울지않는벌새 : Security, Movie & Society

넥슨(Nexon) 바람의 나라 사용자를 노리는 백도어 유포 주의 (2011.10.9)

벌새::Analysis
2011년 9월경부터 국내에서 제작된 것으로 추정되는 넥슨(Nexon) 온라인 게임 "바람의 나라"를 이용하는 극소수 사용자를 감염시켜 키로거(Keylogger) 또는 오토 마우스(Auto Mouse) 통한 정보 수집 등을 하는 백도어(Backdoor)가 확인되고 있으므로 주의가 요구됩니다.

해당 파일의 유포 방식은 확인되지 않고 있지만, 극소수 사용자가 현재 감염된 것으로 추정되며 공통적으로 바람의 나라 온라인 게임을 즐기는 것으로 확인되고 있습니다.

해당 파일의 설치 파일(MD5 : f69cf4e6e4e8f1bc543217fac33d230a)의 유포 파일 이름은 [치르치르 마한 주술사 자동사냥 매크로-이미지인식,좌표인식,오토.exe] 파일이며, 안철수연구소(AhnLab) V3 보안 제품에서는 Backdoor/Win32.AutoBot (VirusTotal : 2/43) 진단명으로 진단되고 있습니다.

파일 이름으로 유추해보면 인터넷 상에서 바람의 나라를 즐겨하는 사용자에게 1대 1 접촉(이메일 등)을 통해 게임핵 파일로 위장한 파일을 발송하여 사용자가 실행하도록 유도할 것으로 추정되고 있습니다.

해당 악성 파일을 실행할 경우 국내 웹 호스팅 닷홈(dothome.co.kr) 계정에 등록된 서버로 연결이 이루어지는 것을 확인할 수 있습니다.

참고로 외부에서 해당 계정 사이트(bhb96.dothome.co.kr)에 접속을 시도할 경우에는 일일 트래픽 초과로 차단되어 있다는 메시지만 나오고 있으며, 실제로는 파일 계정으로만 활용되는 것으로 추정됩니다.

  • h**p://bhb96.dothome.co.kr/bbs/****/******/ftpcheck.ini
  • h**p://bhb96.dothome.co.kr/bbs/****/******/kl.exe
  • h**p://bhb96.dothome.co.kr/bbs/****/******/sn.exe
  • h**p://bhb96.dothome.co.kr/bbs/****/******/Run.exe
  • h**p://bhb96.dothome.co.kr/bbs/****/******/check.ini
  • h**p://bhb96.dothome.co.kr/bbs/****/******/temp.exe
  • h**p://bhb96.dothome.co.kr/bbs/****/******/uupdate.exe
  • h**p://bhb96.dothome.co.kr/bbs/****/******/update.exe

감염된 사용자는 해당 계정에서 추가적인 다수의 파일을 다운로드하는 동작을 확인할 수 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\WINDOWS\IME2002
C:\WINDOWS\IME2002\Administrator.txt :: Keylogger 저장 파일
※ 해당 파일명은 Windows 사용자 계정명에 이름이 정해집니다.
C:\WINDOWS\IME2002\check.ini
C:\WINDOWS\IME2002\cncheck.ini
C:\WINDOWS\IME2002\kl.exe :: 메모리 상주 프로세스 - 정보 수집 기능
C:\WINDOWS\IME2002\number.txt
C:\WINDOWS\IME2002\run.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\IME2002\sn.exe :: 깨진 파일 추정
C:\WINDOWS\IME2002\temp.exe :: FTP 서버 연결 기능
C:\WINDOWS\IME2002\tempupdate.txt
C:\WINDOWS\IME2002\update.exe :: 파일 업데이트 파일 - 다운로드 기능
C:\WINDOWS\IME2002\uupdate.exe :: update.exe 로딩 파일

[생성 파일 진단 정보]

C:\WINDOWS\IME2002\kl.exe
 - MD5 : b603df27b743a9802d2afcafb15f4c40
 - AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)

C:\WINDOWS\IME2002\run.exe
 - MD5 : 7bd81dabeee3650b0a39626500afe578
 - AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 8/43)

C:\WINDOWS\IME2002\temp.exe
 - MD5 : 4a40372c285e148d9e198e18a79c3318
 - AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)

C:\WINDOWS\IME2002\update.exe
 - MD5 : 2745392f7c0791b19e21270232971619
 - AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 3/43)

C:\WINDOWS\IME2002\uupdate.exe
 - MD5 : 12756b29653978bfab53deaeb578e1c9
 - AhnLab V3 : Backdoor/Win32.AutoBot (VirusTotal : 1/43)


감염된 환경에서는 [C:\WINDOWS\IME2002] 폴더에 파일을 생성하여 사용자가 Windows에서 기본적으로 제공하는 입력기(Input Method Editor) 폴더로 의심하지 않도록 하고 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - IME2002 = C:\Windows\IME2002\run.exe

Windows 시작시 [C:\WINDOWS\IME2002\run.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되어 생성된 파일들을 실행하여 FTP 오픈, 업데이트 체크 등의 동작을 하도록 구성되어 있습니다.

테스트 환경에서는 Windows 시작시 32비트 환경에서 16비트 실행 환경을 제공하는 [C:\WINDOWS\system32\ntvdm.exe] 파일이 [C:\WINDOWS\IME2002\sn.exe] 파일을 불러오는 과정에서 "16비트 MS-DOS 하위 시스템" 관련 오류창이 반복적으로 생성되는 등 문제가 발생할 수 있을 것으로 추정되며, 이를 통해 감염자는 감염 사실을 간접적으로 확인할 수 있을 것으로 보입니다.

파일 업데이트 체크 기능을 하는 update.exe 파일을 살펴보면 C&C 서버에 접속하여 check.ini 파일을 통해 최신 파일을 다운로드하는 동작을 확인할 수 있습니다.

temp.exe 파일을 살펴보면 감염된 사용자가 넥슨(Nexon) 바람의 나라 온라인 게임을 진행할 경우 스크린 샷 챕쳐 등의 정보를 C&C 서버의 명령에 따라 수집할 것으로 추정됩니다.

특히 kl.exe 파일은 감염된 사용자가 PC를 통해 입력하는 모든 키값을 모니터링하여 [C:\WINDOWS\IME2002\(Windows 사용자 계정명).txt] 파일에 저장하는 동작을 확인할 수 있으며, 실시간으로 해당 수집된 파일이 C&C 서버에 전송되는 것은 아닌 것으로 확인되고 있습니다.

실제 테스트에서 확인해보면 사용자가 Internet Explorer 웹 브라우저를 통해 접속한 사이트(바람의 나라, 네이버) 기록 및 로그인 기록, PC 상에서 입력한 키보드 입력값이 그대로 저장되는 것을 확인할 수 있었습니다.

해당 C&C 서버 내부를 확인해보면 현재 11명의 키로깅을 통해 수집된 파일들이 업로드된 것을 확인할 수 있으며, 파일들은 9월 초순경부터 등록된 것으로 추정됩니다.

수집된 정보를 잠시 확인해보면 공통적으로 넥슨 바람의 나라를 이용하는 사용자임을 확인할 수 있으며, 각종 사이트 로그인 계정 정보를 비롯하여 심지어 취업 사이트를 통해 금융권 사이트에 정보를 입력하는 민감한 개인정보도 수집되고 있는 것을 목격하였습니다.

또한 감염자 중에서는 중국어판 Windows 운영 체제를 사용하는 사용자가 있는 것으로 보입니다.

해당 백도어는 온라인 게임을 즐겨하는 사용자를 표적으로 접근하여 게임핵으로 위장하여 이용하게 하는 과정에서 사용자 몰래 PC에서 이루어지는 정보를 몰래 수집하는 것으로 보입니다.

그러므로 단순히 게임핵이므로 보안 제품에서 진단된다는 잘못된 인식의 변화가 필요할 것으로 보이며, 이번 사례처럼 은밀하게 극소수 감염자를 대상으로 이루어지는 사이버 범죄 행위의 경우에는 보안 제품에서 진단을 위해 노출되지 않는 경우가 있을 수 있으므로 사용자가 우선적으로 주의하셔야 할 것입니다.

마지막으로 해당 악성 파일을 수동으로 삭제하기 위해서는 Windows 작업 관리자에서 kl.exe 프로세스를 비롯하여 생성된 파일 정보를 참고하여 동일한 프로세스가 존재할 경우 수동으로 종료한 후, 생성 파일 및 레지스트리 정보를 참고하여 삭제하시기 바랍니다.