울지않는벌새 : Security, Movie & Society

여성 걸그룹 티아라 이슈를 이용한 백도어(Backdoor) 유포 주의 (2012.7.31)

벌새::Analysis

최근 여성 걸그룹 티아라 멤버들이 화영양을 집단 왕따 사건으로 인하여 인터넷 상에서 큰 이슈를 불러오고 있는 과정에서 사회적 이슈를 이용한 백도어(Backdoor) 유포 행위가 확인되고 있습니다.

 

해당 유포 행위는 2012년 5~6월경부터 아프리카TV 개인 방송국의 방명록을 중심으로 유사한 전파 행위가 확인된 적이 있었으며 유포자는 동일범으로 기억됩니다. 

유포 방식을 확인해보면 인터넷 게시판을 이용하여 "티아라 화재의 궁극의 영상" 이라는 내용으로 국내 특정 무료 도메인 주소(URL)를 남겨 사용자가 해당 사이트로 접속하도록 유도하고 있을 것으로 보입니다.

 

이를 통해 접속한 웹 사이트에서는 네이트닷컴에서 사용하는 파비콘 아이콘을 동원하여, 웹 브라우저 상단에 "이 사이트에서 'Microsoft Corporation'에서 배포한 'Microsoft (R) Dynamic HTML Editing Control' 추가 기능을 실행하려고 합니다. 이 웹 사이트와 추가기능을 신뢰할 수 있고 실행을 허용하는 경우 실행하여 주시기 바랍니다."라는 알림바를 통해 사용자의 실행을 유도하고 있습니다. 

표시된 노란색 알림바를 클릭할 경우 아레스(Ares)라는 닉네임으로 온라인 상에서 활동하는 것으로 추정되는 특정 서버로 연결된 iframe을 통해 티스토리(Tistory) 블로그에 등록된 악성 파일을 다운로드하도록 제작되어 있습니다.

  • 안전한사이트실행을위한ActiveX.exe (MD5 : 0683a4dc453485022ec030a011d56da9) - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 9/40)

다운로드된 "안전한사이트실행을위한ActiveX.exe" 악성 파일은 기존의 아프리카TV 개인 방송국 방명록에서도 사용된 동일한 파일명으로 구성되어 있으며, 사용자가 다운로드된 파일을 실행할 경우 감염이 이루어집니다.

 

참고로 이 과정에서 유포자는 "qqaa1122.**.to"를 통한 카운터(Counter) 체크 및 유포를 위해 등록한 아레스(Ares) 도메인은 2012년 5월경에 생성한 것으로 확인되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\kufznf.exe
 - MD5 : 0683a4dc453485022ec030a011d56da9)
 - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 9/40)
※ 해당 파일은 (6자리 영문).exe 파일 형태입니다.

다운로드된 파일을 실행하면 시스템 폴더에 랜덤(Random)한 파일명의 2,912,608 Bytes 크기의 파일을 생성하며, 자신(안전한사이트실행을위한ActiveX.exe)은 자가 삭제 처리됩니다. 

생성된 파일은 "aszjh(people Command Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\(6자리 영문).exe" 파일을 자동으로 실행하여 다음과 같은 C&C 서버와 25초 간격으로 연결을 유지합니다. 

C&C 서버를 확인해보면 국내에 등록된 "qqaa1122.serveftp.com (121.0.147.204)"로 연결되고 있으며, 현재는 추가적인 명령에 따른 악의적인 동작은 확인되지 않고 있습니다. 

또한 생성된 서비스 파일이 Windows 방화벽에서 차단되지 않도록 예외 항목에 "Microsoft (R) Internetal IExplore"라는 프로그램으로 등록되어 있는 것을 확인할 수 있습니다.

 

이렇게 감염된 사용자는 차후 공격자의 명령에 따라 언제든지 악의적인 동작(정보 유출, 추가적인 다운로드 등)이 이루어질 수 있으며, 공격자의 추가적인 조사를 통해 확인된 부분을 살펴보면 온라인 게임 관련 서버 운영 등의 과거 행적으로 보아 금전적 피해를 유발할 수 있을 것으로 보입니다. 

해당 악성코드는 시스템 시작시 자동으로 실행된 서비스를 통해 메모리에 상주하여 외부와 통신을 유지하고 있으므로 다음과 같은 절차에 따라 수동으로 문제를 해결할 수 있습니다.

 

(1) 서비스(services.msc) 항목에 등록된 "aszjh(people Command Service)" 항목을 찾아 실행 파일 경로에 표시된 파일명을 반드시 확인하시기 바랍니다.(※ 해당 파일명은 (6자리 영문).exe 형태입니다.)

 

(2) 실행창에 [sc stop "aszjh"], [sc delete "aszjh"] 명령어를 입력하여 실행 중인 서비스 중지 및 삭제를 하시기 바랍니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASZJH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aszjh

이를 통해 서비스에 등록된 "aszjh(people Command Service)" 항목과 2개의 레지스트리 값이 자동으로 삭제 처리됩니다.

 

(3) (1)번 항목에서 확인한 시스템 폴더에 등록된 "C:\WINDOWS\system32\(6자리 영문).exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

(4) 레지스트리 편집기(regedit)를 실행하여 Windows 방화벽에 예외 처리값을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
 - C:\WINDOWS\system32\kufznf.exe = C:\WINDOWS\system32\kufznf.exe:*:Enabled:Microsoft (R) Internetal IExplore

 

모든 절차가 완료된 후에는 추가적인 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시는 것이 안전하며, 이번 사례와 같이 사회적 이슈를 이용하여 동영상을 보기 위한 파일 다운로드 및 실행을 유도할 경우에는 악성코드일 가능성이 높으므로 주의하시기 바랍니다.