울지않는벌새 : Security, Movie & Society

DDoS 공격 기능을 가진 Orbit Downloader 프로그램 주의 (2013.8.24)

벌새::Analysis

최근 ESET 보안 업체에서 파일 및 동영상 다운로드 프로그램으로 유명한 Orbit Downloader가 사용자 몰래 DDoS 공격을 할 수 있는 위험성에 대해 경고를 하였습니다.

  <We Live Security> Orbital Decay: the dark side of a popular file downloading tool (2013.8.21)

 

  <Help Net Security> Popular Windows downloader has secret DDoS capability (2013.8.23)

 

Orbit Downloader 프로그램은 개인적으로도 2007(8)년부터 2013년 3월경까지 꾸준하게 사용하였던 프로그램이며, 해외 공개 자료실에서도 많은 사용자 층을 가지고 있던 프로그램으로 상당히 충격적인 발표가 아닐 수 없습니다.

 

특히 꾸준히 업데이트가 이루어지고 있던 Orbit Downloader 프로그램이 2012년 하반기경부터 수상한 트래픽이 발생하였으며, 2013년 3월경 프로그램 실행 후 인터넷이 연결되지 않는 문제 등으로 인해 프로그램 삭제를 통해 더 이상 사용하지 않고 있었는데 DDoS 공격에 사용되었다고 합니다. 슬퍼2

 

ESET 보안 업체에서 조사한 내용에 따르면 2012년 12월 25일자 Orbit Downloader 4.1.1.14 버전(MD5 : 751ce449d33d0c7320861bc1b655cccb), 2013년 1월 10일자 Orbit Downloader 4.1.1.15 버전에서 프로그램 실행시 악의적인 동작이 확인되었다고 밝히고 있으며, 개인적인 테스트에서는 현재 공식 홈 페이지에서 제공하는 Orbit Downloader 4.1.1.18 버전(MD5 : a14d5266da3325bf96e7c73eede18c26)을 통해 확인해 보았습니다.

우선 Orbit Downloader 프로그램의 설치 과정에서는 TuneUp Utilities 2013 프로그램과 같은 불필요한 프로그램(PUP)이 포함되어 있지만, 이런 프로그램으로 인해 DDoS 공격과 관련된 이슈가 발생한 것은 아닙니다.

프로그램 설치 완료 시점에서는 WinPcap 네트워크 드라이버 프로그램의 설치를 유도하는 동작이 존재하며, 이는 Orbit Downloader 4.1.1.18 버전 또는 이전 버전부터 포함되었던 것으로 기억되고 있습니다.

 

ESET 분석에서는 WinPcap 드라이버 설치의 유무에 따라 2가지 형태의 공격을 확인할 수 있다고 합니다.

  1. WinPcap 설치된 환경 : 랜덤(Random)한 IP 주소를 이용하여 80 포트를 통해 조작된 TCP SYN 패킷 전송을 통한 SYN Flood 공격
  2. WinPcap 미설치 환경 : TCP 패킷을 HTTP 연결을 통해 80 포트에 요청하고 53번 포트를 통해 UDP 데이터를 전송

이렇게 프로그램이 설치된 후, 사용자가 Orbit Downloader 프로그램을 실행하면 다음과 같은 연결이 이루어집니다.(※ Orbit Downloader 프로그램의 기본값에서는 시스템 시작시 자동 실행하도록 설정되어 있으므로 실제 사용자 중 상당수는 Windows 시작과 함께 DDoS 공격에 이용되었을 수 있습니다.)

 

사용자가 프로그램을 실행하면 "C:\Program Files\Orbitdownloader\orbitdm.exe" 파일(MD5 : 14be01db34df696adfb263805437fa60)이 실행되어 Orbit Downloader 프로그램이 동작하며, 해당 파일에 대해 Hauri ViRobot 보안 제품에서는 Trojan.Win32.S.Agent.2674488 (VT : 1/46) 진단명으로 진단되고 있습니다.

  • h**p://obupdate.orbitdownloader.com/update/myinfo.php

실행된 orbitdm.exe 파일은 업데이트 서버에서 HTTP GET 방식으로 정보를 체크하여 공격에 사용되는 DLL 구성 파일을 사용자 몰래 다운로드를 시도합니다.

  • h**p://obupdate.orbitdownloader.com/update/ido.ipl (MD5 : 809d5a4af232f08f88d315b116e47828) - ESET NOD32 : a variant of Win32/DDoS.Orbiter.A / MSE : DDoS:Win32/Orbit.A (VT : 17/45)

현재 확인된 구성 파일 이외에 다수의 변종 파일이 존재하였으며, 테스트에서 받아온 파일은 2013년 8월 16일경 최초 확인되고 있습니다.

구성 파일을 살펴보면 capp=, worker=, exclude=, param=, endtime=, begintime= 등과 같은 공격 설정 옵션과 다수의 랜덤(Random)한 IP 주소가 포함되어 있습니다.(※ ESET 보고서에서는 실제 모니터링 중에 테스트 목적으로 특정 URL 사이트를 추가한 부분도 공개하고 있습니다.)

  • h**p://obupdate.orbitdownloader.com/update/param.php?lang=KOR

또한 추가적인 연결을 통해 Orbit Downloader 프로그램 설치자의 언어를 체크하는 전송하는 부분을 확인할 수 있습니다.

  • h**p://obupdate.orbitdownloader.com/update/il.php

이를 통해 암호화된 il.php 구성값을 받아와 제공된 공격 리스트에 대한 DoS 공격을 수행하게 되며, 테스트 당시에는 리스트가 포함되어 있지 않는 관계로 타켓이 되는 사이트는 확인하지 못하였습니다.

 

참고로 ESET 분석 보고서에서는 공격 당시 확인된 주소와 패턴이 공개되어 있으며, 타켓 URL 주소값 뒷단에 랜덤(Random)한 IP 주소를 추가하는 방식으로 DoS 공격을 수행합니다.

약 AhnLab V3 365 Clinic 3.0 보안 제품이 설치된 환경인 경우 "행위 기반 침입 탐지" 기능을 통해 "IP 스푸핑" 탐지를 확인할 수 있으며, 이는 Orbit Downloader 프로그램 실행을 통해 orbitdm.exe 파일이 랜덤(Random)한 IP 주소를 생성하여 패킷을 외부로 내보내는 공격을 탐지한 것입니다.

위와 같은 TCP SYN Flood 공격을 통해 Orbit Downloader 프로그램이 설치된 일부 환경에서는 프로그램이 실행된 환경에서 웹 브라우저를 통한 웹 사이트 접속이 이루어지지 않는 등의 문제를 경험할 수도 있습니다.

 

앞에서 언급한 것처럼 Orbit Downloader 프로그램을 장기간에 걸쳐 사용한 사용자 입장에서 작년(2012년)까지는 꾸준한 업데이트를 통해 유용하게 사용하다가, 특정 버전 업데이트 이후부터 프로그램 실행 후 트래픽 유발 등의 모습을 보여서 상당히 의심을 하였습니다.

 

하지만 프로그램 자체가 파일 다운로드 기능, 사용자 PC에 설치된 소프트웨어 버전 체크, P2P 기능 등이 포함되어 패킷 발생이 많은 점으로 인해 쉽게 눈치챌 수 없었던 점과 외부에서 받아오는 DDoS 공격과 관련된 정보가 암호화가 심하여 쉽게 눈치챌 수 없었다는 점에서 탐지가 어려웠던 것 같습니다.

 

현재 일부 보안 업체에서는 DDoS 공격과 관련된 구성 파일을 진단에 추가하기 시작하였으며, 해외 공개 자료실에서도 Orbit Downloader 프로그램을 삭제하는 정책으로 변경이 이루어지고 있다고 알려져 있습니다.

국내의 경우에도 네이버 소프트웨어(Naver Software), 심파일, 앳파일 등과 같은 공개 자료실에 Orbit Downloader 프로그램이 공개되어 있다는 점에서 추가적인 조사를 통해 프로그램이 모두 제거되기를 희망합니다.