본문 바로가기

벌새::Analysis

디시인사이드 납치 사이트(api.tistory.us)를 이용한 악성코드 유포 주의 (2014.3.21)

2012년경부터 네이버(Naver) 검색을 통해 디시인사이드(DCInside) 커뮤니티 사이트를 접속하는 과정에서 "api.tistory.us" 웹 사이트를 경유하여 다양한 웹 사이트로 납치를 하는 문제에 대해 소개한 적이 있었습니다.(※ 호기심에 해당 웹 사이트 접속시 악성코드 감염이 발생할 수 있으므로 주의하시기 바랍니다.)

 

  디시인사이드(DCInside) 접속시 "api.tistory.us" 사이트를 이용한 납치 문제 (2014.1.5)

 

  <트라 세상!! 열정!!> 오랜만에 보는 302 Redirection (2014.3.7)

 

당시 분석글에서는 납치 사이트(api.tistory.us)를 경유하는 과정에서 악성코드 유포 행위가 발생할 가능성에 대해 언급하였으며, 2014년 3월경부터 실제로 납치 사이트(api.tistory.us)를 경유하는 과정에서 악성코드 유포 행위가 이루어지고 있다는 정보가 있었습니다.

해당 화면은 보안 패치가 정상적으로 설치된 PC 환경에서 연결된 모습입니다.

실제 오늘 저녁(2014년 3월 21일 오후 7시경) 네이버(Naver) 검색을 통해 디시인사이드(DCInside) 웹 사이트를 접속하는 과정에서 납치 사이트(api.tistory.us)를 경유하여 악성 스크립트가 포함된 특정 웹 사이트로 연결이 이루어지며 이를 통해 Adobe Flash Player, Oracle Java 등과 같은 응용 프로그램의 보안 취약점을 이용하여 악성코드가 자동으로 감염될 수 있습니다.

 

[악성코드 유포 URL 정보]

 

h**p://api.tistory.us/*****.php

 → h**p://***.bluepaper.net/index.html (SHA-1 : 5b40d3902902964d3c54b03d1630cc6ca8bce8e5) - MSE : Exploit:JS/DonxRef.A (VT : 12/48)

  → h**p://***.bluepaper.net/NBYgAdt8.jpg (SHA-1 : 708361f51c78f9ae07b06a25591747c1806efa0e) - AhnLab V3 : Java/Gondad (VT : 22/51)

 

위와 같은 경유를 통해 Oracle Java CVE-2012-0507 취약점(Exploit)을 이용하여 특정 웹 서버에서 최종 파일<SHA-1 : f849e7f3c2f7b8c57d8575608e635599d4560a20 - AhnLab V3 : Trojan/Win32.Agent.R102035 (VT : 15/50)>을 다운로드 및 실행되어 감염이 이루어지게 됩니다.

특히 최종 파일은 유효한 "Dali Feifang Tech Co.,LTD." 디지털 서명을 포함하여 AhnLab V3 보안 제품의 클라우드 평판을 우회하려고 한 것으로 추정됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\459110Ohkoi459110
C:\459110Ohkoi459110\csrss.exe :: 정상 파일

 

C:\459110Ohkoi459110\Hkbp.dll

 - SHA-1 : f5b68553a93716ce3bd4bb98aa60627aca30c835
 - MSE : Backdoor:Win32/Zegost.AY (VT : 19/51)


C:\459110Ohkoi459110\start.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
C:\Windows\System32\drivers\etc\hosts.ics

 

[삭제 파일 정보]

 

C:\Windows\System32\drivers\etc\hosts

감염된 환경에서는 "C:\459110Ohkoi459110" 폴더(※ 해당 폴더명은 다양하게 생성될 수 있으며 "C:\(6자리 숫자+5자리 영문+6자리 숫자)" 패턴으로 생성됩니다.) 내에 파일을 생성하며, 시작 프로그램 폴더(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup)에 start.lnk 바로가기 파일을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

또한 추가적으로 일반적이지 않은 레지스트리 값 위치에 "run" 값을 등록하여 "C:\459110Ohkoi459110\start.lnk" 바로가기 파일을 시스템 시작시 자동 실행하도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - run = c:\459110~1\start.lnk

이렇게 자동 실행되도록 등록된 start.lnk 바로가기 파일은 "C:\459110Ohkoi459110\csrss.exe c:\459110~1\Hkbp.dll,InitSkin" 명령어를 통해 "C:\459110Ohkoi459110\csrss.exe" 파일 로딩을 통해 "C:\459110Ohkoi459110\Hkbp.dll" 파일을 동작하게 합니다.

실행된 "csrss.exe + Hkbp.dll" 파일은 미국(USA)에 위치한 특정 IP 서버(174.139.87.116:805)에서 ZIP 압축 파일을 추가 다운로드하여 "C:\459110Ohkoi459110\data.mdb" 파일로 임시 생성한 후, 호스트 파일 변조를 위해 "C:\Windows\System32\drivers\etc\hosts.ics" 파일을 추가합니다.

 

또한 기존의 정상적인 호스트 파일(C:\Windows\System32\drivers\etc\hosts)이 존재할 경우 자동 삭제 처리를 한 후 "C:\459110Ohkoi459110\data.mdb" 파일은 자동 삭제 처리됩니다.

이 과정에서 알약(ALYac) 무료 백신 사용자는 "호스트 파일 보호 알림" 창을 통해 csrss.exe 파일이 호스트 파일(Host File)의 변경을 시도하는 동작을 차단하였다는 메시지를 표시하여 감염을 눈치챌 수 있습니다.(※ 테스트 시점에서는 "122.135.110.187" 악성 IP를 이용하고 있지만 차단되어 연결은 이루어지지 않고 있습니다.)

출처 : 인터넷과 보안 블로그 - 인터넷 뱅킹 악성파일의 흔한 속임수(http://viruslab.tistory.com/3080)

이처럼 인터넷뱅킹 악성코드에 감염된 환경에서는 사용자가 네이버(Naver), 다음(Daum), 네이트(Nate), G마켓에 접속할 경우 "금융감독원 보안관련 인증절차를 진행하고 있습니다." 창을 생성하여 국내 금융권 웹 사이트로 접속하도록 유도할 수 있습니다.

약 호스트 파일에 표시된 악성 IP 주소가 차단된 경우에는 포털 사이트, 금융 사이트 접속시 페이지를 표시할 수 없다는 메시지를 통해 접속이 이루어지지 않는 증상이 발생하게 됩니다.

특히 해당 악성코드 감염이 이루어진 환경에서 정상적인 "C:\Windows\System32\csrss.exe" 시스템 파일(Client Server Runtime Process)과 동일한 파일을 다른 폴더 위치에 생성하여 악용하고 있으므로, Windows 작업 관리자를 실행하여 csrss.exe 프로세스 중 "Windows host process (Rundll32)" 프로세스를 찾아 종료하시기 바랍니다.

 

또한 악성 파일 감염으로 인해 정상적인 호스트 파일(C:\Windows\System32\drivers\etc\hosts)이 삭제 처리되므로, 다음과 같은 방식으로 이전 상태로 복원을 하시기 바랍니다.(※ 호스트 파일 수정은 ① 악성 csrss.exe 프로세스 종료 ② 그 외 악성 파일 삭제 ③ 레지스트리 값 삭제 후 진행하시기 바랍니다.)

 

(1) Windows XP, Windows Vista, Windows 7 운영 체제 기준

 

해당 운영 체제에서는 "C:\Windows\System32\drivers\etc\hosts.ics" 호스트 파일 삭제 후 마우크로소프트(Microsoft) 업체에서 제공하는 "Microsoft Fix it 50267" 도구를 통해 "C:\Windows\System32\drivers\etc\hosts" 파일을 자동 생성하시기 바랍니다.

 

(2) Windows 8, Windows 8.1 운영 체제 기준

 

마이크로소프트(Microsoft) 업체에서는 Windows 8, Windows 8.1 운영 체제에서의 호스트 파일 복원은 Fix it을 제공하지 않고 사용자가 메모장을 통해 직접 수정하도록 안내하고 있으므로, "호스트 파일을 기본값으로 다시 설정하는 방법"을 참고하시기 바랍니다.

 

마지막으로 네이버(Naver) 검색을 통한 디시인사이드(DCInside) 웹 사이트 접속시 자동 납치가 이루어지는 "api.tistory.us" 악성 도메인으로 연결되지 않도록 웹 보안 기능을 통해 차단을 하는 방법이 가장 안전합니다.(※ 디시인사이트(DCInside) 웹 사이트 관리자는 왜 오랫동안 해당 납치 사이트 문제를 방치하는지 이해가 되지 않습니다.

흥5

)

예를 들어 AhnLab V3 365 Clinic 3.0 보안 제품에서 제공하는 웹 보안 옵션에 "api.tistory.us" 사이트를 차단으로 등록한 경우 납치되는 과정에서 "사용자 지정 사이트 접근 차단" 창을 통해 악성코드 감염을 피할 수 있습니다.

  • 저도 경제학 용어 찾을게 있어서 잠깐 디씨 들렀는데 저 사이트로 납치가 되더라고요 ㅡㅡ;; 근래 들어 왜 자꾸 납치가 되는지 잘 모르겠습니다. 제 기억으로 몇 년 전만 하더라도 이렇지 않았는데..

  • api.tistory.us 보고 진짜 티스토리인 줄 알았네요 ㅋㅋㅋ
    api.tistory.com 은 있는 것 같은데

  • 비밀댓글입니다

    • 제가 확인하기로는 네이버 검색을 통해 디시인사이드 검색을 통해 사이트 목록에서 디시를 반복적으로 접속하는 과정에서 랜덤하게 납치가 이루어지고 있는 것으로 파악됩니다.

      원인을 외부에서는 패킷으로는 알 수 없으며 서버 관리자가 문제를 찾아야 할 것 같습니다.

  • dddd 2014.05.27 14:41 댓글주소 수정/삭제 댓글쓰기

    죽이고 싶다 납치범

  • 지나가다 2014.07.04 08:10 댓글주소 수정/삭제 댓글쓰기

    이 관련글 전에도 보긴했지만 아직도 그럽니다

    근데 이게 같은 공유기 쓰는 스마트폰으로 접속하면 납치가 안되서

    없는사이트가 뜨더라구요

    아직도 네이버에서 디시 갤러리 검색해서 들어가면 광고 뜨고 버벅이고 합니다

    뭐 컴자체가 파밍당한건 아닌것 같은데

    이게 계속그러니까 짜증나네요

    어디다가 하소연해야는지;

  • 최근 2014.09.30 16:39 댓글주소 수정/삭제 댓글쓰기

    요즘은 http://www.aprilmusic.com/js.php 여기로 납치되더라구요.
    작년이였나 처음에 당하고 내 컴퓨터 문제인가 하고 하드 바꿔서 하고, 심지어 스마트폰으로 접속할때도 이런 문제가 생겨서 아예 포기하고있어요.

    • 알려주신 정보를 확인해보니 디씨 접속 과정에서 납치가 있을 수 있겠군요.

      이 문제는 1차적으로는 디시 사이트 관리자의 능력 또는 의지 부족 같습니다. 이런 방식의 납치가 가능하다면 유명 사이트는 다들 당했을겁니다.

  • 무식 2015.08.06 09:55 댓글주소 수정/삭제 댓글쓰기

    유식이는 또한번 깜빵갈것임