최근 특정 사용자의 PC에서 실행되는 의심스러운 파일이 확인되어 조사를 하던 중 이글루스(Egloos) 블로그를 악용하여 악성코드 유포를 하는 부분이 존재하여 간단하게 살펴보도록 하겠습니다.
우선 확인되지 않은 프로그램을 사용자가 실행할 경우 다음과 같은 특정 이글루스 블로그에 접속할 수 있습니다.
해당 블로그에서는 2015년 7월 2일 야간에 영어로 작성된 2건의 게시글을 등록하였으며, 게시글 내용에는 각각 서로 다른 WordPress 계정에 등록된 PNG 그림 파일로 위장한 링크가 포함되어 있습니다.
- h**ps://******.files.wordpress.com/2015/08/acttom.png (SHA-1 : 496c83635fbd1475d871d5602977d5c97b914eb0) - AhnLab V3 : Trojan/Win32.Agent.C1075943, 알약(ALYac) : Trojan.Downloader.Cliker.ADV
다소 시간이 경과하여 2개 중 1개만 분석 시점에서 다운로드가 가능하였으며, 실제 설치 시점은 2015년 8월 5일경부터 이루어졌던 것으로 보입니다.
특이한 점은 acttom.png 악성 파일은 사용자 몰래 자동으로 확인되지 않은 악성 프로그램에 다운로드 및 실행되었을 것으로 보이며, 디지털 서명이 포함되어 있지 않은 관계로 AhnLab V3 보안 제품에서는 클라우드 평판창이 실행되었는데 수만명 이상이 대부분 실행을 수락하였을 것으로 추정됩니다.
역으로 생각하면 acttom.png 악성 파일을 다운로드하는 악성 프로그램이 설치된 사용자는 무척 많았다는 점에서 사용자들이 많이 찾는 프로그램으로 위장하여 설치한 것이 아닌가 생각됩니다.
수집된 acttom.png 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\(6자리 영문).exe" 파일 패턴으로 생성되어 동작하는 것으로 추정되는 AutoHotkey 파일 아이콘 모양이며, 내부에 존재하는 스크립트를 통해 다음과 같은 추가적인 행위를 수행합니다.
실행된 악성 파일은 또 다른 이글루스 블로그 계정에 등록된 영문으로 작성된 게시글을 파싱하며, 게시글 내용에는 이전과 동일하게 특정 WordPress 계정에 등록된 PNG 그림 파일 링크가 포함되어 있습니다.
참고로 해당 게시글은 2015년 8월 5일 등록되어 있으며, PNG 파일은 지속적으로 업데이트되어 현재 2015년 12월 20일경부터 변종을 유포하여 수천명 이상이 감염되었을 것으로 보입니다.
- h**ps://******.files.wordpress.com/2015/12/dslw.png (SHA-1 : 98b4141b3c570eb5dcf8f636d59afcbb94c0041d) - Hauri ViRobot : Trojan.Win32.Downloader.824320.A[h]
다운로드되는 dslw.png 그림 파일은 실제로는 PE 실행 파일이며, 하우리(Hauri) 진단명을 근거로 추가적인 변종에 대한 조사를 진행하여 매우 유사한 1건의 악성 파일을 확인할 수 있었습니다.
- Adobe Photoshop 7.0.1 kor.exe (SHA-1 : dc9bc7c62a8e188a60439150be02e561b4dbadd3) - Hauri ViRobot : Trojan.Win32.Downloader.824320.A[h]
2015년 7월경에 최초 확인된 악성 파일 역시 AutoHotkey로 제작되었지만 유포 방식이 Adobe Photoshop 한글 패치로 위장하여 유포된 것으로 추정되며 이로 인하여 다수의 사용자들이 의심없이 실행한 것이 아닌가 추정됩니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\eylkg :: PNG 다운로드 링크가 포함된 이글루스 게시글 저장
C:\Users\(사용자 계정)\AppData\Local\Temp\eylkga.exe
- SHA-1 : 98b4141b3c570eb5dcf8f636d59afcbb94c0041d
- Hauri ViRobot : Trojan.Win32.Downloader.824320.A[h]
WordPress 계정에 등록된 PNG 파일을 자동 다운로드하여 사용자 임시 폴더 내에 AutoHotkey 파일 아이콘 모양을 한 (6자리 영문).exe 파일 패턴으로 생성되며, 실행시 가상 환경 및 특정 분석 도구에 대한 체크를 통해 분석을 방해하고 있습니다.
또한 파일 생성 과정에서 임시 폴더에 존재하는 .txt, .log, .tmp, .html, .xml 등의 확장명을 가진 파일을 자동으로 삭제하는 행위가 존재합니다.
만약 정상적으로 실행될 경우 Windows 부팅시 자동 실행될 레지스트리 값 추가, 실행을 통한 추가적인 악성 파일 다운로드, 키보드/마우스 후킹을 통한 정보 유출, 스크립트 실행을 통한 매크로 방식의 자동 클릭 등의 다양한 악의적인 행위를 수행할 수 있을 것으로 추정됩니다.
그렇다면 해당 악성 프로그램 유포에 관여된 인물(조직)은 누구일지 유포에 사용된 블로그를 통해 추적하던 중 예전부터 불법 도박, 불법 의약품 판매글이 등록된 다수의 이글루스 블로그를 발견할 수 있었습니다.
- h**p://aiai49*.egloos.com
- h**p://argsfdszf*.egloos.com
- h**p://bhhbhbk*.egloos.com
- h**p://bhtfru8jg*.egloos.com
- h**p://cbvsez21*.egloos.com
- h**p://cxvxxcvxv*.egloos.com
- h**p://dfg4565*.egloos.com
- h**p://ehalzh*.egloos.com
- h**p://english*.egloos.com
- h**p://fallforyo*.egloos.com
- h**p://fytdfgcfg*.egloos.com
- h**p://hi7yuhjir*.egloos.com
- h**p://htardhfda*.egloos.com
- h**p://jikjhkhfg*.egloos.com
- h**p://kde24ke3*.egloos.com
- h**p://pochi12*.egloos.com
- h**p://qudtn030*.egloos.com
- h**p://s2dlwoahr*.egloos.com
- h**p://skakrtm6*.egloos.com
- h**p://tkfahtk7*.egloos.com
- h**p://twzaclkfk*.egloos.com
- h**p://tyhtr45*.egloos.com
- h**p://vheh087*.egloos.com
- h**p://zscdzsczs*.egloos.com
이런 증거를 통해 해당 악성 프로그램 유포는 불법 도박 조직이 마치 외국인이 등록된 것처럼 영문 게시글을 등록하고 내부에 포함된 WordPress 링크를 통해 악성 파일을 지속적으로 유포하고 있었던 것으로 보입니다.
최근 이글루스에서는 블로그에 업로드된 악성 파일로 인하여 Chrome, Mozilla, Safari 웹 브라우저에 의해 일부 차단이 이루어지는 문제가 있었던 것으로 보이며, 이는 이글루스 뿐 아니라 블로그 서비스를 하는 업체의 가장 큰 고민일 것입니다.