본문 바로가기

벌새::Analysis

파일 확장자를 조작한 가짜 동영상 파일 재생시 XtremeRAT 백도어(Backdoor) 감염 주의 (2014.8.20)

토렌트(Torrent)와 같은 파일 공유 서비스를 이용하여 드라마, 영화 파일을 다운로드하는 경우 동영상 파일과 함께 동봉된 샘플 동영상처럼 구성된 악성 파일을 통해 XtremeRAT 백도어(Backdoor)를 감염시키는 사례에 대해 살펴보도록 하겠습니다.

대표적인 유포 사례로 토렌트(Torrent) 공유 사이트에 게시된 "끝까지간다.A Hard Day.2014.720p.iptv.XviD AARCS" 파일을 이용하여 영화 파일을 다운로드를 시도해 보았습니다.

다운로드된 시드(Seed) 파일을 통해 MP4 동영상 파일(657MB)과 샘플 동영상(9.65MB)이 포함되어 있는 것을 알 수 있습니다.

동영상 파일 다운로드가 완료되는 시점에서 AhnLab V3 365 Clinic 보안 제품에서 샘플 동영상 파일(끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4)에 대하여 Trojan/Win32.Injector.R9201 진단명으로 차단하는 모습을 볼 수 있습니다.(※ 알약(ALYac) : Backdoor.Xtreme.gen, avast! : Win32:KeyLogger-AWB [Spy], Symantec : W32.Spyrat 진단명으로 진단될 수 있습니다.)

 

이제 본격적으로 악성코드로 진단된 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 파일(SHA-1 : 5cb9daff42b9c11cadc61ac1ca1388e98b6c8a24)의 정체에 대해 살펴보도록 하겠습니다.

Windows 탐색기 설정이 기본값(알려진 파일 형식의 파일 확장명 숨기기 체크)인 경우에는 진단된 악성 파일의 확장자명을 알 수 없으며, 파일 아이콘은 곰플레이어(GOM Player)에서 제공하는 MP4 동영상 파일처럼 보이도록 제작되어 있습니다.

폴더 옵션 설정을 변경하여 "알려진 파일 형식의 파일 확장명 숨기기" 항목의 체크를 해제한 경우 진단된 악성 파일은 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 파일명으로 표시되며, 파일 확장자명은 MP4 동영상 파일로 표시되어 사용자의 의심을 피하고 있습니다.

 

하지만 파일 유형을 확인해보면 "MP4 - MPEG-4 동영상 파일"이 아닌 "화면 보호기"로 표시되고 있는 부분을 발견할 수 있으며, 이를 근거로 해당 파일 확장자가 조작되어 있는 것을 눈치챌 수 있습니다.

파일의 코드를 확인해보면 동영상 파일이 아닌 실행 가능한 .scr 화면 보호기 파일임을 알 수 있습니다.

또한 실제 파일명은 Windows 탐색기에서 표시하는 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 파일명이 아닌 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AA 4PM.scr" 파일명으로 제작된 것을 알 수 있습니다.

 

위와 같은 조작 방식은 유니코드(Unicode) 문자를 통해 파일 확장자명 부분을 RLO(Right-to-Left Override) 방식(오른쪽에서 왼쪽으로 덮어쓰기)으로 작성하는 기법으로 알려져 있습니다.

 

■ 일반 사용자가 RLO 방식이 적용된 파일을 쉽게 확인하는 방법

일반적으로 파일 확장자명이 RLO 방식으로 조작된 것으로 의심되는 파일을 쉽게 확인하는 방법으로는 파일 확장자명까지 전체 복사하여 메모장에 붙여넣기를 하며 그림과 같이 Windows 탐색기에서 표시되는 이름으로 보이며, 공격자는 사용자의 눈에 MP4 동영상 파일처럼 인식하여 실행하게 유도하고 있습니다.

그런데 실제 파일 확장자명을 보기 위해 메모장을 오픈하여 마우스 우클릭을 통해 "유니코드 제어 문자 삽입 → RLO 오른쪽에서 왼쪽 덮어쓰기 시작" 메뉴를 실행한 후 파일명을 붙여넣기를 시도해 보시기 바랍니다.

그러면 그림과 같이 붙여넣기한 파일명이 오른쪽에서 왼쪽으로 작성되며(※ 마치 아랍어 작성시처럼) 파일의 확장자명이 .SCR 파일(화면 보호기)임을 확인할 수 있습니다.

 

다시 본론으로 돌아와서 파일 확장자명이 조작된 것을 눈치채지 못한 사용자가 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 악성 파일을 실행할 경우 발생하는 문제에 대해 알아보겠습니다.

파일 실행을 하면 "C:\Users\(사용자 계정)\AppData\Local\Temp\426섹시자위쇼1.avi" 동영상 파일을 생성하여 Windows Media Player를 이용하여 파일을 재생하려고 시도하지만 "파일을 재생하는 동안 문제가 발생했습니다."라는 오류 메시지만 뜹니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\InstallDir\win31.exe
 - SHA-1 : 5cb9daff42b9c11cadc61ac1ca1388e98b6c8a24
 - MSE : Backdoor:Win32/Xtrat.A (VT : 47/53)

이 과정에서 사용자 몰래 "끝까지간다.A Hard Day.2014.720p.iptv.XviD-AArcs.MP4" 악성 파일을 사용자가 확인하기 어려운 폴더를 생성하여 win31.exe 파일로 자가 복제를 시도합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HKCU = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe

해당 악성 파일은 Windows 시작시 "HKCU" 시작 프로그램 등록값을 등록하여 자신을 자동 실행하며 이를 통해 정상적인 iexplore.exe, svchost.exe 2개의 프로세스를 실행하여 자신을 인젝션하여 동작합니다.

이를 통해 실행된 iexplore.exe 프로세스는 "118.176.10.163:81" 국내 IP 서버로 지속적인 연결을 시도하며, 현재 테스트 시점에서는 연결이 이루어지지 않고 있습니다.

 

또한 감염된 환경에서는 키로깅을 통한 정보 유출, 웹캠 활성화를 통한 녹화, 추가 명령 수행을 통한 파일 다운로드 및 업로드, 시스템 설정 변경, 응용 프로그램 실행 또는 종료, 파일 삭제와 같은 다양한 악의적 기능을 통해 피해를 유발할 수 있습니다.

특히 감염된 악성코드 제거를 위해 iexplore.exe 프로세스를 종료할 경우 svchost.exe 프로세스가 지속적으로 재실행을 하도록 프로세스 보호 기능을 수행하므로, 프로세스 종료를 위해서는 "svchost.exe → iexplore.exe" 프로세스 순서로 종료를 하시기 바랍니다.

 

참고로 iexplore.exe, svchost.exe 프로세스는 모두 정상적인 프로세스이며, PC 사용시 다수의 동일 프로세스가 표시될 수 있으므로 구별이 매우 어렵습니다.

조금 더 쉽게 구별하기 위해서는 Windows 작업 관리자를 실행한 후 Internet Explorer 웹 브라우저를 모두 종료한 후에도 종료되지 않고 있는 iexplore.exe 프로세스는 다른 파일이 악용하고 있을 가능성이 있으며, "모든 사용자의 프로세스 표시" 버튼을 클릭하지 않은 상태에서 표시되는 svchost.exe 프로세스 역시 외부 파일에 의해 동작하고 있을 가능성이 높습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\--((Mutex))--
 - 426섹시자위쇼1.avi = OK
 - ServerStarted = (일)/(월)/2014 (시):(분):(초)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HKCU = C:\Users\AdminPC2013\AppData\Roaming\InstallDir\win31.exe
HKEY_CURRENT_USER\Software\XtremeRAT

 

XtremeRAT 백도어의 경우에는 특징적으로 레지스트리 값에서 "--((Mutex))--""XtremeRAT" 키값이 생성되는 특징이 있으므로 감염 여부를 체크해 볼 수도 있습니다.

 

그러므로 파일 공유 서비스를 이용하여 드라마, 영화 파일을 다운로드하여 실행할 경우 파일 아이콘, 확장자명, 파일 유형을 잘 확인하여 악성코드에 감염되는 일이 없도록 하시기 바랍니다.

 

 

  • 큰일날뻔 2014.11.26 10:54 댓글주소 수정/삭제 댓글쓰기

    마침 AArcs 붙은 파일이 왠지 수상하여 검색해봤더니 이런 글이 있었네요.
    소중한 정보 정말 감사합니다.

  • 박병훈 2015.06.03 14:01 댓글주소 수정/삭제 댓글쓰기

    방금 바이러스 검사를 하였더니 Backdoor:Win32/Xtrat.A가 발견되었습니다. 토런트 파일에 동영상과 같이 있었는데요. 제가 이 파일을 실행하지 않았을 경우에도 감염이 될 수 있나요? 핸드폰에서 백업한 거에 같이 들어 있던 거라 PC에서는 실행하지 않았거든요. 방금 네이버 해킹당하고 바이러스 검사했더니 백도어가 있어서 질문드립니다.

    • 이것과 동일한 방식으로 감염되었는지 알 수 없지만 백신에서 진단하였다면 감염된게 아닌가 싶습니다. 이 글에서의 경우에도 동영상 위장 파일을 실행하였다면 감염됩니다.

  • 핸드폰으로 토렌트 다운받았는데 aarcs더라고요...안드로이드도 감염되는걸까요ㅠㅠ

  • 제가 scr 파일을 실행하여 감염이 되었는데, 제 pc를 해킹한 사람이 채팅창을 켜서 말을 걸고 웹캠으로 제 얼굴도 보았다고 합니다ㅜㅜ 이럴 경우 어떻게 해야 되나요 ㅜㅜㅜ 도와주세요

    • 협박을 당하셨다면 악성 파일을 제거하지 마시고 경찰에 신고하여 증거를 통해 수사를 진행하도록 하시기 바랍니다.

    • 처음에 너무 놀라서 파일을 다 제거해 버렸어요... 그런데도 인터넷 연결을 하면 말을 걸거나 웹캠을 켜서 저를 보려고 합니다. 일단은 오늘 v3를 usb에 다운받아 인터넷 연결을 끈 상태로 노트북에 실행시켰고 지금 정밀 검사를 하고 있는 중입니다. ㅜㅜ trojan 하나가 잡혀서 빠른 검사로 치료 했는데 이렇게 하면 끝나는 거 맞나요??

    • 여전히 일부 파일이 제거되지 않은 것으로 보이므로 정밀검사를 통해 제거하시기 바랍니다.

    • 만약 악성 파일을 찾을 수 없거나 해결되지 않는다면 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 run 파일을 제작하여 보내주시기 바랍니다.

    • 지금 정밀 검사를 진행중인데 아까 빠른 검사로 하나 나온 trojan 이름이 Trojan/Win32.Bladabindi.C755685 이렇게 나와있습니다. 이게 그 해킹 프로그램이 맞나요? ㅜㅜ 만약 정밀 검사 치료 후 인터넷 연결 했을 시 다시 채팅창이나 원격제어로 감시를 당한다면 이메일 꼭 보내드리겠습니다.. 정말 무섭네요 키로깅이라는 게 원격제어로 제가 키보드에 치는 것들만 알아가는 것이 아니라 제 노트북에 있는 파일들을 제가 클릭 하지 않아도 복사해 갈 수 있는건가요??

    • 원격 제어인 경우에는 파일 전송 등도 가능할 것으로 생각됩니다.

  • 곰플레이어 아이콘을 쓰기 때문에 다음팟플레이어나 KM플레이어같은 다른 프로그램 사용자는 낚일 확률이 낮습니다.

    그나저나 끝까지간다 동영상파일(scr을 mp4로 둔갑한 것 말고 원래 mp4 파일)은 재생하면 진짜 끝까지간다 영화가 나오나요?

  • 오늘의류머 2016.11.04 01:30 댓글주소 수정/삭제 댓글쓰기

    와 개쩌네 ㄷㄷ

  • 해결방법을 좀만더 자세히 설명 부탁드려도 될까요 ㅠㅠ 2017.07.14 13:29 댓글주소 수정/삭제 댓글쓰기

    제가 지금 완전히 똑같은 상황같은데 해결방법을 좀 더 정확히 알 수 있을까요 ..?
    저한테 내용이 조금 어려워서 ㅠㅠㅠ 간곡히 도움 부탁드립니다...

  • 저도 지금 exe.mp4 파일을 실행해버렸는데요
    평소에 조금만 의심가도 실행 하지않았는데 아이콘까지 같아서 빨리하고 자려는 바람에 실수를 해버렸네요
    새벽이라 그런지는 몰라도, 아직 말걸고 웹캠을 키는 행동은 보이지 않는것 같습니다
    저는 그 아이콘을 실행하니 무슨 창이 하나 떳다가 꺼지면서 다운받았던 파일은 사라져버리더라구요
    이 뒤에 어떻게 해결해야하는지 알려주실수 있으신지요.. 부탁드려봅니다 감사합니다.

    • 아마도 몰래 악성 파일을 생성하여 부팅 시마다 자동 실행되도록 추가하였을 것으로 보입니다.

      이런 경우에는 백신 프로그램으로 정밀 검사를 해보시기 바라며, 만약 탐지되는게 없다면 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 로그 파일을 만들어 메일로 보내주시기 바랍니다.

  • 바이러스 2018.01.15 00:29 댓글주소 수정/삭제 댓글쓰기

    제가 영화를 다운받아서 실행시키니 이런것 비슷한 바이러스거 걸렸어요 실행시키고 바이러스가 깔리고 있길래 무서워서 껐는데 어떡하나요? 제가 컴맹이라 치료는 어떻게 해야할까요?
    카카오톡 아이디 : lego515 여기로 답변해주시면 감사하겠습니다