울지않는벌새 : Security, Movie & Society

LoL Skins 프로그램의 진단 문제 (2013.7.24)

벌새::Analysis

리그 오브 레전드(League of Legends : LoL) 게임의 영웅 캐릭터 스킨(Skin)을 외부 프로그램을 이용하여 임의로 변경할 수 있는 해외에서 제작된 LoL Skins 프로그램에 대해 일부 보안 제품에서 진단하는 부분에 대해 살펴보도록 하겠습니다.

 

우선 LoL Skins 프로그램은 개인적으로 봐서는 정상적인 게임을 비공식적인 프로그램을 통해 변경을 시도하는 기능을 가지고 있으므로 게임상에서 공식적으로 허용된 것인지는 알지 못하지만, 국내에서 인터넷 게시판 또는 블로그 첨부 파일로 배포가 이루어지는 과정에서 악성 프로그램으로 변경될 수 있다는 점은 분명히 조심해야 합니다.(※ 단순히 크랙(Crack)과 유사한 프로그램이므로 보안 제품에서 진단할 수 있다고 생각하는 것은 매우 위험합니다.)

LoL Skins 프로그램의 해외 공식 사이트에서 제공하는 파일과 국내 블로그에서 배포하는 파일 중 하나를 먼저 비교해 보도록 하겠습니다.

 

국내 블로그 배포 파일와 해외 공식 사이트 배포 파일에서는 파일 구성면에서 LoL Skins 실행 파일(LoLSkins.exe)의 일부 변경되어 있는 것을 확인할 수 있지만, 실제 동작에서는 큰 차이가 없습니다.

  • 국내 블로그 배포 파일(LoLSkins.exe) - MD5 : 989164565385f4d15d50e67695faedea
  • 해외 공식 사이트 배포 파일(LoLSkins.exe) - MD5 : 199dab6c9b7ed2e541edd9e11922efd2

LoLSkins.exe 파일만을 비교해보면 해외 공식 사이트 배포 파일보다 이후에 제작된 것으로 보이며, 안랩(AhnLab) 클라우드 평판에서는 대부분의 사용자가 실행을 허용하는 분위기로 보입니다.

LoLSkins.exe 파일을 실행하면 LoL Skins 공식 사이트 서버에 등록된 업데이트 정보를 체크하여 해외 파일 공유 서버에 등록된 파일을 다운로드하는 동작을 확인할 수 있습니다.

  • h**p://puu.**/3FKzY.exe <= LoLSkins._exe> (MD5 : aaf24ba83f05baf92aa3a99e22c62468) - AhnLab V3 : Trojan/Win32.Agent.R74911 (VT : 7/47)

참고로 다운로드를 시도하는 파일에 대하여 AhnLab V3, Hauri ViRobot 등 일부 보안 제품에서는 악성코드로 진단되고 있습니다.

  1. 사용자가 실행한 LoLSkins.exe 파일을 LoLSkins.old 파일명으로 이름 변경
  2. 인터넷 임시 폴더에 다운로드된 LoLSkins._exe 파일을 LoLSkins.new 파일명으로 이름 변경
  3. LoLSkins.new 파일을 사용자가 실행한 LoLSkins.exe 파일로 교체

이를 통해 기존에 존재하던 LoLSkins.exe 파일을 특정 서버에서 다운로드된 파일로 업데이트를 진행한 후, "LoL Skins updated" 창을 통해 재실행을 요구하는 메시지를 확인할 수 있습니다.

사용자가 LoLSkins.exe 파일을 재실행하면 "폴더 찾아보기" 창을 통해 Riot 게임이 설치된 폴더를 사용자로 하여금 지정하도록 합니다.

정상적으로 Riot 게임 폴더 지정과 게임을 실행하면 LoL Skins 프로그램을 통해 영웅 캐릭터의 스킨을 변경할 수 있을 것으로 보입니다.

우선 LoL Skins 프로그램에 대한 보안 제품의 진단 문제를 간단하게 살펴보면 위와 같은 비공식적으로 영웅 캐릭터 스킨 변경을 위해 신뢰성이 의심가는 프로그램을 사용할 경우, LoLSkins.exe 파일을 실행시마다 특정 서버에서 업데이트 정보를 바탕으로 자동 업데이트가 이루어지고 있습니다.

 

이 과정에서 파일 공유 서버에 등록된 파일을 받아오는데 해당 파일이 만약 악성 파일로 교체가 이루어질 경우 사용자는 단순히 이런 계열의 프로그램은 보안 제품에서 진단한다는 논리로 클라우드 평판을 허용할 경우 자신도 모르게 시스템 감염이 이루어질 수 있습니다.

 

파일의 신뢰성과 파일 다운로드 서버의 신뢰성 문제가 분명히 존재하는 부분이므로 현재는 악의적인 기능이 없더라도 차후 외부 해킹 또는 프로그램 제작자의 변심으로 언제든지 악용 가능성이 존재하므로 주의하시기 바랍니다.

또한 위와 함께 자동으로 LoLPlus+ 웹 사이트가 생성되어 리그 오브 레전드(League of Legends : LoL) 게임을 하는 과정에서 게임핵 기능을 할 수 있는 프로그램을 홍보하고 있습니다.

LoLPlus+ 웹 사이트에서 제공하는 압축 파일을 다운로드하여 내부를 확인해보면 LoLPlus.exe 실행 파일(MD5 : 1ad14834295999d2a7fe7d16629c91f3)이 포함되어 있으며, AhnLab V3 보안 제품에서는 Worm/Win32.Luder.C174306 (VT : 3/47) 진단명으로 진단되고 있습니다.

참고로 LoLPlus.exe 파일은 2013년 6월 8일경 최초 보고되었으며, 국내에서 많은 사용자가 있는 것으로 보입니다.

파일을 실행하면 LoLPlus+ 웹 서버에서 업데이트 정보를 체크하여 LoL Skins 프로그램과 마찬가지로 해외 파일 공유 서버에서 추가적인 다운로드를 시도합니다.

  • h**p://puu.**/3FKBw.plus <= lol.plus> (MD5: f5334255e36e4c8fa3f144edc2081422) :: Win32 DLL 타입

이를 통해 기존에 존재하는 lol.plus 파일(MD5: 82aa15e6982297d9359809b988bc51fe)을 d.old 파일명으로 이름을 변경 및 삭제한 후, 다운로드된 파일을 lol.plus 파일로 저장합니다.

설치된 프로그램은 리그 오브 레전드(League of Legends : LoL) 게임시 사용자에게 유리한 정보를 제공하는 게임핵 기능을 하는 것으로 보입니다.

 

LoLPlus+ 프로그램의 경우에도 LoL Skins 프로그램과 마찬가지로 실행시마다 특정 서버에서 추가적인 다운로드를 통한 업데이트 기능을 가지고 있지만, 이처럼 불법적인 성격을 가진 프로그램은 차후 외부 해킹 또는 제작자의 변심 등을 통해 특정 시점에서 악성 프로그램으로 변경될 수도 있습니다.

 

그러므로 게임의 편의를 위해 신뢰할 수 없는 프로그램을 사용하는 사용자들의 보편적인 마인드(게임핵은 보안 제품에서 진단할 수 있다.)가 어느 순간 시스템 감염의 통로로 악용될 수 있다는 점을 분명하게 인식하시고 되도록 사용을 하지 않는 것이 좋을 것 같습니다.