울지않는벌새 : Security, Movie & Society

조작된 화면 보호기 파일과 코덱 설치 프로그램을 이용한 백도어(Backdoor) 감염 주의 (2014.10.10)

벌새::Analysis

최근 토렌트(Torrent) 공유 사이트를 통해 다운로드되는 파일 중 RLO(Right-to-Left Override) 방식으로 파일 확장자를 조작하여 마치 동영상 파일처럼 위장하거나 통합코덱 파일처럼 제작된 파일을 통해 백도어(Backdoor)를 유포하는 행위가 지속적으로 확인되고 있습니다.

  • 족구왕 The King of Jokgu, 2013 720p.mkv :: 가짜 동영상 파일
  • 족구왕 The King of Jokgu, 2013 720prcs.avi (SHA-1 : 3c93b8f47a3127e86cc7c2f6362c1f8ee7436a66) - AhnLab V3 : Backdoor/Win32.Xyligan.R120666 (VT : 25/55), 알약(ALYac) : Backdoor.Xyligan
  • 코덱설치프로그램.exe (SHA-1 : 858599f5019d50f0abb74456b34b82db49157c64) - AhnLab V3 : Trojan/Win32.Scar.C425456 (VT : 28/54), 알약(ALYac) : Backdoor.Xyligan

이번에 확인된 유포 사례의 경우에는 2013년 개봉한 독립 영화 족구왕 동영상 파일처럼 구성하여 추가적으로 2종의 악성 파일이 포함되어 있습니다.

토렌트(Torrent) 공유 프로그램을 통해 다운로드된 "족구왕 The King of Jokgu, 2013 720p.mkv" 영상 파일을 실행할 경우 Daum PotPlayer 동영상 재생 프로그램에서는 파일을 실행하지 못하는 것을 알 수 있습니다.


이를 통해 공격자는 사용자가 해당 동영상 파일을 보기 위해 "코덱설치프로그램.exe" 파일 실행을 통해 코덱을 설치하도록 유도하거나, "족구왕 The King of Jokgu, 2013 720prcs.avi" 파일을 실행하여 영상을 체크하도록 되어 있습니다.

 

1. "족구왕 The King of Jokgu, 2013 720prcs.avi" 파일 정보

"족구왕 The King of Jokgu, 2013 720prcs.avi" 악성 파일은 파일 확장자는 마치 AVI 동영상 파일처럼 표시되지만 실제로는 RLO(Right-to-Left Override) 방식(오른쪽에서 왼쪽으로 덮어쓰기)으로 작성된 파일로 "족구왕 The King of Jokgu, 2013 720p iva.scr" 화면 보호기 파일입니다.

 

그러므로 RLO 방식으로 파일 확장자를 조작한 악성 파일에 속지 않기 위해서는 동영상 파일명의 뒷 부분이 "rcs.avi / rcs.mkv / rcs.wmv / rcs.mp4" 등의 형태로 구성된 경우에는 실행하지 않도록 각별히 주의하시기 바랍니다.

  • 1.exe (SHA-1 : 3783e9c3e48f59cc7430a11b5bc184b3002f75c0) - AhnLab V3 : Trojan/Win32.Generic.R114861 (VT : 24/53)
  • 1234.avi :: 10분 22초 분량의 음란 동영상 파일
  • svchost.exe (SHA-1 : 72ae44f2484060183f807aff67c280d4cc117d21) - BitDefender : Trojan.GenericKD.1909794 (VT : 36/55)

"족구왕 The King of Jokgu, 2013 720prcs.avi" 악성 파일은 곰플레이어(GomPlayer)에서 사용하는 파일 아이콘 모양을 사용하고 있으며, 내부에는 RARSFX 실행 압축을 통해 2종의 악성 파일과 1234.avi 동영상 파일을 포함하고 있습니다.

사용자가 "족구왕 The King of Jokgu, 2013 720prcs.avi" 악성 파일을 동영상 파일로 착각하여 실행할 경우 사용자 계정 컨트롤(UAC)이 활성화된 환경에서는 svchost.exe 파일 실행 여부를 묻는 창이 생성되어 감염을 사전에 차단할 수 있지만, 상당수 Windows 사용자들이 사용자 계정 컨트롤(UAC) 보안 기능이 불편하다는 이유로 끄고 사용하고 있으므로 자동 실행이 이루어졌을 것으로 추정됩니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\RarSFX0\1.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\RarSFX0\1234.avi
  • C:\Users\(사용자 계정)\AppData\Local\Temp\RarSFX0\svchost.exe :: 실행 후 자가 삭제 처리

실행된 파일은 임시 폴더에 압축 해제를 한 후 1.exe 악성 파일 실행을 통해 svchost.exe 파일을 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe" 시작프로그램 폴더에 자가 복제를 한 후 svchost.exe 파일은 자가 삭제 처리됩니다.

이 과정에서 화면 상으로는 내부에 존재하던 1234.avi 동영상 파일을 실행하여 10분 22초 분량의 성인 동영상이 재생하도록 사용자의 눈을 속이고 있습니다.

 

■ 시작프로그램 폴더(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup) 조작 행위

 

정상적인 Windows 운영 체제 환경에서 존재하는 시작프로그램 폴더(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup)는 감염 과정에서 다음과 같이 변경됩니다.

(a) 시작프로그램 폴더(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup) 속성값을 숨김(H) 속성으로 변경합니다.

 

(b) 숨김(H) 속성으로 변경된 시작프로그램 폴더(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup) 내에 Tencent QQ메신저(腾讯QQ) 파일 아이콘 모양의 svchost.exe 악성 파일<SHA-1 : 72ae44f2484060183f807aff67c280d4cc117d21 - BitDefender : Trojan.GenericKD.1909794 (VT : 36/55)>을 생성하여 Windows 부팅시마다 자동 실행됩니다.

(c) 사용자가 시작프로그램 폴더에 존재하는 svchost.exe 악성 파일을 찾지 못하도록 시작프로그램 폴더처럼 보이는 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup(공란)" 폴더를 생성합니다.

 

위와 같은 시작프로그램 폴더를 2개 생성하여 사용자는 쉽게 눈치챌 수 없도록 하였으며, 감염된 환경에서는 Windows 시작시마다 시작프로그램 폴더에 등록된 svchost.exe 악성 파일이 자동 실행하여 동작하게 됩니다.(※ 파일 동작은 분량상 "코덱설치프로그램.exe" 악성 파일 실행을 통해 동작하는 부분에서 다시 살펴보겠습니다.)

 

2. "코덱설치프로그램.exe" 악성 파일 정보

 

다운로드한 "족구왕 The King of Jokgu, 2013 720p.mkv" 가짜 동영상 파일이 재생되지 않는 경우 사용자들은 "코덱설치프로그램.exe" 악성 파일을 실행할 수 있습니다.

  • StarCodec_20140804.exe :: 스타코덱(StarCodec) 정상 파일
  • svchost.exe (SHA-1 : 72ae44f2484060183f807aff67c280d4cc117d21) - avast! : Win32:Nitol-B [Trj] (VT : 36/55)

"코덱설치프로그램.exe" 악성 파일은 2014년 9월 30일경부터 유포가 확인되고 있으며, 국내에서 제작된 스타코덱(StarCodec) 파일 아이콘 모양을 하고 있으며, 내부에는 정상적인 스타코덱(StarCodec) 설치 파일과 위에서 살펴보면 파일과 동일한 svchost.exe 악성 파일이 포함되어 있습니다.

  • C:\StarCodec_20140804.exe
  • C:\svchost.exe :: 실행 후 자가 삭제 처리

사용자가 "코덱설치프로그램.exe" 악성 파일을 실행할 경우 C 루트 폴더에 파일을 압축 해제한 후 svchost.exe 파일을 실행하여 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe" 파일<SHA-1 : 72ae44f2484060183f807aff67c280d4cc117d21 - avast! : Win32:Nitol-B [Trj] (VT : 36/55)>로 자가 복제 후 자신은 삭제 처리됩니다.

이 과정에서 화면 상으로는 스타코덱(StarCodec) 프로그램 설치 화면이 표시되어 사용자의 눈을 속이고 있습니다.

 

■ Windows 부팅시마다 파일명이 변경되는 시작프로그램 폴더에 등록된 svchost.exe 악성 파일 패턴

 

감염된 환경에서는 Windows 부팅시마다 시작프로그램 폴더에 등록된 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe" 파일은 다음과 같은 규칙에 따라 매번 파일명을 변경합니다.

 

(a) 감염 후 첫 번째 Windows 부팅시 svchost.exe 악성 파일은 실행되어 메모리에 상주한 후 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rqsvchost.exe" 파일명으로 이름을 변경합니다.

실행되어 메모리에 상주하는 프로세스는 rqsvchost.exe 프로세스가 아니라 파일 변경전 실행된 svchost.exe 프로세스 명을 가지며, 이로 인하여 사용자는 시작프로그램 폴더에 등록된 파일명 기반으로 프로세스를 찾을 경우 프로세스를 찾을 수 없습니다.(※ 프로세스를 쉽게 찾기 위해서는 설명란에 표시된 腾讯QQ 이름으로 찾으시기 바랍니다.)

 

(b) 감염 후 두 번째 Windows 부팅시 rqsvchost.exe 악성 파일은 실행되어 메모리에 상주한 후 자신을 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rqrqsvchost.exe" 파일명으로 변경합니다.

실행된 상태에서는 메모리에 상주하는 프로세스는 rqrqsvchost.exe 프로세스가 아니라 파일명이 변경되기 전에 실행된 rqsvchost.exe 프로세스로 동작합니다.

 

위와 같은 패턴을 통해 Windows 시작시마다 시작프로그램 폴더에 등록된 파일은 "svchost.exe → rqsvchost.exe → rqrqsvchost.exe → rqrqrqsvchost.exe …" 파일명으로 변경이 이루어집니다.

실행된 악성 파일은 중국(China)에 위치한 "fgwegasgxcxb.ddns.net (183.207.184.195:7070)" C&C 서버와 통신을 통해 추가적인 명령어에 따라 파일 다운로드, 파일 업로드 등의 다양한 악의적 행위를 수행할 수 있을 것으로 판단됩니다.

 

그러므로 토렌트(Torrent) 파일 공유 서비스를 이용하는 경우에는 파일명을 잘 확인하시기 바라며, 동영상 재생을 위한 코덱 관련 파일이 함께 동봉되어 있는 경우에는 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

또한 Windows Vista 운영 체제부터 도입된 사용자 계정 컨트롤(UAC) 보안 기능이 불편하신 분들은 기본값(2단계)에서 1단계로 내리시고 사용하시면 검은 화면이 생성되지 않으며, 사용자가 인지하지 못하게 파일 실행이 이루어질 수 있는 "알리지 않음"으로 설정하여 사용하는 일이 없도록 하시기 바랍니다.