울지않는벌새 : Security, Movie & Society

바람의 나라 경험치 계산기를 이용한 백도어(Backdoor) 유포 (2014.3.19)

벌새::Analysis

최근 2013년 10월~2014년 2월경까지 네이버(Naver) 블로그에 (주)넥슨코리아 업체에서 서비스하는 온라인 게임 바람의 나라에서 사용할 수 있는 경험치 계산기 파일로 위장한 악성 파일을 통해 2,000여만원의 금전적 수익을 올린 사이버 범죄자가 검거되었다는 소식이 있습니다.

 

  <강원신문> 원주경찰, 악성코드 제작·유포한 피의자 검거 (2014.3.19)

 

이에 추가적인 조사를 진행해보면 여전히 네이버(Naver) 블로그에서는 유사한 악성 파일이 발견되고 있기에 2013년 5월경 게시한 바람의 나라 경험치 계산기 악성 파일을 통해 이루어질 수 있는 문제에 대해 살펴보도록 하겠습니다.

확인된 특정 네이버(Naver) 블로그에서는 바람의 나라 경험치 계산기로 소개된 압축 파일(경험치계산기+V0.5.zip)을 첨부하여 다운로드를 유도하고 있습니다.

압축 파일 내부에는 "경험치계산기+V0.5.exe" 파일<SHA-1 : a6c9d8c1741636a6ae23cade4e1203e80f2885bc - AhnLab V3 : Trojan/Win32.Downloader.C170429 (VT : 33/50)>이 동봉되어 있으며, 해당 실행 파일은 2종의 파일이 실행 압축되어 있습니다.

  • 경험치계산기 V0.5.exe (SHA-1 : 6e786acdc1da3808e749a5ceaf62c4e679fe776c)
  • Windows Error.exe (SHA-1 : 8b5b8252ad6ef89c9ba23b48f97f1629e5106ca1) - MSE : Backdoor:Win32/Bifrose.gen!F (VT : 28/49)

1. "경험치계산기 V0.5.exe" 파일 기능

 

사용자가 압축 파일 내부에 있는 "경험치계산기+V0.5.exe" 악성 파일을 사용할 목적으로 실행할 경우, 압축되어 있던 경험치 계산기 파일이 "C:\경험치계산기 V0.5.exe" 파일로 생성 및 실행됩니다.

실행된 파일은 PASTEBIN 웹 서버에서 경험치계산기.txt 문서를 다운로드 시도하지만 "사용 불가 : 인증서버 닫힘"이라는 메시지만 출력되어 더 이상 진행되지 않습니다.

개인적으로 경험치 계산기의 동작을 본 적이 없기에 인터넷 검색을 통해 확인해보면 AutoHotkey를 이용해 제작된 것으로 보이며, 실제 악성코드 유포를 목적으로 사용되는 경우에는 항상 인증 서버가 닫혀있다는 메시지만 생성하는게 아닌가 판단됩니다.

 

2. "Windows Error.exe" 파일 기능

 

사용자가 경험치 계산기 파일(경험치계산기+V0.5.exe)을 실행함에 따라 사용자 몰래 실행되는 Windows Error.exe 악성 파일의 기능을 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Windows Error.exe

 - SHA-1 : 8b5b8252ad6ef89c9ba23b48f97f1629e5106ca1
 - MSE : Backdoor:Win32/Bifrose.gen!F (VT : 28/49)


C:\Windows\TeamViewerQS.exe

 - SHA-1 : 8b5b8252ad6ef89c9ba23b48f97f1629e5106ca1
 - MSE : Backdoor:Win32/Bifrose.gen!F (VT : 28/49)

 

C:\Windows\winblog0506_7236999C
C:\Windows\winblog0506_7236999C\ServerLogs
C:\Windows\winblog0506_7236999C\ServerLogs\(사용자 계정)
C:\Windows\winblog0506_7236999C\ServerLogs\(사용자 계정)\19-03-2014

파일 실행을 통해 압축되어 있던 Windows Error.exe 악성 파일은 "C:\Windows Error.exe" 파일로 생성된 후, 자기 자신을 "C:\Windows\TeamViewerQS.exe" 파일명으로 자가 복제합니다.

 

TeamViewer 파일처럼 생성된 "C:\Windows\TeamViewerQS.exe" 악성 파일은 실행되어 "C:\Windows\System32\htm.htm" 파일 생성 / 실행 / 삭제를 통해 Internet Explorer 웹 브라우저(C:\Program Files\Internet Explorer\iexplore.exe)를 백그라운드 방식으로 실행한 후 자신(TeamViewerQS.exe)은 종료 처리합니다.

이렇게 동작하는 악성코드는 사용자가 프로세스를 확인하여도 악성 프로세스는 발견되지 않으며, Internet Explorer 웹 브라우저(iexplore.exe)의 CPU가 항상 30% 수준으로 치솟는 동작만이 눈에 띄게 됩니다.

 

(1) "winblog.codns.com" C&C 서버 통신 시도

감염된 환경에서는 "HKEY_CURRENT_USER\Software\winblog" 레지스트리 정보와 같이 주기적으로 iexplore.exe 프로세스가 "C:\Windows\explorer.exe" 파일에 원격 스레드를 추가하여 "winblog.codns.com:329" C&C 서버와 통신을 시도하는 모습을 발견할 수 있습니다.

 

(2) 시작 프로그램(winblog) 레지스트리 체크

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - winblog = C:\Windows\TeamViewerQS.exe

백그라운드 방식으로 실행된 iexplore.exe 프로세스는 주기적으로 시작 프로그램으로 등록된 "winblog" 키값을 체크하여 Windows 시작시 자동 실행되도록 합니다.

 

(3) 키로깅(Keylogging) 기능

 

감염된 환경에서는 "C:\Windows\winblog0506_7236999C\ServerLogs\(사용자 계정)" 폴더 내부에 (일)-(월)-(년도) 패턴을 가진 암호화된 파일을 생성하여 PC에서 발생하는 키로깅(Keylogging) 정보를 수집하여 기록합니다.

 

  키로깅(KeyLogging) 기능을 가진 Crazy Arcade 악성코드 유포 주의 (2013.09.30)

 

이는 기존의 apocalypse 관련 백도어(Backdoor)와 유사한 방식이므로 참고하시기 바랍니다.

 

(4) 프로세스 보호 기능

 

Windows 부팅을 통해 자동 실행되는 iexplore.exe 프로세스는 사용자에 의한 프로세스 종료시 자동으로 재실행되도록 프로세스 보호 기능을 가지고 있습니다.

그러므로 프로세스 종료를 위해서는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 GMER 도구를 실행하여 "Processes" 메뉴에 존재하는 "C:\Program Files\Internet Explorer\iexplore.exe" 프로세스를 선택하여 "Kill process" 버튼을 클릭하여 종료할 수 있습니다.

 

그 외 바람의 나라 경험치 계산기 악성코드 감염을 통해 시스템 시작시 악성 파일을 자동으로 실행할 목적을 시작 프로그램(winblog) 등록 외에 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" 레지스트리 값을 수정하여 "C:\Windows\TeamViewerQS.exe" 파일을 자동 실행하도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\Windows\system32\userinit.exe,
:: 감염 전
 - Userinit = C:\Windows\system32\userinit.exe,C:\Windows\TeamViewerQS.exe :: 감염 후

그러므로 레지스트리 편집기(regedit)를 실행하여 Userinit 문자열 편집창을 오픈하여 값 데이터에 추가된 "C:\Windows\TeamViewerQS.exe" 파일 정보를 찾아 삭제하시기 바랍니다.

 

이상과 같이 온라인 게임 이용시 편의를 목적으로 제작된 신뢰할 수 없는 파일은 외형적으로는 사용자가 원하는 기능을 제공하는 것처럼 제작되어 있지만 그 이면에는 악의적 기능을 수행하는 경우가 많으며, 특히 이런 류의 프로그램은 백신 프로그램에서 악성으로 진단한다는 잘못된 선입견으로 백신 진단을 무시하는 일이 없도록 하시기 바랍니다.

 

마지막으로 해당 악성코드와 연관성이 있는 변종 파일에 대한 Hash값은 다음과 같습니다.

  1. SHA-1 : 086e4a1492a424ff2c453eafd84e3a521f4bfe2f
  2. SHA-1 : 152cfce4e77cc91b6fddcdd804ece9c2b11ac9e0
  3. SHA-1 : 163d15027c2eba46417e36a37ba20aa3c3e864f7
  4. SHA-1 : 1cc77533e6d029ab9bcfc73089af579a38d2a635
  5. SHA-1 : 2c133eb02d425770e129141ed24f04b7c1a2ffc6
  6. SHA-1 : 2c8d9d4cf93579c0ce0e534eafcb5f9439dc8181
  7. SHA-1 : 4d30a853812541b4ec2cecb31262509ef8615b7e
  8. SHA-1 : 5591617f1eb3cd45339e35a764a394b2add42b0f
  9. SHA-1 : 60ef83c1e56b1478dd48282edbdd5ddb0141af49
  10. SHA-1 : 6d7b3b0f56c902e203733492a286893b66623a5f
  11. SHA-1 : 79b0f374e2f0a3a5bf5a20042e094b5f477ae651
  12. SHA-1 : 926b8d42ec9b2c0dfd83f360c5333d727444e4bf
  13. SHA-1 : 929290183447fde3ae58edfc2be17627f72bf51a
  14. SHA-1 : 9ba69e428f6a0c9c766a462019c981984d036f13
  15. SHA-1 : a4cf964f3f56c3612c5e9716a4f3a09fe19358c4
  16. SHA-1 : a7fe7c2e00e804228cf29f3a1707f4dd3bbfcd90
  17. SHA-1 : aea8dc8b9fc2ad785639053342e4c5fca03024d0
  18. SHA-1 : cb7d0ae81365cb8ea83601fb1b7529fba3800fc2
  19. SHA-1 : dd47bc039a83151aa12df61ddbc585df539debda
  20. SHA-1 : e3142c95e0867dde07639c702014687d559c7767