본문 바로가기

벌새::Analysis

포털 사이트 메인 광고 배너를 통한 악성코드 유포 주의 (2011.11.20)

2011년 10월 하순경부터 주말을 기점으로 네이버(Naver) 메인 화면에 접속을 할 경우 avast! 보안 제품에서 JS:Iframe-DO [Trj] 진단명으로 악성코드 진단을 한다는 정보가 나오기 시작하였습니다.

당시 개인적으로 확인하였을 때에는 유포 지점을 정확하게 찾을 수 없었으며, 메인 화면에 포함된 특정 외부 광고 또는 인터넷 쇼핑몰과 관련된 링크를 통해 불규칙적으로 구현되는 증상이 아닌가 의심이 되었습니다.

그러다가 어제(19일) 저녁 네이버 메인 화면에 접속할 경우 Kaspersky 보안 제품에서 HEUR:Trojan.Script.Iframer 진단명으로 또 다시 진단되는 이슈가 발생하여 유포와 관련된 부분을 확인하였습니다.

먼저 해당 내용은 네이버(Naver), 다음(Daum) 메인 화면에서 제공하는 특정 외부 광고 배너 서버가 변조되어 유포가 발생하는 것으로 실제 포털 사이트 자체가 해킹된 것이 아님을 밝힙니다.

네이버(Naver) 메인 사이트에 접속을 시도할 경우 ① 상단에 노출되는 특정 광고 배너를 불러오는 과정에서 ② 외부에 위치한 변조된 광고 서버를 통해 악성 스크립트가 포함되게 됩니다.

②번에 포함된 악성 스크립트를 확인해보면 관심있는 분들이라면 아주 금방 눈치를 챌 수 있는 코드가 포함되어 특정 악성 iframe으로 연결이 이루어지는 것을 확인할 수 있습니다.

해당 스크립트를 불러오는 위치는 Referer 정보를 참고하면 네이버 광고의 특정 애니메이션이 포함된 swf 파일임을 확인할 수 있으며, 해당 swf 파일이 포함된 네이버 메인 화면의 정확한 위치는 다음과 같습니다.

즉, 네이버 메인 화면에 접속할 경우 상단에 노출되는 다수의 광고 배너 중 온라인 게임 "War of Dragons" 배너가 노출될 경우 해당 악성 스크립트가 사용자 PC에 다운로드 되며, Adobe Flash Player 취약점을 포함한 버전을 사용할 경우 자동으로 감염이 발생하였을 것으로 보입니다.

파일명 보안 제품 진단명
변조된 배너 광고 Kaspersky HEUR:Trojan.Script.Iframer
fun.htm nProtect Script-JS/W32.Agent.CWR
Birthday.swf Hauri ViRobot SWF.S.Exploit.3425

유포에 이용된 Adobe Flash Player 취약점(CVE-2011-2140)을 통해 다수의 악성 스크립트를 경유하여 감염이 발생할 수 있는 것을 확인할 수 있습니다.

Birthday.swf

참고로 Birthday.swf 파일 내부에는 2개의 쉘코드(ShellCode)가 포함되어 있으며, 하나는 avast! 보안 제품에서 SWF:CVE-2011-2140-A [Expl] 진단명으로 진단되는 악성 swf 소스가 포함되어 있으며, 다른 하나는 최종 파일 AGS.gif 파일을 다운로드하고 있습니다.

최종 다운로드되어 감염을 유발하는 AGS.gif(MD5 : 6487ee9f3d7b4fbb17693f0ff5ad5bb8) 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 23/42) 진단명으로 진단되고 있습니다.

해당 악성코드에 실제 감염된 경우는 저번 주에 소개한 kill.sys 악성 드라이버 파일을 이용한 보안 제품 무력화 및 ws2help.dll 악성 시스템 파일을 통한 온라인 게임 계정 정보 탈취를 목적으로 하는 악성 파일의 변종으로 확인되고 있으므로 기존 내용을 참고하시기 바랍니다.

 

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\drivers\kill.sys
 - MD5 : c54ffb5dca3aac9cd94ce5afc8623085
 - AhnLab V3 : Trojan/Win32.KillAV (VirusTotal : 12/42), ALYac : Rootkit.51543
※ kill.sys 파일은 알약(ALYac), AhnLab V3 보안 제품이 설치되어 있는 환경에서만 생성됩니다.

C:\WINDOWS\system32\ws2help.dll
 - MD5 : 94e5f0f7b04552fc1e359915eb61f634
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 10/42)

C:\WINDOWS\system32\ws2help.dll.i4i.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony

감염된 PC는 정상적인 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 "ws2help.dll.(3자리 영문+숫자).tmp" 파일명으로 이름을 변경하고, 악성 ws2help.dll 파일이 등록되어 알약(ALYac), AhnLab V3, 네이버 백신(Naver Vaccine) 보안 제품의 기능을 무력화하고 있습니다.

악성 ws2help.dll 파일은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 자신을 등록하여 동작하며, 원래의 ws2help.dll 기능은 ws2helpXP.dll 시스템 백업 파일이 담당을 합니다.

이 과정에서 해피머니(HappyMoney), 컬쳐랜드(CultureLand)와 같은 온라인 문화 상품권 사이트 계정 정보 및 한게임(Hangame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등의 온라인 게임 계정 정보가 입력될 경우 수집하여 외부로 유출을 시도합니다.

실제로 유출되는 정보를 확인해보면 미국(USA)에 위치한 174.139.130.58(test.freehello.info) 서버로 아이디(ID), 비밀번호와 같은 계정 정보가 전달되는 것을 확인할 수 있습니다.

감염된 사용자 중 수동으로 문제를 해결하기 위해서는 다음의 절차에 따라 진행하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 절차를 준수하시기 바랍니다.

1. Windows 탐색기를 통해 [C:\WINDOWS\system32\drivers\kill.sys] 파일을 삭제합니다.

2. 레지스트리 편집기(regedit)를 통해 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony] 값을 찾아 삭제합니다.

3. [C:\WINDOWS\system32\ws2help.dll] 악성 파일의 확장자명을 변경합니다.(※ 예시 : ws2help.dll-)

ws2help.dll 파일의 확장자를 변경한 경우, 윈도우 파일 보호(WFP) 기능을 통해 자동으로 ws2help.dll 시스템 파일이 복원되므로 사용자는 반드시 그림과 같이 ws2help.dll 시스템 파일이 복원되었는지 확인을 하시기 바랍니다.

만약 복원되지 않은 상태로 시스템 재부팅을 할 경우 블루스크린(BSoD) 현상 발생을 통해 시스템 부팅 불가능 문제가 발생할 수 있으므로 주의하시기 바랍니다.

4. 반드시 시스템 재부팅을 한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\ws2help.dll- :: 악성 ws2help.dll 파일의 확장자명을 변경한 파일
  • C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
  • C:\WINDOWS\system32\ws2helpXP.dll

모든 수동 조치 완료 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바라며, 해당 악성코드에 실제 감염된 사용자는 Adobe Flash Player 최신 버전이 설치되지 않아서 감염된 것이므로 반드시 Windows 보안 업데이트 체크 및 Adobe Flash Player 최신 버전을 설치하시기 바랍니다.

이번 사례와 같이 국내 대다수의 인터넷 사용자들이 접속을 하는 포털 사이트 메인 사이트에 접속하는 행위만으로도 악성코드에 자동으로 감염될 가능성이 있다는 점을 명심하시기 바라며, 보안 업데이트와 백신의 실시간 감시를 항상 ON한 상태로 인터넷을 이용하시기 바랍니다.

 

  • 어디서 유포되나 찾을 수가 없었는데, 광고였군요.
    자체적으로 상당히 자금을 투자해서 보안에 신경을 쓸 터인데 외부에서 끌어오는 광고가 뚤리니, 네이버나 다음도 답답하겠네요.

  • 사이버 2011.11.21 09:32 댓글주소 수정/삭제 댓글쓰기

    전문 수사관 못지 않는 분석이십니다. 대단하세요. ㅎㅎ
    현재 위 베너는 내려가 있는 상태인가요?

    • 배너와 관련된 부분은 업체에서 추가된 악성 스크립트는 제거하였습니다.

      이번주말에 한 번 더 지켜봐야 할 부분이라고 보입니다.

      그리고 저 광고 배너 외에도 다른 배너에서도 노출될 수 있는 부분이라서..

  • 역시 벌새님~ 2011.11.21 15:01 댓글주소 수정/삭제 댓글쓰기

    저는 백신이 이와 같은 바이러스를 계속해서 잡아주며 삭제조치돼서 별 탈이 없었습니다만,
    다른 이들 같았으면 정말.. 문제가 심각했겟네요~

    그나저나,
    저 같은 경우엔 좀 별난 바이러스에 걸려서 곤경에 처한 바 있답니다.
    그니까, 컴퓨터를 켜기전에 모뎀을 먼저 키고(또는, 광케이블 같은 경운 항상 연결(ON)돼 있으니) 다음에 컴퓨터를 켜서 인터넷을 하고 있는데요~
    이 부분에서 바이러스가 바로 컴퓨터를 치고 들어와서 작동불능을 시키는 경험을 한 바 있답니다.
    (컴퓨터가 제대로 구동되기도 전에 인터넷을 통해 바이러스가 침투 가능한 지 의심스러웠지만, 그것말곤 딱히 방법이 없다고 생각했기에...)
    어쩌면, 이전 컴퓨터 사용시에 어떤 소스를 제 컴퓨터에 심은 다음, 다음에 컴퓨터를 켤 시에 어떤 소스를 곧바로 심어서는 (저 같은 경운 유명 외산)백신을 무력화시켰고, 점차적으로 컴퓨터 시스템 하나하나를 작살냈던 건 아닌지...
    (감염됐다 판단됐을때, 바로 인터넷끊고서 외산백신의 실시간감시가 작동중일때 V3를 실행시켜 정밀검사 수행해서 바이러스 잡아 삭제조치 햇었음!)

    암튼, 그 후로 컴퓨터를 먼저 켜고 나서(백신이 구동되고 나서) 인터넷을 연결하니 그 문젠 완전히 사라졌답니다.

    그래서 울지않는벌새님께 질문하는 건데요~
    이런 식으로.. 그니까, 컴퓨터가 구동되는 동안에 바이러스 침투가 가능한 지와, 아무리 KT측 서버가 감염(?)됐을 수 있다지만, 이렇게 이런 식으로 바이러스가 전파가능한 건지, 아님, 이것과 전혀 다른 방식으로 제 컴퓨터가 바이러스에 감염됐을 수 있는 건지... 그런 걸 좀 알고 싶네요~

    • 오래 전에 유행하던 제로데이 취약점을 이용한 웜바이러스의 경우에는 네트워크를 타고 전파가 됩니다.

      그런 경우가 아니었을까 싶습니다.

      당시에는 그냥 랜만 연결되어 있으면 감염이 되었으니깐요.