울지않는벌새 : Security, Movie & Society

토렌트를 통한 백도어(Backdoor)가 포함된 "VMware Workstation 11" 버전 주의 (2015.6.17)

벌새::Analysis

최근 국내 토렌트(Torrent) 파일 공유 사이트를 통해 악성코드가 포함된 VMware Workstation 11 버전이 유포되고 있는 것을 확인하였습니다.

유포 방식을 살펴보면 2015년 6월 15일 게시된 "VMware Workstation 11.1.1 Build 2771112 (x64) [Serial]" 제목으로 작성된 게시물이며, 이를 통해 조작된 설치 파일(VMware-workstation-full-11.1.1-2771112.exe)과 시리얼 번호가 포함된 텍스트 파일(S.n.txt)을 다운로드합니다.

  • 정상 파일 : VMware-workstation-full-11.1.1-2771112.exe (303MB) - SHA-1 : 66bdf7548433e0b6948553d438052b820831bd5b
  • 조작된 유포 파일 : VMware-workstation-full-11.1.1-2771112.exe (289MB) - SHA-1 : 38c6d183324090cd84aac47f245a5d6373c6e891

정상적인 VMware Workstation 11 설치 파일과 차이점을 비교해보면 파일 아이콘은 동일하지만 정상적인 설치 파일에 포함된 "VMware, Inc." 디지털 서명이 존재하지 않는 것을 알 수 있습니다.

 

일반적으로 상용 소프트웨어의 설치 파일 상당수는 유효한 디지털 서명이 포함되어 있다는 점을 명심하시고 인터넷 상에서 파일을 다운로드한 경우에는 반드시 확인하는 습관을 가지시기 바랍니다.

  • VMware-workstation-full-11.1.1-2771112.exe (정상 파일)
  • Windows System.exe (SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5) - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D, MSE : Backdoor:MSIL/Bladabindi (VT : 17/57)

토렌트(Torrent)를 통해 다운로드된 조작된 "VMware-workstation-full-11.1.1-2771112.exe" 파일 내부에는 정상적인 VMware Workstation 설치 파일과 악성 파일(Windows System.exe)이 포함되어 있습니다.

 

다운로드된 조작된 "VMware-workstation-full-11.1.1-2771112.exe" 파일을 최초 실행하면 임시 폴더(%Temp%)에 파일을 압축 해제하며, 화면 상에서는 VMware Workstation 설치 화면이 표시되지만 백그라운드 방식으로 다음과 같은 악의적인 행위를 수행합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe
 - SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5
 - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\VMware-workstation-full-11.1.1-2771112.exe :: 정상 파일

 

C:\Users\(사용자 계정)\AppData\Local\Temp\Windows System.exe
 - SHA-1 : 325b5b120d499a69ababf3213ea61eb3a917d4c5
 - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)

Windows System.exe 악성 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" 파일명으로 자신을 복제한 후 자신은 자동 종료 처리됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
 - {C3CC4D16-4F38-4A19-A4E6-0C49C17FFE5F} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Local
\Temp\System.exe|Name=System.exe|
 - {F1678C3D-E05A-488D-8F73-48140DFBE4DC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Local\Temp
\System.exe|Name=System.exe|

생성된 System.exe 악성 파일은 "C:\Windows\System32\netsh.exe" 시스템 파일(네트워크 명령 셸, Network Command Shell)을 실행하여 [netsh firewall add allowedprogram "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" "System.exe" ENABLE] 명령어를 통해 Windows 방화벽의 허용 프로그램으로 자신을 등록합니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f1601c33744de6dbc8f9e8c6f0ed4be6.exe (= Windows System.exe, System.exe) - AhnLab V3 : Win-Trojan/Msil.148480.B, 알약(ALYac) : Backdoor.Agent.246D (VT : 17/57)

이후 Windows 시작시 자동 실행되도록 시작프로그램 영역에 f1601c33744de6dbc8f9e8c6f0ed4be6.exe 파일명으로 자신을 복제하여 등록합니다.

이를 통해 시스템 시작시마다 자동 실행된 f1601c33744de6dbc8f9e8c6f0ed4be6.exe 악성 파일은 일정 시간이 경과하면 "C:\Users\(사용자 계정)\AppData\Local\Temp\System.exe" 악성 파일을 로딩하여 메모리에 상주하며, 이 과정에서 Windows 방화벽 허용 프로그램 등록 및 시작프로그램 등록값을 재생성합니다.

실행된 악성 파일(System.exe)은 요르단(Jordan)에 위치한 "chrome.blogsite.org (149.200.219.131:1166)" 서버와 통신을 시도하며 원격 제어를 통한 추가적인 파일 다운로드(업데이트) 등의 명령 수행을 통해 정보 유출과 같은 좀비PC로 활용될 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER
 - di = !
HKEY_CURRENT_USER\Environment
 - SEE_MASK_NOZONECHECKS = 1
HKEY_CURRENT_USER\Software\f1601c33744de6dbc8f9e8c6f0ed4be6

 

그러므로 토렌트(Torrent) 파일 공유 방식을 통해 유료 소프트웨어를 다운로드할 경우에는 유효한 디지털 서명이 포함되어 있는지 여부를 잘 확인하시기 바라며, 신뢰할 수 없는 출처를 통한 다운로드를 통해 정체를 알 수 없는 공격자로부터 시스템 제어권을 뺏기는 일이 없도록 각별히 주의하시기 바랍니다.