울지않는벌새 : Security, Movie & Society

보스턴 마라톤 폭발 이슈를 이용한 악성코드 유포 주의 (2013.4.17)

벌새::Analysis

2013년 4월 15일(한국 시간) 미국 보스턴(Boston) 마라톤 대회에서 발생한 폭발 테러 사건과 관련하여 스팸 메일을 통해 악성코드가 유포되고 있다는 소식입니다.

  • 메일 제목 : Explosion at the Boston Marathon
  • 메일 제목 : Video of Explosion at the Boston Marathon 2013

현재 확인된 유포 방식은 "(IP 주소)/boston.html" 또는 "(IP 주소)/news.html" 형태로 발송된 악성 링크(URL)를 클릭하도록 유도하고 있습니다.

사용자가 해당 링크를 클릭할 경우 "Hot News::Videos of Explosions at the Boston Marathon 2013" 제목의 특정 웹 페이지로 연결이 되며, 화면 상에는 유튜브(YouTube) 동영상 5개가 노출되어 있습니다.

연결된 웹 페이지 소스를 확인해보면 일정 시간이 경과하면 "h**p://94.**.49.***/boston.avi_______.exe" 파일을 자동으로 다운로드 하도록 메타 태그(Meta Tag)가 포함되어 있는 것을 확인할 수 있으며, 현재 테스트 과정에서는 정상적으로 다운로드는 이루어지지 않고 있습니다.

 

그 외에 유튜브(YouTube) 동영상 하단에 Redkit Exploit Kit을 이용한 악성 iframe 링크가 포함되어, 다음과 같이 Oracle Java 프로그램 중 보안 패치가 제대로 이루어지지 않은 사용자의 경우 Drive-By Download가 이루어지도록 구성되어 있습니다.

  • h**p://chartspm*****.com/7pq.jar (MD5 : 477ce8dba54e76017755a85e1de66eb8) - MSE : Exploit:Java/CVE-2012-1723 (VT : 8/46)

감염 과정을 살펴보면 Java 취약점(CVE-2012-1723)을 이용하여 7pq.jar 파일을 받아와 암호화된 파일(setup.exe)을 다운로드하여 시스템 감염을 유발하는 것을 확인할 수 있습니다.(※ 해당 취약점은 2012년 6월에 발표된 Java SE Runtime Environment(JRE) 7 Update 5 버전을 통해 보안 패치가 이루어졌습니다.)

이를 통해 시스템 감염이 이루어지는 과정에서 일부 환경에서는 alifna.exe 파일과 관련된 오류창이 생성될 수 있으며, 실제 감염은 정상적으로 이루어지고 있습니다.(※ 생성된 alifna.exe 파일의 아이콘은 감염시마다 변경될 수 있습니다.)

 

[생성 파일 및 진단 정보]

 

C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\alifna.exe
 - MD5 : 5629b1158084e744d6615c7fb0618492
 - Avira : TR/Crypt.ZPACK.Gen (VT : 6/46)

 

C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\coppe.exe :: 자가 삭제
 - MD5 : 8f632dca811549718b1e3d98cfa9de79
 - Kaspersky : Trojan-Spy.Win32.Zbot.klau (VT : 15/46)

우선 사용자 계정의 임시 폴더에 alifna.exe, coppe.exe 2개의 파일을 생성하며, 생성된 alifna.exe 파일은 특정 러시아(.ru) 서버로부터 추가적인 파일 다운로드를 시도합니다.

  • h**p://ymvuch**.ru/newbos3.exe (MD5 : 4d0f7dac5bf9e2637444bb0deb4b8a14) - ESET NOD32 : a variant of Win32/Kryptik.AYWT (VT : 4/46)

추가 다운로드된 파일(newbos3.exe)은 WinPcap 패킷 드라이버(WinPcap Packet Driver (NPF)) 서비스 등록 및 관련 파일을 생성하여 SMTP 통신을 할 수 있도록 세팅합니다.

  • C:\WINDOWS\system32\drivers\npf.sys
  • C:\WINDOWS\system32\Packet.dll
  • C:\WINDOWS\system32\wpcap.dll

또한 alifna.exe 파일은 Windows 임시 폴더에 다음과 같은 악성 파일을 생성하며, 생성된 파일을 시작 프로그램(SonyAgent)에 등록합니다.

 

C:\WINDOWS\Temp\temp89.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

 - MD5 : 9b00fbdd59d6950c5d705612c2fb0bbd

 - ESET NOD32 : a variant of Win32/Kryptik.AYWT (VT : 4/46)

 

※ 해당 파일은 temp(2자리 숫자).exe 패턴입니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SonyAgent = C:\WINDOWS\Temp\temp89.exe

생성된 파일(temp89.exe)의 속성은 읽기(R), 숨김(H) 속성값을 가지고 있으며, 감염된 이후 다음과 같은 악의적인 기능을 수행합니다.

감염된 환경에서는 SMTP 프로토콜을 이용하여 보스턴 마라톤 폭발과 관련된 메일 제목(Video of Explosion at the Boston Marathon 2013)과 악성 URL 링크를 포함한 스팸 메일을 무작위로 발송하는 것을 확인할 수 있습니다.

 

이를 통해 대량 감염을 통해 확보된 좀비PC를 통해 차후 정보 유출, 수익 창출 등과 같은 제2의 피해를 유발할 수 있습니다.

그러므로 위와 같은 스팸 메일을 받아 링크를 통해 웹 사이트에 접속한 경우에는 Windows 작업 관리자를 실행하여 temp(2자리 숫자).exe 프로세스가 있는지 확인하시기 바라며, 국내외 유명 보안 제품을 통해 정밀 검사를 하시기 바랍니다.

 

특히 해당 감염 방식이 Oracle Java 보안 취약점을 이용하고 있으므로 Oracle Java SE Runtime Environment(JRE) 제품이 설치된 환경에서는 반드시 최신 버전으로 업데이트를 진행하시기 바랍니다.

 

마지막으로 국내외 이슈를 이용한 악성코드 감염 행위가 언제든지 이루어질 수 있으므로 신뢰할 수 없는 메일을 통해 전달되는 링크(URL) 또는 첨부 파일은 함부로 실행하는 일이 없도록 하시기 바랍니다.