울지않는벌새 : Security, Movie & Society

웹하드 서비스 파일 변조를 통한 인터넷뱅킹 악성코드 유포 (2014.4.27)

벌새::Analysis

2014년 4월 26일 새벽을 중심으로 국내 일부(5곳 추정) 웹하드 서비스 이용을 위해 설치한 프로그램의 업데이트 기능을 통해 서비스 파일을 악성 파일로 업데이트하여 인터넷뱅킹 악성코드를 설치하는 행위가 있었습니다.(※ 현재는 해당 유포 행위는 모두 해결된 것으로 추정됩니다.)

그 중 당시 유포가 이루어지고 있었던 업데이트 서버 상태를 확인해보면 특정 웹하드 서버에 등록된 ShareBoxService.exe 악성 파일<SHA-1 : f1f48f7fa38277b363e74a8acf71386509513338 - AhnLab V3 : Dropper/Agent.436832 (VT : 25/51)>을 다운로드하도록 등록되어 있는 것을 확인할 수 있었습니다.

유포에 사용된 해당 웹하드 프로그램을 비롯하여 상당수 웹하드 서비스는 사용자가 프로그램 사용과 관계없이 시스템 시작시 자동 실행되어 업데이트 체크를 수행하는 동작이 있다는 점에서 이번 유포는 파급력이 상당히 컸을 것으로 추정됩니다.

정상적으로 감염이 이루어진 경우 "C:\Program Files\ShareBox\ShareBoxService.exe" 서비스 파일은 악성 파일로 변경되어 시스템 시작시마다 "ShareBoxService (표시 이름 : ShareBox Service)" 서비스가 자동 실행되어 반복적으로 감염이 진행될 수 있었습니다.

 

감염 과정을 살펴보면 ShareBoxService.exe 악성 파일 실행을 통해 내부에 실행 압축된 파일을 다음과 같이 임시 생성 및 실행합니다.

  • C:\B00T\805.exe (SHA-1 :  28f6064a04d1fddbe295f18069530a218d951ed8) - AhnLab V3 : Win-Trojan/Agent.332121 (VT : 27/51)
  • C:\B00T\ShareBoxService.exe (SHA-1 : c2f8ed5c93cf2e53841b5ee0117479357045b3eb) :: ShareBox 서비스 파일(정상 파일)
  • C:\B00T\run.bat

압축 해제된 후에는 CMD 명령을 통해 "C:\B00T\run.bat" 파일 실행을 통해 "C:\B00T\805.exe" 악성 파일 실행을 진행합니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\F1016861ilvu1016861
C:\F1016861ilvu1016861\lang.ini
C:\F1016861ilvu1016861\Eeioj.dll

 - SHA-1: FB98699B3E141DBF9B89EA6A3F512A734307A2B8

 - Hauri ViRobot : Trojan.Win32.U.Agent.328192 (VT : 9/51)

C:\F1016861ilvu1016861\MUpdate.exe

악성 파일 생성 폴더명은 "(1자리 영문 + 5~6자리 숫자) + (4자리 영문) + (5~6자리 숫자)" 패턴으로 랜덤(Random)하게 생성되면 내부에는 80MB 이상의 파일 크기를 가진 (5자리 영문).dll 악성 파일과 MUpdate.exe 파일명을 가진 정상적인 "Windows 호스트 프로세스(Rundll32)" 시스템 파일(= C:\Windows\System32\rundll32.exe)로 구성되어 있습니다.

파일 생성을 통해 [C:\F1016861ilvu1016861\MUpdate.exe "C:\F1016861ilvu1016861\Eeioj.dll",ALSTS_ExecuteAction] 명령 실행이 이루어지면, 정상적인 MUpdate.exe 프로세스가 메모리에 상주하여 악의적 기능을 가진 "C:\F1016861ilvu1016861\Eeioj.dll" 파일을 로딩합니다.

참고로 로딩된 "C:\F1016861ilvu1016861\Eeioj.dll" 악성 파일은 AhnLab V3, 알약(ALYac) 보안 제품 무력화 기능이 포함되어 있습니다.

  • h**p://174.139.177.252:805/plus.php :: "C:\F1016861ilvu1016861\lang.ini" 파일 참조

이후 특정 IP 서버에서 암호화된 파일을 불러와 "C:\F1016861ilvu1016861\data.mdb" 파일로 생성됩니다.

  • C:\Windows\System32\drivers\etc\hosts :: 파일 삭제
  • C:\Windows\System32\drivers\etc\hosts.ics :: 악성 호스트 파일 생성

이를 통해 정상적인 호스트 파일(hosts)은 삭제 처리하며, 파밍(Pharming) 정보가 포함된 악성 호스트 파일(hosts.ics)을 추가합니다.

 

참고로 테스트 시점에서는 호스트 파일 정보를 불러오는 IP 서버가 죽은 상태라서 정상적으로 이 과정은 이루어지지 않고 있습니다.

  <인터넷과 보안 블로그> 쉐어박스, 내디스크, 다운즈, 짱큐, 보물 웹하드 등 악성파일 유포 (2014.4.26)

 

감염 당시 확인된 호스트 파일 정보를 기초로 예상을 해보면 네이버(Naver), 다음(Daum), 네이트(Nate), G마켓 웹 사이트 접속시 호스트 파일을 참조하여 가짜 웹 사이트로 연결하여 "yessign 금융결제원 전자인증센터" 팝업창을 생성하여 "안전한 인터넷뱅킹을 위한 보안서비스 차별화된 인터넷뱅킹 보안서비스 입니다."와 같은 내용으로 은행, 신용카드 웹 사이트로 접속을 유도하는 행위가 이루어질 것으로 판단됩니다.

또한 사용자 PC에 존재하는 공인인증서 폴더를 검사하여 내부에 존재하는 인증서 파일을 외부 서버에 전송할 수 있습니다.

이렇게 감염된 PC 환경에서는 시스템 시작시마다 자동 실행하는 웹하드 프로그램 동작으로 인하여 랜덤(Random)한 폴더에 악성 파일을 지속적으로 생성하는 동작이 발생할 수 있습니다.

해당 악성코드에 감염된 사용자는 Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시"를 클릭한 후 표시되는 MUpdate.exe 프로세스를 찾아 종료한 후 생성된 폴더 및 파일 정보를 참고하여 삭제를 진행하시기 바랍니다.

 

또한 해당 악성코드는 웹하드 프로그램을 통해 지속적인 감염을 유발하므로 설치된 웹하드 프로그램을 삭제한 후 재설치를 하는 것을 권장하며, 이처럼 관리가 부실한 웹하드 프로그램은 언제든지 악성 파일 유포 통로로 악용될 수 있다는 점에서 사용자의 현명한 판단이 요구됩니다.