당시 개인적으로 확인하였을 때에는 유포 지점을 정확하게 찾을 수 없었으며, 메인 화면에 포함된 특정 외부 광고 또는 인터넷 쇼핑몰과 관련된 링크를 통해 불규칙적으로 구현되는 증상이 아닌가 의심이 되었습니다.
그러다가 어제(19일) 저녁 네이버 메인 화면에 접속할 경우 Kaspersky 보안 제품에서 HEUR:Trojan.Script.Iframer 진단명으로 또 다시 진단되는 이슈가 발생하여 유포와 관련된 부분을 확인하였습니다.
먼저 해당 내용은 네이버(Naver), 다음(Daum) 메인 화면에서 제공하는 특정 외부 광고 배너 서버가 변조되어 유포가 발생하는 것으로 실제 포털 사이트 자체가 해킹된 것이 아님을 밝힙니다.
네이버(Naver) 메인 사이트에 접속을 시도할 경우 ① 상단에 노출되는 특정 광고 배너를 불러오는 과정에서 ② 외부에 위치한 변조된 광고 서버를 통해 악성 스크립트가 포함되게 됩니다.
②번에 포함된 악성 스크립트를 확인해보면 관심있는 분들이라면 아주 금방 눈치를 챌 수 있는 코드가 포함되어 특정 악성 iframe으로 연결이 이루어지는 것을 확인할 수 있습니다.
해당 스크립트를 불러오는 위치는 Referer 정보를 참고하면 네이버 광고의 특정 애니메이션이 포함된 swf 파일임을 확인할 수 있으며, 해당 swf 파일이 포함된 네이버 메인 화면의 정확한 위치는 다음과 같습니다.
즉, 네이버 메인 화면에 접속할 경우 상단에 노출되는 다수의 광고 배너 중 온라인 게임 "War of Dragons" 배너가 노출될 경우 해당 악성 스크립트가 사용자 PC에 다운로드 되며, Adobe Flash Player 취약점을 포함한 버전을 사용할 경우 자동으로 감염이 발생하였을 것으로 보입니다.
파일명 | 보안 제품 | 진단명 |
변조된 배너 광고 | Kaspersky | HEUR:Trojan.Script.Iframer |
fun.htm | nProtect | Script-JS/W32.Agent.CWR |
Birthday.swf | Hauri ViRobot | SWF.S.Exploit.3425 |
유포에 이용된 Adobe Flash Player 취약점(CVE-2011-2140)을 통해 다수의 악성 스크립트를 경유하여 감염이 발생할 수 있는 것을 확인할 수 있습니다.
Birthday.swf
참고로 Birthday.swf 파일 내부에는 2개의 쉘코드(ShellCode)가 포함되어 있으며, 하나는 avast! 보안 제품에서 SWF:CVE-2011-2140-A [Expl] 진단명으로 진단되는 악성 swf 소스가 포함되어 있으며, 다른 하나는 최종 파일 AGS.gif 파일을 다운로드하고 있습니다.
최종 다운로드되어 감염을 유발하는 AGS.gif(MD5 : 6487ee9f3d7b4fbb17693f0ff5ad5bb8) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 23/42) 진단명으로 진단되고 있습니다.
해당 악성코드에 실제 감염된 경우는 저번 주에 소개한 kill.sys 악성 드라이버 파일을 이용한 보안 제품 무력화 및 ws2help.dll 악성 시스템 파일을 통한 온라인 게임 계정 정보 탈취를 목적으로 하는 악성 파일의 변종으로 확인되고 있으므로 기존 내용을 참고하시기 바랍니다.
C:\WINDOWS\system32\drivers\kill.sys
- MD5 : c54ffb5dca3aac9cd94ce5afc8623085
- AhnLab V3 : Trojan/Win32.KillAV (VirusTotal : 12/42), ALYac : Rootkit.51543
※ kill.sys 파일은 알약(ALYac), AhnLab V3 보안 제품이 설치되어 있는 환경에서만 생성됩니다.
C:\WINDOWS\system32\ws2help.dll
- MD5 : 94e5f0f7b04552fc1e359915eb61f634
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 10/42)
C:\WINDOWS\system32\ws2help.dll.i4i.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.
C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony
감염된 PC는 정상적인 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 "ws2help.dll.(3자리 영문+숫자).tmp" 파일명으로 이름을 변경하고, 악성 ws2help.dll 파일이 등록되어 알약(ALYac), AhnLab V3, 네이버 백신(Naver Vaccine) 보안 제품의 기능을 무력화하고 있습니다.
악성 ws2help.dll 파일은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 자신을 등록하여 동작하며, 원래의 ws2help.dll 기능은 ws2helpXP.dll 시스템 백업 파일이 담당을 합니다.
이 과정에서 해피머니(HappyMoney), 컬쳐랜드(CultureLand)와 같은 온라인 문화 상품권 사이트 계정 정보 및 한게임(Hangame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등의 온라인 게임 계정 정보가 입력될 경우 수집하여 외부로 유출을 시도합니다.
실제로 유출되는 정보를 확인해보면 미국(USA)에 위치한 174.139.130.58(test.freehello.info) 서버로 아이디(ID), 비밀번호와 같은 계정 정보가 전달되는 것을 확인할 수 있습니다.
감염된 사용자 중 수동으로 문제를 해결하기 위해서는 다음의 절차에 따라 진행하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 절차를 준수하시기 바랍니다.
1. Windows 탐색기를 통해 [C:\WINDOWS\system32\drivers\kill.sys] 파일을 삭제합니다.
2. 레지스트리 편집기(regedit)를 통해 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony] 값을 찾아 삭제합니다.
3. [C:\WINDOWS\system32\ws2help.dll] 악성 파일의 확장자명을 변경합니다.(※ 예시 : ws2help.dll-)
ws2help.dll 파일의 확장자를 변경한 경우, 윈도우 파일 보호(WFP) 기능을 통해 자동으로 ws2help.dll 시스템 파일이 복원되므로 사용자는 반드시 그림과 같이 ws2help.dll 시스템 파일이 복원되었는지 확인을 하시기 바랍니다.
만약 복원되지 않은 상태로 시스템 재부팅을 할 경우 블루스크린(BSoD) 현상 발생을 통해 시스템 부팅 불가능 문제가 발생할 수 있으므로 주의하시기 바랍니다.
4. 반드시 시스템 재부팅을 한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\ws2help.dll- :: 악성 ws2help.dll 파일의 확장자명을 변경한 파일
- C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
- C:\WINDOWS\system32\ws2helpXP.dll
모든 수동 조치 완료 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바라며, 해당 악성코드에 실제 감염된 사용자는 Adobe Flash Player 최신 버전이 설치되지 않아서 감염된 것이므로 반드시 Windows 보안 업데이트 체크 및 Adobe Flash Player 최신 버전을 설치하시기 바랍니다.
이번 사례와 같이 국내 대다수의 인터넷 사용자들이 접속을 하는 포털 사이트 메인 사이트에 접속하는 행위만으로도 악성코드에 자동으로 감염될 가능성이 있다는 점을 명심하시기 바라며, 보안 업데이트와 백신의 실시간 감시를 항상 ON한 상태로 인터넷을 이용하시기 바랍니다.