본문 바로가기

벌새::Analysis

ASD 진단 방해 기능을 추가한 온라인 게임핵 유포 주의 (2012.7.16)

최근 안랩(AhnLab) 백신의 ASD 기능 향상을 통한 진단 능력이 강화되면서 주말을 중심으로 활발하게 유포가 이루어지고 있는 중국발 온라인 게임핵 악성코드가 변화를 시도하였습니다. 

이번 변화는 감염시 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조를 통해 AhnLab V3 백신 프로그램을 사용하는 사용자가 ASD 서버와 연결되지 못하도록 "127.0.0.1 gms.ahnlab.com"을 추가한 방식이 등장하였습니다. 

예를 들어 정상적인 PC 환경에서는 ASD 서버로 핑(Ping)을 전송하면 ASD 서버의 응답을 받을 수 있습니다. 

하지만 감염 과정에서 호스트 파일이 변조된 PC 환경에서는 AhnLab V3 백신 프로그램이 ASD 서버에 연결을 시도할 경우, 호스트 파일에 등록된 Localhost(= 127.0.0.1)로 전송하여 루프백(Loopback) 되도록 변경을 하게 됩니다.

 

이를 통해 AhnLab V3 백신은 ASD 서버로부터 파일 및 진단 정보를 서로 교환하지 못하여 ASD 엔진을 통한 진단을 할 수 없으며, TS 엔진에만 의존하게 되어 빠른 진단을 통한 대응력에 헛점이 생길 수 있습니다.

엉엉

 

참고로 해당 악성코드의 경우 최초 감염시 1회에 한하여 호스트 파일 변조를 시도하므로, 사용자가 호스트 파일 수정(※ 추가된 "127.0.0.1 gms.ahnlab.com" 값 삭제)을 통해 정상적으로 ASD 서버 연결이 이루어질 수 있습니다.

 

현재 확인된 유포 사이트에서는 보안 취약점(Adobe Flash Player, Oracle JRE)에 대한 패치가 이루어지지 않은 사용자가 감염에 노출될 수 있으며 최종적으로 다음의 악성 파일을 통해 감염이 이루어집니다.

 

  • h**p://**.feikun.info/jz.exe (MD5 : d5ba84496564ac797dd1b25359f5fd0f) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 18/42)

이를 통해 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\gondad.exe" 파일로 생성되어, 가장 우선적으로 호스트 파일 변종를 하여 ASD 진단을 방해하게 됩니다.

 

그 이후 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\1.exe" 파일을 생성하여, 시스템 파일 패치를 비롯한 악성 파일을 생성하는 동작으로 구분되어 집니다.

 

참고로 1.exe(MD5 : 149a2b08c6eff198955fcd9dcd91c044) 파일에 대하여 AVG 보안 제품에서는 Win32/Patched.EA (VirusTotal : 17/42) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\drivers\etc\hosts :: 파일 변경

 

C:\WINDOWS\system32\drivers\kill.sys
 - MD5 : d0bb36c9bd2c10190ea259d03f44a1fe
 - AhnLab V3 : Trojan/Win32.KillAV (VirusTotal : 7/42)

 

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(46,592 Bytes)
 - MD5 : a664bbbbed5113c1463a532ae09a9af5
 - Microsoft : PWS:Win32/OnLineGames.LH (VirusTotal : 16/42)

 

C:\WINDOWS\system32\ws2help.dll.X88.tmp :: ws2help.dll 백업 파일(정상 파일)

※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

 

C:\WINDOWS\system32\ws2helpXP.dll :: (= ws2help.dll), 정상 파일

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = (공란) :: 변경 전
 - AppInit_DLLs = ws2help.dll :: 변경 후

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony

 

"변경 후" 값은 "변경 전" 값으로 수정하시기 바랍니다.

 

감염시 AhnLab V3, 알약(ALYac) 등 특정 백신 프로그램이 설치된 경우 kill.sys 악성 드라이버 파일을 통해 AVKiller 기능을 통한 무력화가 수행되어 정상적인 백신 기능을 이용할 수 없게 됩니다.

 

또한 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하여 사용자가 아래 목록의 온라인 게임에 접속하여 로그인을 시도할 경우 아이디(ID), 비밀번호, OTP 정보 등을 탈취 당할 수 있습니다.

 

  • ns.plaync.com
  • hangame.com
  • netmarble.net
  • pmang.com
  • df.nexon.com

그 외에 AhnLab SiteGuard, AhnLab V3, 네이버 백신(Naver Vaccine), 알약(ALYac) 등 백신 프로그램의 프로세스를 감시하여 정상적인 동작을 방해하고 있습니다. 

감염된 사용자가 온라인 게임에 접속하여 로그인을 시도할 경우, 미국(USA)에 위치한 "ds.laowen111.com (204.45.123.173)" 서버에 수집된 정보가 실시간으로 전달되는 것을 확인할 수 있습니다.

 

결론적으로 이제부터는 온라인 게임핵 유포시에는 AhnLab V3 백신의 빠른 대응력으로 인하여 필수적으로 호스트 파일 변조 또는 다른 방식을 이용한 ASD 진단을 방해하려는 다양한 시도가 있을 수 있습니다.

 

  안랩(AhnLab) 클라우드 진단을 우회하는 악성코드 유포 주의 (2012.6.16)

 

이와 유사한 사례로 이전에 소개한 네트워크 라우팅 테이블 조작을 통해 ASD 서버 연결을 방해하는 악성코드를 소개한 적이 있으므로 참고하시기 바랍니다.