울지않는벌새 : Security, Movie & Society

웹하드 설치 파일 변조를 통한 Trojan/Win32.Akdoor 악성코드 유포 주의 (2014.9.20)

벌새::Analysis

2014년 9월 19일 야간을 기점으로 국내 웹하드 사이트에서 제공하는 설치 파일을 변조하여 감염자의 시스템 정보를 유출하는 Trojan/Win32.Akdoor 악성코드가 유포되고 있는 것을 확인하였습니다.

 

변조된 웹하드 설치 파일은 총 4곳으로 알려져 있으며 테스트에서는 2종의 웹하드 설치 파일을 통해 간단하게 살펴보도록 하겠습니다.

 

1. 변조된 J 웹하드 설치 파일(SHA-1 : e21bb5bf6a7ac3d92bdcbbd163ead9a0c4cbb09b) - AhnLab V3 : Dropper/Win32.Akdoor

디지털 서명이 포함되어 있지 않은 변조된 J 웹하드 수동 설치 파일은 2014년 9월 19일 오후 8시경부터 서버에 등록되어 유포가 이루어지고 있는 것으로 보입니다.

 

파일을 실행하면 설치 화면 제공없이 "C:\Users\(사용자 계정)\AppData\Roaming\csrss.exe" 악성 파일<SHA-1 : 7e160045a0b837148e9c54bca2ceb28d62ba337b - AhnLab V3 : Trojan/Win32.Akdoor>을 생성합니다.

해당 파일은 사용자 PC에서 실행 중인 프로세스 목록을 체크하는 기능을 수행하는 것을 알 수 있습니다.

이를 통해 홍콩(Hong Kong)에 위치한 "119.81.148.118" IP 서버에 사용자 IP 주소, Mac Address, 컴퓨터 이름, 프로세스 목록을 암호화하여 전송합니다.

 

정보 전송 이외에는 자신의 흔적을 제거할 목적으로 "C:\Users\(사용자 계정)\AppData\Roaming\csrss.exe" 파일은 자동 삭제 처리됩니다.

 

2. 변조된 M 웹하드 설치 파일(SHA-1 : c022131ba618dcbe4b5748f63c323877620f83b6) - AhnLab V3 : Dropper/Win32.Akdoor

디지털 서명이 포함되어 있지 않은 변조된 M 웹하드 설치 파일은 2014년 9월 19일 오후 11시경부터 유포가 이루어진 것으로 보입니다.

 

파일을 실행하면 설치 화면없이 "C:\Users\(사용자 계정)\AppData\Roaming\csrss.exe" 악성 파일<SHA-1 : 3391ad2e0429679317ec92ca95442a5dcfc0bc08 - AhnLab V3 : Trojan/Win32.Akdoor>을 생성하여 실행합니다.

이를 통해 노르웨이(Norway)에 위치한 "212.62.246.162" IP 서버에 사용자 IP 주소, Mac Address, 컴퓨터 이름, 실행 중인 프로세스 목록 정보를 암호화하여 외부로 유출합니다.

 

정보 유출 이후에는 자신의 흔적을 제거할 목적으로 "C:\Users\(사용자 계정)\AppData\Roaming\csrss.exe" 악성 파일은 자동 삭제 처리됩니다.

 

그 외 변조된 웹하드 설치 파일도 유사한 악성 파일을 임시 생성하여 설치자의 PC 시스템 정보를 수집한 후 자신은 자동 삭제 처리하는 방식으로 정보 탐색이 이루어질 것으로 판단됩니다.

 

위와 같은 정보 수집 활동은 국내 인터넷 사용자들이 사용하는 시스템 구성 정보를 수집하여 차후 사이버 공격에 활용할 목적으로 추정되며, 국가에서 지원하는 해킹 조직(※ 예 : 북한)의 작전이 아닐까 생각됩니다.

 

마지막으로 AhnLab V3 보안 제품 사용자이 해당 웹하드 설치 파일을 이용하는 과정에서 무조건적으로 파일 평판을 신뢰로 등록하는 습관은 주의하셔야 합니다. 과거부터 웹하드 설치 파일을 해킹하여 악성 파일 유포에 활용한다는 점에서 디지털 서명이 없거나 파일 실행시 "프로그램 실행 알림" 창이 생성되는 경우에는 1차적으로 의심해 보시기 바랍니다.