최근 국내 토렌트(Torrent) 파일 공유 사이트를 통해 악성코드가 포함된 VMware Workstation 11 버전이 유포되고 있는 것을 확인하였습니다.
유포 방식을 살펴보면 2015년 6월 15일 게시된 "VMware Workstation 11.1.1 Build 2771112 (x64) [Serial]" 제목으로 작성된 게시물이며, 이를 통해 조작된 설치 파일(VMware-workstation-full-11.1.1-2771112.exe)과 시리얼 번호가 포함된 텍스트 파일(S.n.txt)을 다운로드합니다.
- 정상 파일 : VMware-workstation-full-11.1.1-2771112.exe (303MB) - SHA-1 : 66bdf7548433e0b6948553d438052b820831bd5b
- 조작된 유포 파일 : VMware-workstation-full-11.1.1-2771112.exe (289MB) - SHA-1 : 38c6d183324090cd84aac47f245a5d6373c6e891
정상적인 VMware Workstation 11 설치 파일과 차이점을 비교해보면 파일 아이콘은 동일하지만 정상적인 설치 파일에 포함된 "VMware, Inc." 디지털 서명이 존재하지 않는 것을 알 수 있습니다.
일반적으로 상용 소프트웨어의 설치 파일 상당수는 유효한 디지털 서명이 포함되어 있다는 점을 명심하시고 인터넷 상에서 파일을 다운로드한 경우에는 반드시 확인하는 습관을 가지시기 바랍니다.
- VMware-workstation-full-11.1.1-2771112.exe (정상 파일)
- Windows System.exe (SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5) - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D, MSE : Backdoor:MSIL/Bladabindi (VT : 17/57)
토렌트(Torrent)를 통해 다운로드된 조작된 "VMware-workstation-full-11.1.1-2771112.exe" 파일 내부에는 정상적인 VMware Workstation 설치 파일과 악성 파일(Windows System.exe)이 포함되어 있습니다.
다운로드된 조작된 "VMware-workstation-full-11.1.1-2771112.exe" 파일을 최초 실행하면 임시 폴더(%Temp%)에 파일을 압축 해제하며, 화면 상에서는 VMware Workstation 설치 화면이 표시되지만 백그라운드 방식으로 다음과 같은 악의적인 행위를 수행합니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe
- SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5
- AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)
C:\Users\(사용자 계정)\AppData\Local\Temp\VMware-workstation-full-11.1.1-2771112.exe :: 정상 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\Windows System.exe
- SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5
- AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)
Windows System.exe 악성 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" 파일명으로 자신을 복제한 후 자신은 자동 종료 처리됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- {C3CC4D16-4F38-4A19-A4E6-0C49C17FFE5F} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe|Name=System.exe|
- {F1678C3D-E05A-488D-8F73-48140DFBE4DC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe|Name=System.exe|
생성된 System.exe 악성 파일은 "C:\Windows\System32\netsh.exe" 시스템 파일(네트워크 명령 셸, Network Command Shell)을 실행하여 [netsh firewall add allowedprogram "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" "System.exe" ENABLE] 명령어를 통해 Windows 방화벽의 허용 프로그램으로 자신을 등록합니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f1601c33744de6dbc8f9e8c6f0ed4be6.exe (= Windows System.exe, System.exe) - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)
이후 Windows 시작시 자동 실행되도록 시작프로그램 영역에 f1601c33744de6dbc8f9e8c6f0ed4be6.exe 파일명으로 자신을 복제하여 등록합니다.
이를 통해 시스템 시작시마다 자동 실행된 f1601c33744de6dbc8f9e8c6f0ed4be6.exe 악성 파일은 일정 시간이 경과하면 "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" 악성 파일을 로딩하여 메모리에 상주하며, 이 과정에서 Windows 방화벽 허용 프로그램 등록 및 시작프로그램 등록값을 재생성합니다.
실행된 악성 파일(System.exe)은 요르단(Jordan)에 위치한 "chrome.blogsite.org (149.200.219.131:1166)" 서버와 통신을 시도하며 원격 제어를 통한 추가적인 파일 다운로드(업데이트) 등의 명령 수행을 통해 정보 유출과 같은 좀비PC로 활용될 수 있습니다.
HKEY_CURRENT_USER
- di = !
HKEY_CURRENT_USER\Environment
- SEE_MASK_NOZONECHECKS = 1
HKEY_CURRENT_USER\Software\f1601c33744de6dbc8f9e8c6f0ed4be6
그러므로 토렌트(Torrent) 파일 공유 방식을 통해 유료 소프트웨어를 다운로드할 경우에는 유효한 디지털 서명이 포함되어 있는지 여부를 잘 확인하시기 바라며, 신뢰할 수 없는 출처를 통한 다운로드를 통해 정체를 알 수 없는 공격자로부터 시스템 제어권을 뺏기는 일이 없도록 각별히 주의하시기 바랍니다.