본문 바로가기

벌새::Analysis

G매크로를 이용한 백도어(Backdoor) 유포 주의 (2014.5.15)

네이버(Naver) 블로그를 중심으로 바람의 나라 경험치 계산기, G매크로 등의 파일처럼 홍보하여 첨부 파일을 실행할 경우 정보 유출을 시도하는 백도어(Backdoor)를 유포하는 사례가 지속적으로 확인되고 있습니다.

이미 유사 사례에 대해 소개한 적이 있지만 소수의 이용자들이 발생할 것으로 판단하므로 새롭게 확인된 사례를 통해 특징적인 부분을 짚어보도록 하겠습니다.

확인된 유포 블로그는 바람의 나라 경험치 계산기 또는 몬스터 길들이기 모비즌 매크로 관련 파일로 위장된 악성 파일을 첨부 파일로 등록하여 2014년 5월 8일부터 현재까지 유지되고 있습니다.

  • G매크로.exe (SHA-1 : d33e17eed7efa25533d149b8b19354de9595996b) - MSE : Backdoor:Win32/Bifrose (VT : 27/53)
  • G매크로.exe (SHA-1 : 90d0a453aca02339316441b72e0733e7edf52a64) + lol140508s.exe (SHA-1 : 96c0a0db45a092f9cc79cd2a34ba6e05ac696c06) - Kaspersky : Trojan.Win32.Mahato.phx (VT : 30/52)
  • 바람의나라 경험치계산기 1.3v.exe (SHA-1 : 24a3d7eb173f859496f635a1aaa37003590a159d) - AhnLab V3 : Dropper/Muldrop.1075065 (VT : 30/53)
  • calc.exe (SHA-1 : eb1f91dddd7f7e2c0c99b91a45f5d45756dc64c6) + lol140508s.exe (SHA-1 : 96c0a0db45a092f9cc79cd2a34ba6e05ac696c06) - Kaspersky : Trojan.Win32.Mahato.phx (VT : 30/52)

첨부 파일의 대표적인 방식은 ZIP 압축 파일 형태로 유포가 활발하며 내부에는 정상적인 파일과 악성 파일이 함께 포함되어 있습니다.

 

이 글에서는 G매크로를 이용하여 발생하는 문제에 대해 작성하였으며, 바람의 나라 경험치 계산기 내부의 악성 파일도 일치합니다.

 

[g매크로.zip 파일 내의 G매크로.exe 파일 실행]

 

C:\g매크로.exe
C:\lol140508s.exe
 - SHA-1 : 96c0a0db45a092f9cc79cd2a34ba6e05ac696c06
 - Kaspersky : Trojan.Win32.Mahato.phx (VT : 30/52)

블로그 첨부 파일을 통해 다운로드한 g매크로.zip 압축 파일 내에 존재하는 G매크로.exe 파일<SHA-1 : d33e17eed7efa25533d149b8b19354de9595996b - MSE : Backdoor:Win32/Bifrose (VT : 27/53)>을 실행할 경우, C 드라이브 루트에 "C:\g매크로.exe", "C:\lol140508s.exe" 파일을 압축 해제하여 화면 상으로는 G매크로 프로그램(g매크로.exe)을 자동 실행하여 정상적으로 실행되는 것처럼 구성되어 있습니다.

하지만 이 과정에서 백그라운드 방식으로 "C:\lol140508s.exe" 악성 파일은 자신을 "C:\Windows\dothome.exe" 파일<SHA-1 : 96c0a0db45a092f9cc79cd2a34ba6e05ac696c06 - Kaspersky : Trojan.Win32.Mahato.phx (VT : 30/52)>로 자가 복제합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\dothome
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - dothome = C:\Windows\dothome.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - dothome = C:\Windows\dothome.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\Windows\system32\userinit.exe, :: 변경 전
 - Userinit = C:\Windows\system32\userinit.exe,C:\Windows\dothome.exe :: 변경 후

 

Windows 폴더 내에 생성된 악성 파일(dothome.exe)은 시스템 시작시 자동 실행되도록 레지스트리에 자신을 등록하며, 실행된 악성 파일(dothome.exe)은 Internet Explorer 웹 브라우저 프로세스(C:\Program Files\Internet Explorer\iexplore.exe)에 코드를 추가하여 동작하여 사용자의 눈을 속입니다.

이를 통해 메모리에 상주하는 iexplore.exe 프로세스는 CPU 점유율이 항상 30% 수준을 유지하며, "ckdtir2001.codns.com :81" C&C 서버와 지속적인 통신을 시도합니다.

특히 iexplore.exe 프로세스는 짧은 주기로 "C:\Windows\dothome.exe" 악성 파일 및 시작 프로그램 레지스트리 등록값을 체크 및 실행하여 사용자에 의한 프로세스 종료를 방해하고 있습니다.

 

[키로깅(Keylogging) 정보 수집 관련 폴더 / 파일 정보]

 

C:\Windows\lol140508_7236999C
C:\Windows\lol140508_7236999C\ServerLogs
C:\Windows\lol140508_7236999C\ServerLogs\(사용자 계정)
C:\Windows\lol140508_7236999C\ServerLogs\(사용자 계정)\15-05-2014

감염된 환경에서는 iexplore.exe 프로세스를 통해 "C:\Windows\lol(년월일)_(고유값)\ServerLogs\(사용자 계정)\(일)-(월)-(년)" 패턴을 가지는 폴더 및 파일을 생성하여 PC에서 발생하는 키로깅(Keylogging) 정보를 암호화된 형태로 실시간 저장합니다.

 

위와 같은 일련의 동작을 통해 저장된 정보는 공격자에게 전송되어 다양한 활용을 통해 민감한 개인정보 유출 및 수집된 정보를 통한 금전적 피해를 유발할 수 있으리라 판단됩니다.

 

해당 악성코드를 수동으로 해결하기 위해서는 다음과 같은 절차를 참고하시기 바랍니다.

 

(a) "C:\Windows\dothome.exe" 악성 파일을 찾아 삭제하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 모두 종료한 상태에서 Windows 작업 관리자를 실행하여 iexplore.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 "생성 레지스트리 등록 정보" 내용을 참고하여 관련 레지스트리값을 찾아 삭제하시기 바랍니다.

특히 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" 레지스트리 값에서는 "값 데이터"에 추가된 "C:\Windows\dothome.exe" 파일만 삭제하시기 바랍니다.

 

이번에 수집된 악성코드를 통해 추가적으로 확인된 변종에 대한 정보가 확인된 부분은 다음과 같습니다.

 

■ 변종 사례 (1) : (숫자).zip 압축 파일 내에 존재하는 (숫자).exe 악성 파일<SHA-1 : ee4a08e702d52ccb663dc786b7cf1c059b3d9815 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 3/50)> 실행시

  • h**p://win**ram.dothome.co.kr/setup.exe (SHA-1 : 62e7dc0a10b604a341631d3a8d8ec4804caa6e89) - AhnLab V3 : Malware/Win32.Generic (VT : 39/53)

특정 웹 호스팅 서버로부터 악성 파일을 추가 다운로드하여 "C:\Windows\setup.exe" 악성 파일로 자가 복제하여 "winbaram.dothome.co.kr" 원격 C&C 서버와 통신 시도를 합니다.

 

■ 변종 사례 (2) : 바람의나라 경험치계산기 1.3v.exe 악성 파일<SHA-1 : e3c523ccd71d52ea7b14bb64fb9098685da7594b - Trend Micro : TROJ_FORUCON.BMC (VT : 31/49)>

 

악성 파일 실행을 통해 "C:\Windows\korail.exe" 악성 파일로 자가 복제하여 유사 동작을 수행합니다.

 

■ 변종 사례 (3) : calc 1.3v.exe 악성 파일<SHA-1 : d1533a90eec97f59d3ddcdd37d13182e6cc46972 - Kaspersky : Trojan.Win32.Mahato.pgs (VT : 27/46)>

 

악성 파일 실행을 통해 "C:\Windows\setup.exe" 악성 파일로 자가 복제하여 유사 동작을 수행합니다.

 

그러므로 특히 온라인 게임을 즐겨하는 사용자들은 신뢰할 수 없는 블로그에서 배포하는 파일을 다운로드하여 실행하여 정보 유출이 이루어지지 않도록 각별히 주의하시기 바랍니다.