본문 바로가기

벌새::Analysis

DDoS 공격 기능을 가진 Orbit Downloader 프로그램 주의 (2013.8.24)

최근 ESET 보안 업체에서 파일 및 동영상 다운로드 프로그램으로 유명한 Orbit Downloader가 사용자 몰래 DDoS 공격을 할 수 있는 위험성에 대해 경고를 하였습니다.

  <We Live Security> Orbital Decay: the dark side of a popular file downloading tool (2013.8.21)

 

  <Help Net Security> Popular Windows downloader has secret DDoS capability (2013.8.23)

 

Orbit Downloader 프로그램은 개인적으로도 2007(8)년부터 2013년 3월경까지 꾸준하게 사용하였던 프로그램이며, 해외 공개 자료실에서도 많은 사용자 층을 가지고 있던 프로그램으로 상당히 충격적인 발표가 아닐 수 없습니다.

 

특히 꾸준히 업데이트가 이루어지고 있던 Orbit Downloader 프로그램이 2012년 하반기경부터 수상한 트래픽이 발생하였으며, 2013년 3월경 프로그램 실행 후 인터넷이 연결되지 않는 문제 등으로 인해 프로그램 삭제를 통해 더 이상 사용하지 않고 있었는데 DDoS 공격에 사용되었다고 합니다.

슬퍼2

 

ESET 보안 업체에서 조사한 내용에 따르면 2012년 12월 25일자 Orbit Downloader 4.1.1.14 버전(MD5 : 751ce449d33d0c7320861bc1b655cccb), 2013년 1월 10일자 Orbit Downloader 4.1.1.15 버전에서 프로그램 실행시 악의적인 동작이 확인되었다고 밝히고 있으며, 개인적인 테스트에서는 현재 공식 홈 페이지에서 제공하는 Orbit Downloader 4.1.1.18 버전(MD5 : a14d5266da3325bf96e7c73eede18c26)을 통해 확인해 보았습니다.

우선 Orbit Downloader 프로그램의 설치 과정에서는 TuneUp Utilities 2013 프로그램과 같은 불필요한 프로그램(PUP)이 포함되어 있지만, 이런 프로그램으로 인해 DDoS 공격과 관련된 이슈가 발생한 것은 아닙니다.

프로그램 설치 완료 시점에서는 WinPcap 네트워크 드라이버 프로그램의 설치를 유도하는 동작이 존재하며, 이는 Orbit Downloader 4.1.1.18 버전 또는 이전 버전부터 포함되었던 것으로 기억되고 있습니다.

 

ESET 분석에서는 WinPcap 드라이버 설치의 유무에 따라 2가지 형태의 공격을 확인할 수 있다고 합니다.

 

  1. WinPcap 설치된 환경 : 랜덤(Random)한 IP 주소를 이용하여 80 포트를 통해 조작된 TCP SYN 패킷 전송을 통한 SYN Flood 공격
  2. WinPcap 미설치 환경 : TCP 패킷을 HTTP 연결을 통해 80 포트에 요청하고 53번 포트를 통해 UDP 데이터를 전송

이렇게 프로그램이 설치된 후, 사용자가 Orbit Downloader 프로그램을 실행하면 다음과 같은 연결이 이루어집니다.(※ Orbit Downloader 프로그램의 기본값에서는 시스템 시작시 자동 실행하도록 설정되어 있으므로 실제 사용자 중 상당수는 Windows 시작과 함께 DDoS 공격에 이용되었을 수 있습니다.)

 

사용자가 프로그램을 실행하면 "C:\Program Files\Orbitdownloader\orbitdm.exe" 파일(MD5 : 14be01db34df696adfb263805437fa60)이 실행되어 Orbit Downloader 프로그램이 동작하며, 해당 파일에 대해 Hauri ViRobot 보안 제품에서는 Trojan.Win32.S.Agent.2674488 (VT : 1/46) 진단명으로 진단되고 있습니다.

  • h**p://obupdate.orbitdownloader.com/update/myinfo.php

실행된 orbitdm.exe 파일은 업데이트 서버에서 HTTP GET 방식으로 정보를 체크하여 공격에 사용되는 DLL 구성 파일을 사용자 몰래 다운로드를 시도합니다.

 

  • h**p://obupdate.orbitdownloader.com/update/ido.ipl (MD5 : 809d5a4af232f08f88d315b116e47828) - ESET NOD32 : a variant of Win32/DDoS.Orbiter.A / MSE : DDoS:Win32/Orbit.A (VT : 17/45)

현재 확인된 구성 파일 이외에 다수의 변종 파일이 존재하였으며, 테스트에서 받아온 파일은 2013년 8월 16일경 최초 확인되고 있습니다.

구성 파일을 살펴보면 capp=, worker=, exclude=, param=, endtime=, begintime= 등과 같은 공격 설정 옵션과 다수의 랜덤(Random)한 IP 주소가 포함되어 있습니다.(※ ESET 보고서에서는 실제 모니터링 중에 테스트 목적으로 특정 URL 사이트를 추가한 부분도 공개하고 있습니다.)

  • h**p://obupdate.orbitdownloader.com/update/param.php?lang=KOR

또한 추가적인 연결을 통해 Orbit Downloader 프로그램 설치자의 언어를 체크하는 전송하는 부분을 확인할 수 있습니다.

 

  • h**p://obupdate.orbitdownloader.com/update/il.php

이를 통해 암호화된 il.php 구성값을 받아와 제공된 공격 리스트에 대한 DoS 공격을 수행하게 되며, 테스트 당시에는 리스트가 포함되어 있지 않는 관계로 타켓이 되는 사이트는 확인하지 못하였습니다.

 

참고로 ESET 분석 보고서에서는 공격 당시 확인된 주소와 패턴이 공개되어 있으며, 타켓 URL 주소값 뒷단에 랜덤(Random)한 IP 주소를 추가하는 방식으로 DoS 공격을 수행합니다.

약 AhnLab V3 365 Clinic 3.0 보안 제품이 설치된 환경인 경우 "행위 기반 침입 탐지" 기능을 통해 "IP 스푸핑" 탐지를 확인할 수 있으며, 이는 Orbit Downloader 프로그램 실행을 통해 orbitdm.exe 파일이 랜덤(Random)한 IP 주소를 생성하여 패킷을 외부로 내보내는 공격을 탐지한 것입니다.

위와 같은 TCP SYN Flood 공격을 통해 Orbit Downloader 프로그램이 설치된 일부 환경에서는 프로그램이 실행된 환경에서 웹 브라우저를 통한 웹 사이트 접속이 이루어지지 않는 등의 문제를 경험할 수도 있습니다.

 

앞에서 언급한 것처럼 Orbit Downloader 프로그램을 장기간에 걸쳐 사용한 사용자 입장에서 작년(2012년)까지는 꾸준한 업데이트를 통해 유용하게 사용하다가, 특정 버전 업데이트 이후부터 프로그램 실행 후 트래픽 유발 등의 모습을 보여서 상당히 의심을 하였습니다.

 

하지만 프로그램 자체가 파일 다운로드 기능, 사용자 PC에 설치된 소프트웨어 버전 체크, P2P 기능 등이 포함되어 패킷 발생이 많은 점으로 인해 쉽게 눈치챌 수 없었던 점과 외부에서 받아오는 DDoS 공격과 관련된 정보가 암호화가 심하여 쉽게 눈치챌 수 없었다는 점에서 탐지가 어려웠던 것 같습니다.

 

현재 일부 보안 업체에서는 DDoS 공격과 관련된 구성 파일을 진단에 추가하기 시작하였으며, 해외 공개 자료실에서도 Orbit Downloader 프로그램을 삭제하는 정책으로 변경이 이루어지고 있다고 알려져 있습니다.

국내의 경우에도 네이버 소프트웨어(Naver Software), 심파일, 앳파일 등과 같은 공개 자료실에 Orbit Downloader 프로그램이 공개되어 있다는 점에서 추가적인 조사를 통해 프로그램이 모두 제거되기를 희망합니다.

 

 
  • 실험용하드디스크에설치되어져있는데.이런것이 있는줄 몰랐네요.

  • 너구리한사발 2013.09.06 08:28 댓글주소 수정/삭제 댓글쓰기

    저도 오랜만에 Orbit 설치하는데 Wincap떠서 이상한 느낌이 들어서 그것만 취소 눌렀는데 취소누르길 잘했군요

  • 이 글 보고 학교 컴에 깔아봤더니
    알약에서 트로이목마 2개를 잡네요.

  • 이럴수가 2013.10.20 14:23 댓글주소 수정/삭제 댓글쓰기

    왠지 요즘따라 인터넷을 키면 연결이 안된다던가 하는 일이 빈번했는데 orbit때문이었군요... 잘 보고갑니다.

  • 이전버전 2013.10.28 00:19 댓글주소 수정/삭제 댓글쓰기

    그러면 그 이전 버전들은 사용해도 괜찮나요? 전 4.1.0.2버전 사용중이긴 합니다만..
    글을 읽어보니 4.1.1.14버전부터 이상한점이 발견됬다고 하던데 말이죠.
    그 이전버전은 사용해도 무방한지 알고 싶네요...

    • 그 이전 버전을 확인해보지 못하여 확답하기 어렵습니다. 하지만 이 프로그램은 자동 업데이트 방식이 아닌 것으로 기억되므로 구버전 사용은 큰 문제가 없을 것으로 생각됩니다.

  • 김지은 2013.11.15 20:53 댓글주소 수정/삭제 댓글쓰기

    그러면 mms 다운받는 프로그램 중에 안전한 프로그램은 없을까요?

    • 요즘 제가 사용하는 프로그램은 EagleGet입니다.

      http://www.eagleget.com/

      추가적으로 설치되는 제휴 프로그램도 없고 유튜브 등의 다운로드도 지원하고 있는 것으로 알고 있습니다.

      업데이트도 꾸준하고 사용상 크게 불편하지 않으리라 생각됩니다.^^

  • 이럴수가 2013.11.17 08:53 댓글주소 수정/삭제 댓글쓰기

    계속 Orbit 사용중이었는데, 최근 인터넷이 오락가락 하기도 하고 iptv도 툭툭 끊기는 문제가 있었는데, 이것 때문이었을지도 모르겠네요 ㅜ(지금은 새로 포맷한 상태입니다.)
    이젠 오픈소스 말고는 아무것도 못믿겠네요 ㅜㅜ 위에 EagleGet 한번 써볼게요 감사합니다 ㅎ

  • 헐.. 느려지는 현상은 없었는데.. 이런 스파이웨어가 깔려있었군요.. 좋은 정보 감사합니다.

  • asdasd 2013.12.29 20:45 댓글주소 수정/삭제 댓글쓰기

    엄청느려지는 현상있었는데 역시 뭔가 문제있었던게맞나보네 ㅋㄷ;
    그거지우고 프로세스클린하고 바이러스검사하고 할만한검사다하고나니깐 괜찮던데 ㄷ
    이제 동영상같은건 뭘로다운받지;; ㅠ

  • 이글보고 이글젯 사용해보려하는데 설치후부터 익스플로어가 꺼지는 현상이 생기네요;; 이글젯을 삭제하면 다시 되긴하는데 어떻게 해결방법을 알 수 있을까요?ㅎ

    • EagleGet 설치 후 ie 웝 브라우저의 추가 기능 관리를 열어 프로그램이 등록한 bho 항목을 찾아 "사용 안 함"으로 변경해 보시기 바랍니다. 한국어 os에서 좀 충돌이 있더군요.

    • BlogIcon Bubble 2014.03.22 11:52 댓글주소 수정/삭제

      답변감사합니다 ㅎ 혹시 유튜브에 올라온 동영상만 다운가능한건가요??

    • 특별히 유튜브만 되는 것이 아니라 웹 사이트 동영상 다운로드 기능이라고 보시면 됩니다. 물론 모든 동영상이 가능한 것은 아닐 수 있습니다.

  • Pop 2014.05.01 00:12 댓글주소 수정/삭제 댓글쓰기

    오픈소스인 free download manager나 벌새님이 직접 추천하신 이글겟같은 신뢰있는 추천을 통해 소프트웨어를 설치해야겠군요....
    저는 free download manager 사용중이지만 좋은 프로그램 추천 감사합니다.

  • 허허 2014.07.21 23:11 댓글주소 수정/삭제 댓글쓰기

    avg가 난리를 치는 게 이 녀석 때문이었네요. 그나마 여기와서 이유를 알았습니다. 자꾸 트로이 목마가 검색된다길래 설마 orbit에서 그랬겠나 싶었는데 사실이었네요. 제안하신 프로그램을 사용해야겠습니다. 추천 감사드립니다.

  • 구버전 2015.03.16 21:18 댓글주소 수정/삭제 댓글쓰기

    와 오르빗 업데이트안하길잘한건가 지금버전2.8.17인데 ㅋ
    혹시 그래도 위험한가요?

    • 되도록이면 사용하지 마시고 삭제하시고 http://www.eagleget.com/ 프로그램을 사용해 보시기 바랍니다.

      해당 프로그램은 매우 깨끗하며 매우 유사한 기능을 제공합니다.

  • 이글갯어려워 2015.05.10 00:09 댓글주소 수정/삭제 댓글쓰기

    이글겟 사용법이라고 검색해도 안나오는데..어떻게 사용하는지 알 수 없을까요?

    • EagleGet 프로그램은 국내 사용자가 매우 적어서 리뷰가 없는 듯합니다.

      프로그램이 복잡한 것도 아니고 고등학교 수준의 영어만 아시면 설치하시고 직접 사용해 보시면 금새 이용이 가능하실겁니다.

      그리고 조만간 블로그를 통해 프로그램 리뷰를 작성해 보도록 하겠습니다.

    • http://hummingbird.tistory.com/5904

      유튜브 동영상 다운로드 방법에 대해 작성했으니 잘 활용해 보시기 바랍니다.

  • EagleGet 프로그램 리뷰가 삭제되었나요? 문제점이 발견되었나요?

  • 어이구 2015.10.12 17:55 댓글주소 수정/삭제 댓글쓰기

    허...
    10년 가까이 ORbit downloader를 애용했는데...
    날벼락같은 소식이네요.
    사실 인터넷 연결이 가끔 안될 때가 있었는데도 대충 크롬을 쓰면서 간과하고 있었는데
    이런 속사정이 있었군요.
    떳떳한건 아니지만 다양한 프로토콜을 지원하는건 아직도 ORBIT만한 프로그램을 못본 것 같은데 최소한 RTMP RTSP 로 된 동영상 정도는 잘 받아지는 ORBIT의 대체이 없을까요?

    • 개인적으로 EagleGet (http://www.eagleget.com/) 프로그램을 사용합니다.

      Orbit과 상당히 유사하면서도 깨끗한 프로그램이므로 체험해 보시기 바랍니다.

  • 안녕하세요
    벌새님이 추천글을보고 EagleGet(v2.0.4.7)을 깔아 봤는데요
    EagleGet 설치 - 재부팅 - EagleGet 에서 미디어 그래버 눌러서 업데이트 받고

    Advanced SystemCare 9 최적화 중에 스파이웨어가 하나 잡히더라고요
    HKEY_CURRENT_USER\Software\Classes\AppID\{B415CD14-B45D-4BCA-B552-B06175C38606}
    misleading.fakeav 라고 진단하던데

    포멧하고 윈도우10 설치하자마자 검출된거라 영 찝찝하네요
    백신(비트디펜더)에서는 안잡던데 오진일까요?

    • 안녕하세요 벌새님의 추천글을보고 EagleGet(v2.0.4.7)을 깔아 봤는데요

      EagleGet 설치 - 재부팅 - EagleGet 에서 미디어 그래버 눌러서 업데이트 받은후에

      Advanced SystemCare 9로 최적화를 하는데 스파이웨어가 하나 잡히더라고요

      이글겟 깔면서 생성되는 레지 같은데

      HKEY_CURRENT_USER\Software\Classes\AppID\{B415CD14-B45D-4BCA-B552-B06175C38606} misleading.fakeav

      라고 진단하던데 포멧하고 윈도우10 설치하자마자 검출된거라 영 찝찝하네요 백신(비트디펜더)에서는 안잡던데 오진일까요?

      (위에 글 지우고 싶은데 비밀번호를 까먹었어요 ㅠㅠ)

    • Advanced SystemCare 9 제품 자체도 해외 일부 백신에서는 PUP로 진단합니다. 그렇듯이 개인적으로는 SystemCare 검사 기능은 신뢰하지는 않습니다.

      또한 EagleGet 프로그램은 광고 기능은 포함되어 있지 않으며, 진단된 레지스트리 값의 경우 악성으로 진단되는 프로그램에서도 사용될 수 있는 공용값으로 보입니다.