본문 바로가기

벌새::Analysis

네이버(Naver) 디지털 서명으로 위장한 한게임 불법 프로그램 (2012.10.15)

(주)NHN 업체에서 서비스하는 한게임(HanGame)을 표적으로 제작된 상업적 목적의 프로그램이 네이버(Naver) 디지털 서명으로 위장하고 있는 부분을 발견하였습니다.

확인된 파일(Tomato.exe - MD5 : 6e7ac1b2a196f44270ea01a6a0018475)을 살펴보면 "Tomato Soft Application"이라는 속성값을 가지고 있으며, 디지털 서명이 추가되어 있는 것을 확인할 수 있습니다.

해당 디지털 서명에는 실제 네이버(Naver)에서 사용하는 디지털 서명과 동일한 모습을 가진 변조된 디지털 서명을 포함하고 있으며, 디지털 서명을 확인하지 못하여 유효하지 않은 것으로 표시되고 있습니다.

파일을 실행하며 특정 서버에서 업데이트 체크를 하는 것을 확인할 수 있으며, 해당 업데이트 서버는 카페24(Cafe24) 웹 호스팅을 이용하지만 등록자는 중국(China) 계열로 추정됩니다.

[생성 폴더 / 파일 등록 정보]

 

C:\(사용자 지정 폴더)\TomatoData\CWebPage.dll
C:\(사용자 지정 폴더)\TomatoData\Tomato.ini
C:\(사용자 지정 폴더)\TomatoData\TomatoWork.dll

 

파일 실행을 통해 "Tomato2"라는 프로그램이 실행되며, 실행 파일(Tomato.exe)이 위치한 폴더에 "TomatoData" 폴더에 생성되어 구동에 필요한 파일을 생성합니다.


Tomato2 프로그램은 인증된 아이디(ID), 비번(비밀번호)를 입력하여 실행되도록 구성되어 있으며, 외형적으로는 도박 관련 관리 프로그램 정도로 추정됩니다.

참고로 실제 로그인을 시도해보면 업데이트 서버로 입력한 계정 정보를 전송하여 체크하는 부분을 확인할 수 있습니다. 

생성된 파일을 확인해보면 Tomato 프로그램 동작에 필요한 DLL 파일과 구성값을 가진 Tomato.ini 파일을 통해 게임과 연관되어 있다는 것을 확인할 수 있습니다.

 

프로그램을 통해서는 여기까지만 확인할 수 있으며, 해당 프로그램이 어떤 용도로 이용되는지 추가적인 조사를 진행해 보았습니다. 

해당 프로그램과 관련된 확인된 웹 사이트는 업데이트 서버(yb***.net)와 동일한 웹 페이지 모양을 하고 있는 사이트(tomato******.net)로 위에서 살펴본 Tomato.exe 파일을 배포하는 사이트(tomato*.kr)와 동일한 등록인으로 보입니다.

 

이들 웹 사이트의 공통점은 카페24(Cafe24) 웹 호스팅 서비스를 이용하고 있으며, 업데이트 서버는 중국(China)에 위치하고 있지만 관리자는 국내인으로 추정되고 있습니다. 

해당 사이트를 잠시 엿보면 한게임(HanGame)에서 서비스하는 "7포커, 하이로우, 라스베거스, 로우바둑이" 게임을 표적으로 제작된 프로그램으로 1개월 단위로 유료 결제를 통해 인증된 회원만이 불법적인 방법으로 수익을 창출하는 것으로 확인되고 있습니다.

 

서비스는 2010년 하반기부터 지금까지 클라이언트 프로그램 개발을 통해 유지가 되고 있으며, 해당 서버에 대한 추가적인 조사를 통해 다른 유사한 서비스에 대한 DDoS 공격 정황도 확인되고 있습니다.

 

예를 들어 2012년 7월 26일경에 서버에 등록된 파일을 살펴보면, 특정 악성코드에 감염된 PC 환경에서 추가적인 다운로드를 아래와 같은 파일을 다운로드 시도합니다.

  • h**p://tomato*.kr/inistall.exe (MD5 : 106a0798a091b24961b18a7d5ba8f684) - AhnLab V3 : Win-Trojan/Downloader.64000.AJ (VirusTotal : 36/44)
[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\WinHelp32.exe :: 시스템(S), 숨김(H) 속성 / 서비스(Windows Help System) 등록 파일
 - MD5 : 106a0798a091b24961b18a7d5ba8f684
 - AhnLab V3 : Win-Trojan/Downloader.64000.AJ (VirusTotal : 36/44)

 

다운로드된 파일은 자신을 시스템 폴더에 WinHelp32.exe 파일로 생성하며, "WinHelp32(Windows Help System)" 서비스 항목을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다. 

감염된 PC에서는 국내에 위치한 "175.125.20.173(dynspolice.com / microsotfer.com)" 서버에 대한 DDoS 공격을 하는 동작을 확인할 수 있습니다.

 

이처럼 과거부터 한게임(HanGame)을 비롯한 온라인 게임을 불법적인 방법으로 수익 창출에 활용하는 범죄 도구가 국내에서도 암암리에 운영되고 있으며, 경쟁 업체에 대한 DDoS 공격도 이루어지고 있는 것을 확인할 수 있었습니다.

 

또한 정상적인 프로그램으로 위장하기 위해 네이버(Naver) 디지털 서명을 사용하는 특이한 사례가 아닌가 생각되어 집니다.