본문 바로가기

벌새::Analysis

Chrome 웹 브라우저의 다운로드 기록을 우회하는 InstallCore 해외 광고 프로그램 유포 방식 (2015.10.18)

728x90
반응형

Chrome 웹 브라우저를 이용하여 다양한 광고가 노출될 수 있는 해외 사이트를 이용하는 과정에서 Adobe Flash Player 업데이트를 요구하는 경고 메시지가 생성되는 경우가 있습니다.

alwaysne.plugin2update.org의 페이지 내용:

 

WARNING!
Your Adobe Flash Player version is out of date. Your computer is prone to malware attacks! Please update the latest Flash Player version.

 

There is a new Flash Player version. Install new version now for better performance.

표시되는 메시지에서는 구버전의 Adobe Flash Player 버전 사용으로 악성코드 감염이 발생할 수 있다는 경고 또는 성능 향상을 위해 새로운 Flash Player 버전을 설치하도록 유도하고 있습니다.

이를 통해 Flash 설치 화면으로 구성된 콘텐츠를 표시하여 사용자로 하여금 업데이트(Update) 또는 설치(Install) 버튼을 클릭하도록 구성되어 있습니다.

이후 단계에서는 화면상으로는 거의 표시되지 않는 짧은 시간에 Chrome 웹 브라우저의 캐시 폴더(C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Profile 1\Cache)에 "Adverts Technologies" 디지털 서명이 포함된 임의의 파일을 자동으로 다운로드합니다.

사용자의 실제 화면상에서는 Flash로 제작된 다운로드(Download) 버튼을 표시하여 Adobe Flash Player 설치 파일을 다운로드하도록 안내하고 있습니다.

이후 파일 다운로드 과정에서 흥미로운 부분을 발견할 수 있는데 Chrome 웹 브라우저의 기본값에서는 "다운로드 전에 각 파일의 저장 위치 확인" 체크 항목을 선택하지 않는 한 웹 브라우저 하단에 표시되면서 다운로드되는 파일은 자동으로 다운로드됩니다.

그런데 Adobe Flash Player 설치 파일을 다운로드하는 과정에서 사용자 설정 옵션과는 무관하게 "다른 이름으로 저장" 창을 생성하여 adobe_flash_player.exe 파일을 특정 폴더에 다운로드하도록 진행됩니다.

정상적으로 다운로드가 이루어진 후에는 adobe_flash_player.exe 파일을 실행하여 설치를 하도록 안내하면서 모든 다운로드 절차가 완료됩니다.

이렇게 다운로드된 adobe_flash_player.exe 파일의 다운로드 URL 값을 확인하기 위해 Chrome 웹 브라우저의 다운로드(chrome://downloads) 항목을 확인해보면 URL 값이 기록되지 않은 상태임을 알 수 있습니다.

위와 같이 Chrome 웹 브라우저에서 파일 다운로드시 설정값을 우회하면서 다운로드 URL 값도 표시하지 않는 이유를 웹 개발자가 아닌 관계로 정확하게 알 수는 없지만 핵심적인 다운로드 과정을 살펴보면 Javascript + Flash 라이브러리를 이용한 Downloadify 파일 다운로드 방식을 활용한 것으로 보입니다.

 

  • adobe_flash_player.exe (SHA-1 : 218ff2cac4be8d9b2878ac5e1865e8d11dae46fa) - AVG : InstallCore.ATA (VT : 10/55)
  • adobe_flash_player.exe (SHA-1 : 721e327358da1f11f97057201bb36f0872d4fcdd) - ESET : a variant of Win32/InstallCore.ACZ potentially unwanted (VT : 10/56)

"Adverts Technologies" 디지털 서명이 포함된 adobe_flash_player.exe 파일을 살펴보면 지속적인 변종으로 설치 파일을 변경하고 있으며, 일명 InstallCore 계열의 해외 광고 프로그램임을 알 수 있습니다.

 

InstallCore 해외 광고 프로그램의 핵심적인 특징은 설치 과정에서 가상 환경을 체크하여 리얼(Real) 환경과 다르게 동작한다는 점이며, 가상 환경에서는 추가적으로 설치될 수 있는 해외 광고 프로그램의 정체를 노출하지 않도록 제작되어 있습니다.

"Installer App Setup" 프로그램 이름을 가진 adobe_flash_player.exe 파일을 실행하여 리얼(Real) 환경과 가상 환경의 차이를 다시 한 번 살펴보도록 하겠습니다.

 

■ 4단계 중 1단계 <리얼 환경 (표시) / 가상 환경 (표시)>

첫 번째 단계에서는 사용자가 설치를 원하는 Adobe Flash Player 설치 파일(flash_setup.exe) 정보를 표시합니다.

 

4단계 중 2단계 <리얼 환경 (표시) / 가상 환경 (표시 안 함)>

두 번째 단계에서는 파일 실행 환경을 체크하여 가상 환경인 경우에는 2단계 화면은 표시되지 않으며, 리얼(Real) 환경에서는 "High Stairs" 해외 광고 프로그램의 설치를 유도합니다.

또한 추가적으로 "sweet-page uninstall" 해외 광고 프로그램의 설치를 유도하며, 가상 환경에서는 해당 설치창을 표시하지 않는 방식으로 분석을 방해합니다.

 

4단계 중 3단계 <리얼 환경 (표시) / 가상 환경 (표시)>

세 번째 단계에서는 Adobe Flash Player 프로그램의 설치 파일(flash_setup.exe)을 다운로드 폴더에 자동으로 다운로드가 이루어집니다.

다운로드된 flash_setup.exe 파일을 확인해보면 "Adobe Systems Incorporated" 디지털 서명이 포함된 깨끗한 파일입니다.

 

■ 부가적인 제휴 프로그램 <리얼 환경 (표시) / 가상 환경 (표시 안 함)>

이후 단계에서는 "MyPC Backup" 해외 제휴 프로그램 설치를 유도하는 창이 생성되므로 동의 버튼을 클릭하여 설치되지 않도록 주의하시기 바랍니다.

 

4단계 중 4단계 <리얼 환경 (표시) / 가상 환경 (표시 안 함)>

마지막 단계에서는 다운로드된 Adobe Flash Player 프로그램 설치 파일(flash_setup.exe)을 실행하여 설치할지 여부를 물어봅니다.

 

  • 나중 : Adobe Flash Player 설치 안 함 + 해외 제휴 프로그램 자동 설치(화면 미표시)
  • 지금 설치 : Adobe Flash Player 설치(화면 표시) + 해외 제휴 프로그램 자동 설치(화면 미표시)

위와 같은 일련의 단계를 통해 사용자가 부가적으로 포함된 해외 제휴 프로그램 설치를 동의한 경우 자동으로 설치될 수 있습니다.

 

그러므로 해외 사이트를 이용하는 과정에서 Adobe Flash Player, Oracle Java, Internet Explorer 등의 소프트웨어 업데이트를 요구하는 메시지 창에 속아서 원치않는 광고 프로그램이 설치되지 않도록 매우 주의하시기 바랍니다.

최근 확인되는 InstallCore 해외 광고 프로그램 설치를 차단하기 위해서는 웹 보안 항목에 "*.plugin2update.org" URL 주소를 차단값으로 추가하시길 권장합니다.

728x90
반응형