온라인 게임 및 인터넷뱅킹 정보 수집 또는 백도어(Backdoor) 악성 프로그램을 사용자 몰래 설치하는 방식은 웹 브라우저, Adobe Flash Player, Oracle Java 프로그램의 보안 취약점을 이용하여 웹 사이트 접속 행위만으로도 시스템 감염을 성공적으로 달성할 수 있습니다.(※ 글에서는 추가로 소개하지 않았지만 Adobe Reader 제품도 항상 최신 버전을 사용하시기 바랍니다.)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (1) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (2) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (3) (2013.3.17)

 

이런 응용 프로그램 자체의 취약점을 이용한 공격은 사용자가 PC에 설치된 프로그램 업데이트를 통해 최신 버전을 유지할 경우 제로데이(0-Day) 취약점을 이용한 유포를 제외하고는 사전에 차단할 수 있습니다.

 

하지만 사용자 PC에 설치된 특정 소프트웨어 서버를 해킹하여 설치 파일 자체를 변조하거나, 업데이트 서버에 악성 파일을 등록하여 다운로드를 시도할 경우에는 아무리 보안 패치가 적용된 PC 환경에서도 보안 제품(Anti-Virus)이 진단하지 않는 이상 차단할 수 없습니다.

 

  국내 압축 프로그램 업데이트를 통한 온라인 게임핵 유포 주의 (2012.7.23)

 

  FreePDS 파일을 이용한 백도어(Backdoor) 유포 주의 (2012.8.7)

 

  PUP 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.9.1)

 

  글자수 세기 프로그램을 이용한 온라인 게임핵 유포 주의 (2012.10.9)

 

  국내 온라인 게임을 표적으로 한 Windows appcon(remove data) 프로그램 유포 주의 (2013.3.11)

 

작년(2012년) 하반기부터 최근까지 광고 프로그램 또는 정상적인 소프트웨어를 통해 유포가 이루어졌던 온라인 게임핵(OnlineGameHack), 백도어(Backdoor) 악성 프로그램들의 사례를 통해 간접적으로 상황의 심각성을 엿볼 수 있습니다.

 

이렇게 외부 해킹에 의해 악용되는 경우 일부 보안 제품에서는 악성 파일 자체는 진단 및 치료를 제공하지만, 유포에 악용된 소프트웨어는 법적인 문제 또는 진단 정책 문제로 인해 진단을 하지 못하는 경우도 발생합니다.

 

  <알약 보안공지> 유틸리티 프로그램으로 가장하여 유포되는 악성코드 주의 (2012.11.5)

 

이에 따라 알약(ALYac) 보안 업체에서는 이런 문제에 대해 보안 공지를 통해 사용자의 주의를 환기시키고는 있지만, 유포에 악용되는 프로그램들은 정당한 사용자 동의 과정을 거쳐서 설치되고 오히려 자신들도 피해자라고 주장하는 문제로 인해 개선되기 힘든게 현실인 것 같습니다.

 

그렇다면 어느 정도 문제의 심각성이 있을 수 있는지 지속적인 유포에 활용되고 있는 국내 특정 보안 업체에서 서비스하는 프로그램을 통해 간단하게 살펴보도록 하겠습니다.

특정 웹 사이트에서 통합코덱(Codec) 프로그램을 다운로드하기 위해 설치하도록 유도하는 "○○다운로드" 프로그램을 설치하면 다수의 수익성 프로그램이 등록되어 있습니다.

 

이 중에서 "윈도우 보안 패치"라는 프로그램은 사용자 PC의 Windows Update 정보를 체크하여 설치되지 않은 보안 패치를 설치해 주는 기능을 하며, 국내에서 유명(?)한 보안 업체 2곳과 연관된 프로그램으로 보입니다.(※ 감염 예방법에서는 Windows Update를 통해 보안 패치를 설치하라고 주장하면서, 이 글에서는 위험하다고 작성하고 있으니..)


로그램을 설치하면 Window Boan Patch 프로그램이 "C:\Program Files\WindowBoanPatch" 폴더에 설치가 이루어지고, 그림과 같이 보안 패치 검사를 통해 설치되지 않은 보안 패치를 설치하도록 지원하고 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowBoanPatch = "C:\Program Files\WindowBoanPatch\WBPatch.exe" -startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WindowBoanPatch = "C:\Program Files\WindowBoanPatch\WBPatch.exe" -startup

설치된 윈도우 보안 패치(Window Boan Patch) 프로그램은 WBPatch.exe 파일을 시작 프로그램으로 등록하여 시스템 시작시 자동 실행되어 프로그램을 실행하도록 구성되어 있습니다.

자동 실행된 WBPatch.exe 파일은 2분이 경과하면 업데이트 체크를 목적으로 "C:\Program Files\WindowBoanPatch\WBPatchUp.exe" 파일을 자동으로 실행하는 동작을 확인할 수 있습니다.

이를 통해 윈도우 보안 패치(Window Boan Patch) 업데이트 서버에서 WBPatchUpdate.exe 파일을 다운로드하는 동작을 확인할 수 있습니다.

출처 : 안랩(AhnLab) 보안 통계 - http://www.ahnlab.co.kr/kr/site/securitycenter/statistics/popStatistics.do

  • C:\Program Files\WindowBoanPatch\Update\WBPatchUpdate.exe (MD5 : c79b34768c1f288389e43da05cfd150d) - AhnLab V3 : Dropper/Agent.203880 (VirusTotal : 25/45)
  • C:\Program Files\WindowBoanPatch\WBPatchUpdate.exe (MD5 : c79b34768c1f288389e43da05cfd150d) - Kaspersky : Trojan.Win32.Jorik.Vobfus.gspi (VirusTotal : 25/45)

이를 통해 Update 폴더에 다운로드하여 프로그램 폴더에 생성하는 방식으로 정체를 알 수 없는 파일을 받아오고 있으며, 상당수 보안 제품에서는 악성 파일로 진단을 하고 있습니다.

다운로드된 파일은 자동으로 실행되도록 구성되어 있지만, 테스트 환경(가상 환경)에서는 실행을 중지하도록 제작되어 분석을 방해하고 있습니다.

 

실제 정상적으로 감염이 이루어질 경우에는 "C:\Program Files\Common Files\Apple\apple.exe" 파일을 생성하며, 네이버(Naver) 서버에 쿼리 전송 및 Blizzard Entertainment의 배틀넷(Battle.net) 정보를 수집할 것으로 추정됩니다.

또한 수집된 정보는 중국(China)에서 등록한 미국(USA)에 위치한 "exeinfo1.org (110.34.194.250)" 서버에 전송되어 금전적 수익을 얻는데 활용될 것으로 보입니다.

 

위와 같은 상황에서 대부분의 보안 제품에서는 WBPatchUpdate.exe 악성 파일만을 반복적으로 진단하여, 시스템 시작시마다 자동 다운로드 및 실행되는 행위가 반복적으로 발생하게 됩니다.

  • C:\Program Files\WindowBoanPatch\WBPatchUp.exe (MD5 : c20db193de7bc642a33d46d1e61683f6) - AVG : SecurityTool.P (VirusTotal : 4/45)

실제로 감염의 시발점이 되는 윈도우 보안 패치(Window Boan Patch) 업데이트 실행 파일(WBPatchUp.exe)에 대해서는 대부분의 보안 제품에서는 진단을 하지 않고 있습니다.

 

그러므로 사용자는 감염을 유발하는 "윈도우 보안 패치(Window Boan Patch)" 프로그램 자체를 함께 삭제를 해야 근본적인 문제 해결이 가능합니다.

 

특히 위와 같은 유포 행위는 주말과 같은 특정 시간대에만 활발하게 이루어지며, 평일에는 정상적인 소프트웨어 기능만 수행하여 사용자는 쉽게 눈치채기 힘들다는 점에서 주의가 요구됩니다.

 

이 글에서 말하고 싶은 부분은 이렇게 관리가 되지 않는 프로그램의 잘못도 문제가 크지만, 근본적으로 사용자들이 이런 신뢰할 수 없거나 관리가 부실한 소프트웨어는 함부로 설치하지 않도록 주의를 해야 할 것입니다.

  • 프로그램 설치 단계 : ① 블로그, 카페 등 신뢰할 수 없는 사이트의 첨부 파일 및 링크를 통한 다운로드 금지 ② 프로그램 설치시 추가적인 수익성 프로그램 포함 여부 확인
  • 프로그램 이용 단계 : 업데이트 창을 생성하여 설치를 유도할 경우 추가적인 수익성 프로그램 포함 여부 확인
  • 프로그램 삭제 단계 : 프로그램 삭제 이후에도 삭제되지 않고 지속적으로 동작하는지 확인

특히 프로그램 설치, 이용, 삭제시 추가적인 소프트웨어가 설치되지 않도록 꼼꼼하게 살펴봐야 할 것이며, 사용자 PC에 설치한 소프트웨어의 업체명, 홈 페이지 주소, 프로그램 평판 등을 확인하는 습관도 매우 중요하겠습니다.

WBPatchUpdate.exe

그나저나 이 프로그램으로 인해 감염에 노출된 사용자가 2일만에 최소 10만대 이상은 될 것 같군요.

 

이상과 같은 총 4편으로 구성된 "온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법"을 잘 숙지하여 앞으로 이런 류의 악성 프로그램이 시스템 감염을 통해 사용자에게 피해를 주는 일이 없도록 잘 관리하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..