본문 바로가기

벌새::Analysis

국내 음란 동영상을 이용한 백도어(Backdoor) 유포 주의 (2013.7.18)

반응형

토렌트(Torrent) 공유 방식을 이용한 악성코드 유포 방식으로 가장 대표적인 것이 이전에 소개한 시드(Seed) 파일의 확장자명을 "avi.torrent.exe" 패턴과 같은 형태로 한 경우입니다.

 

  avi.torrent.exe 파일을 이용한 광고 프로그램 유포 주의 (2013.7.16)

이런 방식이 통하는 이유는 Windows 탐색기 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 항목이 체크된 상태이기 때문이며, 이로 인하여 exe, dll 등의 파일 확장자가 표시되지 않습니다.(※ 그러므로 반드시 해당 항목의 체크를 해제하시고 PC를 사용하시기 바랍니다.)

 

오늘 살펴볼 악성 파일은 토렌트 공유 사이트에 국내 음란 동영상을 받을 수 있도록 홍보하는 게시글을 통해 다운로드된 시드(Seed) 파일을 실행할 경우 시스템 감염이 이루어집니다.

유포에 사용된 게시글을 보면 첨부 파일의 확장자명이 "avi.torrent.exe" 파일로 시드(Seed) 파일이 아닌 실행 파일임을 확인할 수 있지만, 많은 사용자들은 Windows 탐색기 기본값으로 인해 다운로드된 파일을 시드(Seed) 파일로 착각할 수 있습니다.

다운로드된 "[국No]6월신작 고화질 하트속옷 입고 대화굿.avi.torrent.exe" 파일의 아이콘 모양은 µTorrent 아이콘처럼 제작되어 있으며, 2013년 7월 4일경 안랩(AhnLab) ASD 클라우드에 최초 보고된 파일입니다.

 

참고로 해당 파일(MD5 : 61d6dcf531861dbe28e7ce9b2d6bc7af)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.Downloader (VT : 31/47), 알약(ALYac) 보안 제품에서는 Backdoor.Zegost.B 진단명으로 진단되고 있습니다.

µTorrent 아이콘으로 위장한 악성 파일은 WinRAR SFX 실행 압축을 통해 제작되었으며, 내부에는 server.exe, tiara.torrent 파일이 포함되어 있습니다.

 

참고로 server.exe(MD5 : c841baf2bd4748dcda78816c01111705) 파일은 마이크로소프트(Microsoft) 관련 파일로 위장하기 위하여 "Microsoft® ActiveX Debugger Configuration Application for Java" 속성값을 가지며, AhnLab V3 보안 제품에서는 Trojan/Win32.Magania (VT : 30/46) 진단명으로 진단되고 있습니다.

실제 다운로드된 파일을 실행할 경우 백그라운드 방식으로 "C:\Program Files" 폴더에 server.exe, tiara.torrent 파일을 생성 및 실행되며, 사용자 화면에서는 토렌트(Torrent) 추가창이 생성되어 국내 음란 동영상으로 추정되는 파일을 다운로드합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Program Files\server.exe
 - MD5 : c841baf2bd4748dcda78816c01111705
 - AhnLab V3 : Trojan/Win32.Magania (VT : 30/46)

 

C:\Program Files\tiara.torrent

 

C:\Windows\9E7041CA
C:\Windows\9E7041CA\svchsot.exe :: 시작 프로그램 등록 파일
 - MD5 : c841baf2bd4748dcda78816c01111705
 - AhnLab V3 : Trojan/Win32.Magania (VT : 30/46)

 

C:\Windows\System32\Tasks\At1
C:\Windows\System32\Tasks\At10
C:\Windows\System32\Tasks\At11
C:\Windows\System32\Tasks\At12
C:\Windows\System32\Tasks\At13
C:\Windows\System32\Tasks\At14
C:\Windows\System32\Tasks\At15
C:\Windows\System32\Tasks\At16
C:\Windows\System32\Tasks\At17
C:\Windows\System32\Tasks\At18
C:\Windows\System32\Tasks\At19
C:\Windows\System32\Tasks\At2
C:\Windows\System32\Tasks\At20
C:\Windows\System32\Tasks\At21
C:\Windows\System32\Tasks\At22
C:\Windows\System32\Tasks\At23
C:\Windows\System32\Tasks\At24
C:\Windows\System32\Tasks\At3
C:\Windows\System32\Tasks\At4
C:\Windows\System32\Tasks\At5
C:\Windows\System32\Tasks\At6
C:\Windows\System32\Tasks\At7
C:\Windows\System32\Tasks\At8
C:\Windows\System32\Tasks\At9
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At10.job
C:\Windows\Tasks\At11.job
C:\Windows\Tasks\At12.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At14.job
C:\Windows\Tasks\At15.job
C:\Windows\Tasks\At16.job
C:\Windows\Tasks\At17.job
C:\Windows\Tasks\At18.job
C:\Windows\Tasks\At19.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At20.job
C:\Windows\Tasks\At21.job
C:\Windows\Tasks\At22.job
C:\Windows\Tasks\At23.job
C:\Windows\Tasks\At24.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At5.job
C:\Windows\Tasks\At6.job
C:\Windows\Tasks\At7.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At9.job

 

감염 과정을 살펴보면 "C:\Program Files\server.exe" 파일로 압축 해제된 파일은 자신을 "C:\Windows\9E7041CA\svchsot.exe" 파일로 복제하도록 되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 9E7041CA = C:\Windows\9E7041CA\svchsot.exe

이를 통해 Windows 시작시 "C:\Windows\9E7041CA\svchsot.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 "C:\Windows\9E7041CA\svchsot.exe" 파일은 "2229307725.tk" DNS 서버에 쿼리 전송을 시도하며, 테스트 당시에는 C&C 서버 연결 또는 추가적인 파일 다운로드 및 명령 수행은 이루어지지 않았습니다.

이 악성코드에서 주목할 부분은 총 24개의 예약 작업을 등록하는 부분인데, 각각의 등록된 작업은 매일 00시~24시 정각마다 "C:\Windows\9E7041CA\svchsot.exe" 파일을 실행하도록 되어 있습니다.

 

위와 같은 등록 목적은 감염된 사용자가 시작 프로그램에 등록된 값을 임의로 제거한 경우를 대비하여 매시간마다 종료된 svchsot.exe 악성 파일을 재실행할 목적으로 보입니다.

실제 테스트를 진행해보면 오후 3시(15시) 정각이 되면 taskeng.exe(작업 스케줄러 엔진)이 실행되어 "C:\Windows\Tasks\At15.job → C:\Windows\System32\Tasks\At15" 값을 실행하여 "C:\Windows\9E7041CA\svchsot.exe" 파일을 로딩합니다.

실행된 "C:\Windows\9E7041CA\svchsot.exe" 악성 파일은 메모리에 상주하여 다양한 프로세스에 자신을 인젝션(Injection)하며, 차후 원격 서버로부터 명령어를 받아 악의적 기능 수행을 통한 정보 유출이 이루어질 수 있는 백도어(Backdoor) 기능이 있습니다.

 

그러므로 위와 같은 악성코드에 감염된 경우에는 Process Explorer 툴을 이용하여 "C:\Windows\9E7041CA\svchsot.exe" 프로세스를 찾아 종료한 후, 생성된 악성 파일 및 예약 작업값을 모두 삭제하시기 바랍니다.

 

마지막으로 토렌트(Torrent) 공유 방식을 많은 사용자들이 이용하는 점을 노려 다양한 방식으로 악성 프로그램을 유포하고 있으므로 파일 실행시 확장자명을 꼼꼼하게 확인하는 습관을 가지시기 바라며, 다운로드된 파일 역시 동영상 파일처럼 위장한 경우도 많을 것으로 보이므로 주의하시기 바랍니다.

728x90
반응형