본문 바로가기

벌새::Analysis

드라마 영상 파일로 위장한 파밍(Pharming) 악성코드 유포 사례 (2016.5.16)

반응형

최근의 인터넷뱅킹를 노리는 파밍(Pharming) 악성코드는 국내 광고 프로그램이 설치된 사용자를 대상으로 감염을 시키는 방식으로 활발하게 유포가 이루어지고 있는 것으로 보이며, 개인적으로 7개월 넘게 관련 파일을 살펴보지 않던 중에 2014년 11월경에 토렌트(Torrent)를 통해 유포된 사례가 확인되어 간단하게 살펴보도록 하겠습니다.

 

 

확인된 유포 파일은 1.2 GB 파일 크기를 가진 "[tvN] 미생.E06.141101.HDTV.H264.720p-WITH.exe" 파일명으로 토렌트(Torrent) 파일 공유 사이트를 통해 유포되었습니다.

 

  • [tvN] 미생.E06.141101.HDTV.H264.720p-WITH.mp4
  • cldfaft.exe (SHA-1 : ce704dd03468a038d60731f1019f048de626fbed - AhnLab V3 : Trojan/Win32.Banki.C583881)

다운로드된 EXE 파일은 곰플레이어 파일 아이콘 모양으로 위장하고 있으며, 내부에는 미생 드라마 영상 파일(.mp4)과 악성 EXE 파일이 포함되어 있습니다.

 

 

사용자가 드라마 영상 파일로 착각하여 다운로드된 EXE 파일을 실행할 경우 임시 폴더에 영상 파일과 악성 EXE 파일을 생성한 후 자동으로 동영상 플레이어 실행을 통해 드라마를 재생하여 사용자 눈을 속입니다.

 

 

하지만 이 과정에서 "C:\Users\(로그인 계정명)\AppData\Local\Temp\cldfaft.exe" 악성 파일은 "C:\Windows\System32\wbem\cimmfe.dll" 파일(SHA-1 : 0638efb465b139ec54c3f33b06d4e404dec2d902 - Hauri ViRobot : Trojan.Win32.Agent.118784.CN[h])을 생성한 후 자신은 자동 삭제합니다.

 

생성된 cimmfe.dll 파일은 백신 진단 우회 목적으로 더미(Dummy) 코드를 추가하여 랜덤(Random)한 파일 크기를 생성합니다.

 

생성 / 변경된 레지스트리 등록 정보

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AppMgmt
 - nStart = 3 :: 생성
 - Start = 3 :: 변경 전
 - Start = 2 :: 변경 후
 - WOW64 = 1 :: 생성

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AppMgmt\Parameters
 - DLL = %SystemRoot%\System32\appmgmts.dll :: 생성
 - ServiceDll = %SystemRoot%\System32\appmgmts.dll :: 변경 전
 - ServiceDll = C:\Windows\system32\wbem\cimmfe.dll :: 변경 후

 

 

 

특히 악성 cimmfe.dll 파일을 Windows 부팅 시 자동으로 실행할 목적으로 그룹 정책을 통해 배포된 소프트웨어에 대한 설치, 제거 및 열거 요청을 처리할 수 있는 "AppMgmt (표시 이름 : Application Management)" 서비스 레지스트리 값을 조작하여 자동 실행되도록 구성합니다.

 

참고로 AppMgmt 서비스 값을 조작하는 악성코드 감염 사례는 기존에도 확인된 대표적인 방식 중의 하나입니다.

 

감염이 성공적으로 이루어진 경우 부팅 시마다 "AppMgmt (표시 이름 : Application Management)" 서비스를 통해 "%SystemRoot%\system32\svchost.exe -k netsvcs" 파일 로딩을 통해 "C:\Windows\System32\wbem\cimmfe.dll" 악성 파일이 실행되는 구조입니다.

 

  • h**p://user.qzone.qq.com/1832293292
  • h**p://user.qzone.qq.com/2940783965

이를 통해 중국(China)에서 서비스하는 특정 QQ 계정으로 접속을 시도하며 시간이 상당히 흐른 현재는 계정이 삭제되어 파밍(Pharming) 동작에 필요한 IP 정보를 받아오지는 못하고 있습니다.

 

 

특히 "C:\Windows\System32\wbem\cimmfe.dll" 악성 파일의 경우 svchost.exe 시스템 파일을 통해 동작하는 문제로 파일 삭제에 어려움이 예상되므로, "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AppMgmt\Parameters\ServiceDll" 레지스트리 값에 등록된 "C:\Windows\system32\wbem\cimmfe.dll" 값을 "%SystemRoot%\System32\appmgmts.dll" 값으로 수정한 후 Windows 재부팅 후 DLL 악성 파일을 제거하는 방식으로 해결하시기 바랍니다.

 

이처럼 인터넷뱅킹 정보를 수집할 목적으로 제작된 파밍(Pharming) 악성코드는 토렌트(Torrent) 파일 공유 서비스를 악용하여 유포될 수 있다는 점을 명심하고 동영상 파일 실행 시 매우 주의하시기 바랍니다.

 

 악성 파일 추가 정보

 

해당 악성코드의 이력을 추가적으로 확인해보면 홍콩(HongKong)에 위치한 "pts.syoq2.com (174.37.172.71)" 서버와 연관된 백도어(Backdoor) 계열로 추정되며, 2014년 2월~2014년 12월경까지 활동한 것으로 보입니다.

728x90
반응형