니다.

이것을 미루어보아서는 중국과 한국 내에서 조직적으로 해당 도박 사이트를 운영하고 있지 않을까도 생각됩니다.

사용자 삽입 이미지

실제 제가 확인한 동일 도박 사이트에서 유포되는 각종 변종 다운로드 파일을 보시면 정확하게 어떤 이유인지는 모르지만, 꾸준히 사이트 차단이나 보안 제품 우회를 위해 변경을 하고 있는 것을 확인할 수 있습니다.

[ONSang_1.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.5.30.1 2008.06.10 -
AntiVir 7.8.0.55 2008.06.10 -
Authentium 5.1.0.4 2008.06.10 -
Avast 4.8.1195.0 2008.06.10 -
AVG 7.5.0.516 2008.06.10 -
BitDefender 7.2 2008.06.10 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.10 -
DrWeb 4.44.0.09170 2008.06.10 BackDoor.Ceshi
eSafe 7.0.15.0 2008.06.09 -
eTrust-Vet 31.6.5862 2008.06.10 -
Ewido 4.0 2008.06.10 -
F-Prot 4.4.4.56 2008.06.10 -
F-Secure 6.70.13260.0 2008.06.10 -
Fortinet 3.14.0.0 2008.06.10 -
GData 2.0.7306.1023 2008.06.10 -
Ikarus T3.1.1.26.0 2008.06.10 Backdoor.Ceshi
Kaspersky 7.0.0.125 2008.06.10 -
McAfee 5313 2008.06.09 -
Microsoft None 2008.06.10 -
NOD32v2 3172 2008.06.10 -
Norman 5.80.02 2008.06.09 -
Panda 9.0.0.4 2008.06.09 -
Prevx1 V2 2008.06.10 -
Rising 20.48.12.00 2008.06.10 -
Sophos 4.30.0 2008.06.10 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.10 -
TheHacker 6.2.92.341 2008.06.10 -
VBA32 3.12.6.7 2008.06.10 BackDoor.Ceshi
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.10 -
Additional information
File size: 40960 bytes
MD5...: f87652837c4c0386b365308abf5708be


[ONSang_2.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.5.30.1 2008.06.10 -
AntiVir 7.8.0.55 2008.06.10 -
Authentium 5.1.0.4 2008.06.10 -
Avast 4.8.1195.0 2008.06.10 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.06.10 -
BitDefender 7.2 2008.06.10 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.10 -
DrWeb 4.44.0.09170 2008.06.10 BackDoor.Ceshi
eSafe 7.0.15.0 2008.06.09 suspicious Trojan/Worm
eTrust-Vet 31.6.5862 2008.06.10 -
Ewido 4.0 2008.06.10 -
F-Prot 4.4.4.56 2008.06.10 W32/Backdoor.D.gen!Eldorado
F-Secure 6.70.13260.0 2008.06.10 -
Fortinet 3.14.0.0 2008.06.10 -
GData 2.0.7306.1023 2008.06.10 Win32:Trojan-gen
Ikarus T3.1.1.26.0 2008.06.10 -
Kaspersky 7.0.0.125 2008.06.10 -
McAfee 5313 2008.06.09 -
Microsoft None 2008.06.10 -
NOD32v2 3172 2008.06.10 -
Norman 5.80.02 2008.06.09 -
Panda 9.0.0.4 2008.06.09 Suspicious file
Prevx1 V2 2008.06.10 -
Rising 20.48.12.00 2008.06.10 -
Sophos 4.30.0 2008.06.10 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.10 -
TheHacker 6.2.92.341 2008.06.10 -
VBA32 3.12.6.7 2008.06.10 BackDoor.Ceshi
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.10 -
Additional information
File size: 15360 bytes
MD5...: 214c8bfff9b9cf8d24260ea67c7157ad

현재 진단을 보면 대부분의 보안제품에서 진단을 하지 않고 있지만, 이전 기억에 의하면 Kaspersky 제품에서는 해당 다운로드 변종 일부를 Backdoor류로 진단하는 것을 확인하였습니다.

저들이 말하는 보안제품이 단순히 자신들의 도박성에 근거하여 제품을 차단한다고 주장하지만, 실제 보안제품이 그렇게 할 일 없이 도박 프로그램이라는 이유만으로 진단하는 바보같은 짓은 절대로 하지 않는다는 것입니다.

실제 해당 파일을 분석해 보면 다음과 같은 점을 발견할 수 있습니다.

1. 특정 Port 오픈

 Port - 1038 / Protocol - UDP

2. 원격 호스트 호출

 Host - xxx.cn / Port - 1034

단순하게 해당 파일이 도박 프로그램만을 다운로드하는지 추가적으로 원격 백도어를 심는지는 네트워크 전문가 등 보안 전문가 분들이 잘 아실겁니다.

특히 해당 원격 호스트 서버에 접속해 보면 중국의 특정 블로그와 연결이 됩니다.

사용자 삽입 이미지

해당 블로그에서는 한국어로 된 음악이 배경으로 흘러나올 정도로 상당히 한국의 문화에 익숙해 보입니다.

국내에서는 허가받지 않은 돈놀이은 도박으로 처벌을 받는 국가이고, 도박 같이 중독성이 강한 것에 빠지면 나중에 정신을 차렸을 때에는 이미 엎질러진 물입니다.

특히 이번과 같이 백도어가 설치될 위험성이 있는 경우에는 해당 도박 프로그램을 제공하는 측으로부터 실컷 당하기만 할 뿐임을 명심해야 합니다.

최근 언론에서는 한게임 등 잘 통제되는 듯이 내세운 게임으로도 억소리 나올 정도로 피해를 입는 현실에서 국가 차원에서 조금 더 저런 류(한게임도 포함~^^;;)의 도박 광고에 대해 빠른 대처가 필요하다고 생각합니다.