본문 바로가기

벌새::Analysis

가상(VM) 환경에서는 노출되지 않는 InstallCore 해외 광고 프로그램 사례 (2015.5.16)

악성코드 중에서 분석을 방해할 목적으로 가상(VM) 환경에서 동작하지 않게 제작된 파일이 증가하는 것에 발맞춰 광고 프로그램 중에서도 동작시 사용자 PC 환경을 체크하여 실행 여부를 결정하는 사례가 심심찮게 발견되고 있습니다.

 

특히 해외에서 제작된 InstallCore 배포 파일을 통해 설치될 수 있는 다수의 불필요한 프로그램(PUP)이 가상 환경에서 자신의 노출을 피하는 부분에 대한 정보가 공개된 적이 있었습니다.

 

위와 같은 불필요한 프로그램(PUP)이 설치되지 않도록 제작사 홈 페이지에서 제공하는 파일을 이용하도록 권장하고 있지만 실상은 그렇지도 못하다는게 함정입니다.

슬퍼3

예를 들어 특정 무료 프로그램 설치를 목적으로 제작사 홈 페이지에서 제공하는 설치 파일을 다운로드하는 과정에서 특정 CDN 서버(cdn.freevideofilecenterfilez.com)에서 파일을 받아오는 경우를 볼 수 있습니다.

  • SHA-1 : 69145b7e92d729599c10875609f9d68e8369636e - Avira : PUA/InstallCore.IK (VT : 11/56)

"TsingSoft Co., Ltd" 디지털 서명이 포함된 "Software Generic Application Setup" 다운로드 도우미(Download Assistant) 파일은 사용자가 설치하려는 프로그램 이외에 추가적인 제휴 프로그램이 포함된 배포용 파일을 의미합니다.

다운로드된 파일을 실행하면 사용자가 원하는 프로그램 설치 파일을 제시하면서 총 4단계의 절차를 제시하고 있습니다.

 

■ 리얼(Real) vs. 가상(VM) 환경에서 실행된 경우(2단계)

출처 : Potentially Unwanted Program borrows tricks from malware authors (https://blog.malwarebytes.org/fraud-scam/2014/12/potentially-unwanted-program-borrows-tricks-from-malware-authors)

다음(Next) 단계로 진행할 경우 해당 파일은 사용자 PC 환경을 체크하여 가상(VM) 환경(VMware, Oracle VM VirtualBox 등)인 경우 2단계를 표시하지 않고 3단계로 자동 연결이 이루어지며, 리얼(Real) 환경에서는 2단계를 표시하여 다수의 불필요한 프로그램(PUP) 설치를 요구하는 모습을 확인할 수 있습니다.

 

실제 테스트 과정에서는 리얼(Real) 환경 중에서도 특정 운영 체제 언어에서만 설치가 가능하도록 설정된 것으로도 추정됩니다.

 

2단계에서 제시되는 다수의 불필요한 프로그램(PUP)에 대해 설치를 거절(Decline) 버튼을 통해 동의하지 않을 수 있지만 변종에 따라서는 거절 버튼을 제거하여 필수적으로 설치하도록 하는 경우도 있습니다.

만약 가상(VM) 환경인 경우에는 3단계로 자동 연결되어 사용자가 원하는 프로그램의 설치 파일을 특정 파일 서버로부터 다운로드를 진행합니다.

사용자가 다운로드 과정(1단계~3단계)을 완료(Finish)한 후 4단계에서는 다운로드된 프로그램에 대한 설치 여부를 결정하도록 구성되어 있습니다.

위와 같은 다운로드 및 설치 과정에서 프로그램에서 제공하는 불필요한 프로그램(PUP)에 대한 설치를 위한 OpenCandy 서버와의 통신을 통해 파일 다운로드를 위한 동작을 발견할 수 있습니다.

 

  • h**p://****.securestudies.com/packages/VR/PackageV.exe (SHA-1 : 5cafb0702e89b7a0982e33e8a5c5d52d0e17a1c2) - AhnLab V3 : Adware/Win32.Relevant.C552046, 알약(ALYac) : Dropped:Adware.Relevant.CA (VT : 27/57)
  • h**p://****.securestudies.com/packages/IR/PackageI2.exe (SHA-1 : 7dca11208de954c55e352a1ca266b223ece286fa) - avast! : Win32:Relevant-X [PUP] (VT : 19/57)

이번 사례와 같이 일부 불필요한 프로그램(PUP)은 분석을 방해할 목적으로 설치시 가상(VM) 환경을 체크하여 설치 자체를 중지할 수 있으며, 실제 PC 환경에서는 신뢰할 수 없는 다수의 제휴 프로그램을 통해 사용자의 실수로 설치될 경우 PC 사용을 심각하게 방해하는 행위로 불편을 유발할 수 있습니다.

 

그러므로 이전에도 팁(Tip)으로 제시한 가상 프로그램 및 분석 도구를 PC에 설치만 해두어도 위와 같은 악의적인 광고 프로그램 및 랜섬웨어(Ransomware)와 같은 일부 악성코드 감염을 사전에 차단할 수 있으므로 설치를 해두시는 것을 추천합니다.

 

또한 프로그램 설치시 제작사 홈 페이지 또는 유명 파일 자료실에서 제공하는 설치 파일 역시 다수의 제휴 프로그램이 포함될 수 있다는 점을 명심하시고 설치 과정에서 제시하는 안내를 꼼꼼하게 읽는 습관을 가지시기 바랍니다.