울지않는벌새 : Security, Movie & Society

디시인사이드 납치 사이트(api.tistory.us)를 이용한 악성코드 유포 주의 (2014.3.21)

벌새::Analysis

2012년경부터 네이버(Naver) 검색을 통해 디시인사이드(DCInside) 커뮤니티 사이트를 접속하는 과정에서 "api.tistory.us" 웹 사이트를 경유하여 다양한 웹 사이트로 납치를 하는 문제에 대해 소개한 적이 있었습니다.(※ 호기심에 해당 웹 사이트 접속시 악성코드 감염이 발생할 수 있으므로 주의하시기 바랍니다.)

 

  디시인사이드(DCInside) 접속시 "api.tistory.us" 사이트를 이용한 납치 문제 (2014.1.5)

 

  <트라 세상!! 열정!!> 오랜만에 보는 302 Redirection (2014.3.7)

 

당시 분석글에서는 납치 사이트(api.tistory.us)를 경유하는 과정에서 악성코드 유포 행위가 발생할 가능성에 대해 언급하였으며, 2014년 3월경부터 실제로 납치 사이트(api.tistory.us)를 경유하는 과정에서 악성코드 유포 행위가 이루어지고 있다는 정보가 있었습니다.

해당 화면은 보안 패치가 정상적으로 설치된 PC 환경에서 연결된 모습입니다.

실제 오늘 저녁(2014년 3월 21일 오후 7시경) 네이버(Naver) 검색을 통해 디시인사이드(DCInside) 웹 사이트를 접속하는 과정에서 납치 사이트(api.tistory.us)를 경유하여 악성 스크립트가 포함된 특정 웹 사이트로 연결이 이루어지며 이를 통해 Adobe Flash Player, Oracle Java 등과 같은 응용 프로그램의 보안 취약점을 이용하여 악성코드가 자동으로 감염될 수 있습니다.

 

[악성코드 유포 URL 정보]

 

h**p://api.tistory.us/*****.php

 → h**p://***.bluepaper.net/index.html (SHA-1 : 5b40d3902902964d3c54b03d1630cc6ca8bce8e5) - MSE : Exploit:JS/DonxRef.A (VT : 12/48)

  → h**p://***.bluepaper.net/NBYgAdt8.jpg (SHA-1 : 708361f51c78f9ae07b06a25591747c1806efa0e) - AhnLab V3 : Java/Gondad (VT : 22/51)

 

위와 같은 경유를 통해 Oracle Java CVE-2012-0507 취약점(Exploit)을 이용하여 특정 웹 서버에서 최종 파일<SHA-1 : f849e7f3c2f7b8c57d8575608e635599d4560a20 - AhnLab V3 : Trojan/Win32.Agent.R102035 (VT : 15/50)>을 다운로드 및 실행되어 감염이 이루어지게 됩니다.

특히 최종 파일은 유효한 "Dali Feifang Tech Co.,LTD." 디지털 서명을 포함하여 AhnLab V3 보안 제품의 클라우드 평판을 우회하려고 한 것으로 추정됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\459110Ohkoi459110
C:\459110Ohkoi459110\csrss.exe :: 정상 파일

 

C:\459110Ohkoi459110\Hkbp.dll

 - SHA-1 : f5b68553a93716ce3bd4bb98aa60627aca30c835
 - MSE : Backdoor:Win32/Zegost.AY (VT : 19/51)


C:\459110Ohkoi459110\start.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
C:\Windows\System32\drivers\etc\hosts.ics

 

[삭제 파일 정보]

 

C:\Windows\System32\drivers\etc\hosts

감염된 환경에서는 "C:\459110Ohkoi459110" 폴더(※ 해당 폴더명은 다양하게 생성될 수 있으며 "C:\(6자리 숫자+5자리 영문+6자리 숫자)" 패턴으로 생성됩니다.) 내에 파일을 생성하며, 시작 프로그램 폴더(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup)에 start.lnk 바로가기 파일을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

또한 추가적으로 일반적이지 않은 레지스트리 값 위치에 "run" 값을 등록하여 "C:\459110Ohkoi459110\start.lnk" 바로가기 파일을 시스템 시작시 자동 실행하도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
 - run = c:\459110~1\start.lnk

이렇게 자동 실행되도록 등록된 start.lnk 바로가기 파일은 "C:\459110Ohkoi459110\csrss.exe c:\459110~1\Hkbp.dll,InitSkin" 명령어를 통해 "C:\459110Ohkoi459110\csrss.exe" 파일 로딩을 통해 "C:\459110Ohkoi459110\Hkbp.dll" 파일을 동작하게 합니다.

실행된 "csrss.exe + Hkbp.dll" 파일은 미국(USA)에 위치한 특정 IP 서버(174.139.87.116:805)에서 ZIP 압축 파일을 추가 다운로드하여 "C:\459110Ohkoi459110\data.mdb" 파일로 임시 생성한 후, 호스트 파일 변조를 위해 "C:\Windows\System32\drivers\etc\hosts.ics" 파일을 추가합니다.

 

또한 기존의 정상적인 호스트 파일(C:\Windows\System32\drivers\etc\hosts)이 존재할 경우 자동 삭제 처리를 한 후 "C:\459110Ohkoi459110\data.mdb" 파일은 자동 삭제 처리됩니다.

이 과정에서 알약(ALYac) 무료 백신 사용자는 "호스트 파일 보호 알림" 창을 통해 csrss.exe 파일이 호스트 파일(Host File)의 변경을 시도하는 동작을 차단하였다는 메시지를 표시하여 감염을 눈치챌 수 있습니다.(※ 테스트 시점에서는 "122.135.110.187" 악성 IP를 이용하고 있지만 차단되어 연결은 이루어지지 않고 있습니다.)

출처 : 인터넷과 보안 블로그 - 인터넷 뱅킹 악성파일의 흔한 속임수(http://viruslab.tistory.com/3080)

이처럼 인터넷뱅킹 악성코드에 감염된 환경에서는 사용자가 네이버(Naver), 다음(Daum), 네이트(Nate), G마켓에 접속할 경우 "금융감독원 보안관련 인증절차를 진행하고 있습니다." 창을 생성하여 국내 금융권 웹 사이트로 접속하도록 유도할 수 있습니다.

약 호스트 파일에 표시된 악성 IP 주소가 차단된 경우에는 포털 사이트, 금융 사이트 접속시 페이지를 표시할 수 없다는 메시지를 통해 접속이 이루어지지 않는 증상이 발생하게 됩니다.

특히 해당 악성코드 감염이 이루어진 환경에서 정상적인 "C:\Windows\System32\csrss.exe" 시스템 파일(Client Server Runtime Process)과 동일한 파일을 다른 폴더 위치에 생성하여 악용하고 있으므로, Windows 작업 관리자를 실행하여 csrss.exe 프로세스 중 "Windows host process (Rundll32)" 프로세스를 찾아 종료하시기 바랍니다.

 

또한 악성 파일 감염으로 인해 정상적인 호스트 파일(C:\Windows\System32\drivers\etc\hosts)이 삭제 처리되므로, 다음과 같은 방식으로 이전 상태로 복원을 하시기 바랍니다.(※ 호스트 파일 수정은 ① 악성 csrss.exe 프로세스 종료 ② 그 외 악성 파일 삭제 ③ 레지스트리 값 삭제 후 진행하시기 바랍니다.)

 

(1) Windows XP, Windows Vista, Windows 7 운영 체제 기준

 

해당 운영 체제에서는 "C:\Windows\System32\drivers\etc\hosts.ics" 호스트 파일 삭제 후 마우크로소프트(Microsoft) 업체에서 제공하는 "Microsoft Fix it 50267" 도구를 통해 "C:\Windows\System32\drivers\etc\hosts" 파일을 자동 생성하시기 바랍니다.

 

(2) Windows 8, Windows 8.1 운영 체제 기준

 

마이크로소프트(Microsoft) 업체에서는 Windows 8, Windows 8.1 운영 체제에서의 호스트 파일 복원은 Fix it을 제공하지 않고 사용자가 메모장을 통해 직접 수정하도록 안내하고 있으므로, "호스트 파일을 기본값으로 다시 설정하는 방법"을 참고하시기 바랍니다.

 

마지막으로 네이버(Naver) 검색을 통한 디시인사이드(DCInside) 웹 사이트 접속시 자동 납치가 이루어지는 "api.tistory.us" 악성 도메인으로 연결되지 않도록 웹 보안 기능을 통해 차단을 하는 방법이 가장 안전합니다.(※ 디시인사이트(DCInside) 웹 사이트 관리자는 왜 오랫동안 해당 납치 사이트 문제를 방치하는지 이해가 되지 않습니다. 흥5)

예를 들어 AhnLab V3 365 Clinic 3.0 보안 제품에서 제공하는 웹 보안 옵션에 "api.tistory.us" 사이트를 차단으로 등록한 경우 납치되는 과정에서 "사용자 지정 사이트 접근 차단" 창을 통해 악성코드 감염을 피할 수 있습니다.