최근 네이버 지식인, 커뮤니티에 감염 경로를 알 수 없는 방식으로 카카오톡(KakaoTalk), Skype 관련 파일처럼 위장하여 실행되는 악성코드에 대한 정보가 올라오는 경우가 확인되고 있습니다.
해당 악성코드에 대한 정보 확인을 위해 Ec0nomist's Lab. 보안 블로그 운영자님으로부터 기초 정보를 받아서 유포 방식 및 전반적인 부분에 대해 간단하게 살펴보도록 하겠습니다.
우선 감염 유포처는 확인할 수 없지만 토렌트(Torrent)와 같은 파일 공유 방식으로 유포가 이루어지고 있는 것으로 보이며, 실제 다음과 같이 감염 시 한컴오피스 설치와 관련된 부분을 발견할 수 있었습니다.
사용자가 인터넷 상에서 임의의 파일을 다운로드하여 실행(설치)하는 과정에서 내부에 포함된 악성 파일(SHA-1 : 303792191df36dbe7e7a1c58b943da8adb4dc660 - BitDefender : Dropped:Trojan.GenericKD.3444477)을 통해 다음과 같이 감염될 수 있을 것으로 추정됩니다.
생성 파일 및 진단 정보 |
C:\Install.exe :: "HANCOM. INC," 디지털 서명이 포함된 한컴오피스 정상 파일
C:\lsm.exe
|
최초 감염 과정에서 한컴오피스 인스톨(Install) 파일 생성 및 자동 실행을 통해 ['C:\install\setup.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.] 오류창이 생성됩니다.
이 과정에서 생성된 "C:\lsm.exe" 악성 파일은 임시 폴더(%Temp%) 영역에 다음과 같은 악성 파일을 생성합니다.
생성 파일 및 진단 정보 |
C:\Users\%UserName%\AppData\Local\Temp\csrss.exe
C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe
|
임시 폴더에 생성된 "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" 악성 파일은 "C:\Users\%UserName%\AppData\Local\szfhe.reg" 파일 생성 및 실행을 통해 다음과 같은 시작 프로그램 등록값을 추가하여 Windows 부팅 시 자신이 자동 실행되도록 구성합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 821321 = C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe
- 8cc99332a8e7bc53d1b1c2118359c53e = "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" ..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 8cc99332a8e7bc53d1b1c2118359c53e = "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" ..
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- {6DC0016D-4B64-458D-8BDD-562C3425415C} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe|Name=taskhost.exe|
- {A4CF8361-E3CA-49DD-8E48-2727834B7784} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe|Name=taskhost.exe|
또한 Windows 방화벽에 "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" 파일을 허용되는 프로그램으로 추가하여 외부 통신 시 차단되지 않도록 설정합니다.
임시 폴더에 생성된 "C:\Users\%UserName%\AppData\Local\Temp\csrss.exe" 악성 파일은 "C:\lsm.exe" 악성 파일을 자가 복제하여 다음과 같은 악성 파일을 생성합니다.
생성 파일 및 진단 정보 |
C:\Windows\System32\Nationacq.exe
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Svchosteby
시스템 폴더에 생성된 악성 파일은 "Svchosteby (표시 이름 : Internet Secuirty Connectio xy Servicet)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Windows\system32\Nationacq.exe" 악성 파일을 자동 실행되도록 구성합니다.
위와 같이 백도어(Backdoor) 악성코드에 감염된 환경에서는 지속적으로 "160716.myq-see.com" C&C 서버와의 통신을 시도하며, 정상적으로 명령 서버와 통신이 이루어질 경우 추가적인 악성코드 다운로드를 통해 악의적인 기능을 수행할 수 있습니다.
- h**p://45.32.40.**:****/KaKaoTalk_Setup.exe (SHA-1 : 4eea5938e799e59ca45ef87aa19c3ea8900eb091) - AhnLab V3 : Backdoor/Win32.Infostealer.C1536534
- h**p://45.32.40.**:****/Skype_Setup.exe (SHA-1 : 47f44ebd3317a8447d4e158be2477a802b664920) - 알약(ALYac) : Trojan.Agent.MSIL.Injector
특히 추가적으로 다운로드될 수 있는 파일 중에서는 카카오톡(KakaoTalk), Skype 아이콘 및 파일명으로 위장한 악성 파일이 포함되어 있으며, 해당 악성코드는 2016년 8월 초부터 현재까지 활동하는 것으로 보입니다.
현재 알려진 감염 정보에 의하면 "C:\ProgramData\Kakao Talk\KaKaoTalk.exe" 폴더(파일) 생성을 통해 자동 실행되는 것으로 알려져 있으며, 감염될 경우 다음과 같은 악의적인 기능 수행이 있을 수 있습니다.
- 특정 프로세스 종료
- 시스템 복원점 삭제
- Windows 백도어 계정 생성
- RDP를 통한 원격 제어
- 백신 프로그램 종료
- 추가적인 파일 다운로드 및 다운로드 속도 측정(h**p://cachefly.cachefly.net/5mb.test)
- Windows 방화벽 설정 변경
- FileZilla FTP 프로그램이 저장된 계정 정보 수집
- C&C 서버 정보 : dd0s3r.zapto.org:6974 (45.32.40.87)
위와 같은 관련 정보를 기반으로 현재 추가적으로 유포될 수 있는 악성 파일이 서버에 존재한지 확인해 보았습니다.
- h**p://45.32.40.**:****/Hema.exe (SHA-1 : 981a135e92c2590ec53125f40a3c2a5a5e8f3a0b) - AhnLab V3 : Trojan/Win32.ServStart
- h**p://45.32.40.**:****/skull.exe (SHA-1 : 1e23dba92e7fbc7a88d87c557b730d77f0dc9deb) - BitDefender : Trojan.GenericKD.3510733
Berryz WebShare 서비스를 이용하여 등록된 2개의 악성 파일이 추가되어 있는 것을 확인할 수 있으며, 만약 다운로드 및 실행될 경우 자가 복제 방식으로 다음과 같은 악성 파일이 생성될 수 있습니다.
생성 폴더 / 파일 및 진단 정보 |
C:\Users\%UserName%\AppData\Roaming\spwindows - SHA-1 : 981a135e92c2590ec53125f40a3c2a5a5e8f3a0b - AhnLab V3 : Trojan/Win32.ServStart
- SHA-1 : 1e23dba92e7fbc7a88d87c557b730d77f0dc9deb - BitDefender : Trojan.GenericKD.3510733
|
생성된 악성 파일은 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\servicepack" 시작 프로그램 등록값 추가를 통해 Windows 시작 시 SP3Service-32-64.exe 악성 파일을 자동 실행되도록 구성합니다.
해당 악성 파일 역시 "dd0s3r.zapto.org:171" C&C 서버와의 통신을 통한 추가적인 악성 파일 다운로드, Windows 방화벽 설정 변경 등의 악의적인 기능을 수행할 수 있습니다.
참고로 수집된 서버 정보를 기반으로 유포된 추가적인 악성 파일 정보는 다음과 같으며, 일반적으로 카카오톡(KakaoTalk), Skype 외에도 Chrome, 시스템 파일명, (숫자).exe 파일 형태 등 다양한 파일명으로 감염될 수 있습니다.
- SHA-1 : 1298f3f06797c789c095ab197f9f26e3b847931f - Microsoft : Backdoor:MSIL/Bladabindi
- SHA-1 : 144c4e4785671b28430f293cacdd14916169dce1 - BitDefender : Trojan.GenericKD.3460785
- SHA-1 : 153f61d34f3fb749c31ae592ccf249f22f323c1a - ESET : a variant of Generik.DJXCOAQ
- SHA-1 : 19bfd46e55e745004d5d767e4392453dd4a1b695 - nProtect : Backdoor/W32.DarkKomet.1091072.C
- SHA-1 : 277d7fa7424b10784512669806083e1a7283a473 - BitDefender : Gen:Heur.ManBat.1
- SHA-1 : 2c28107b8a67b02051799884f40a3d678bfe0edc - AVG : Generic16_c.BFJ
- SHA-1 : 340113c475cf2ae0ec5f98cdd130d22549f6042e - ESET : a variant of MSIL/Injector.PYI
- SHA-1 : 5a635c3a641e01a36417ab86bfddf1e0d2a72f53 - ESET : a variant of MSIL/Injector.QAK
- SHA-1 : 60fbb1797ca3d7144a9eba453f263c7ed3fbba89 - Kaspersky : Trojan.Win32.Pincav.bqotl
- SHA-1 : 7a9bb65e43ceb40c50e16425bb31430c80458bf6 - Hauri ViRobot : Trojan.Win32.Z.Bladabindi.2493515[h]
- SHA-1 : 7fbbe581b7ed76f7fcdf17189a96cfb93823615b - avast! : Win32:Rootkit-gen [Rtk]
- SHA-1 : 8e8eaa4ebfc0f20da300296dfc99ab873c8f8343 - AVG : Generic15_c.CMGT
- SHA-1 : a42acc1e27f9d04e0341a1dc77489ce6a66de4ce - 알약(ALYac) : Trojan.Dropper.MSIL
- SHA-1 : a672973cf8add4d8597f16db8fb8ca4531644aa7 - Hauri ViRobot : Trojan.Win32.Z.Injector.659984[h]
- SHA-1 : ae1f5f3b896d6a57d5ead77a50a57f88762dfa7c - 알약(ALYac) : Trojan.MSIL.Injector.32943
- SHA-1 : c7fbe22713bb6d81dab43f1600cb687fbc1ec391 - 알약(ALYac) : Trojan.DDoS.Nitol.gen
- SHA-1 : ca1e09bff08813a97ec83eab3eaf2f0403bc8923 - AVG : Downloader.Generic_r.OO
- SHA-1 : d180bdbe942be82b8ff493b2c7a0c6f561c3f461 - ESET : a variant of MSIL/Injector.PYI
- SHA-1 : d234166405e0f514c9a0e6e13b3448964c44c3c6 - BitDefender : Trojan.GenericKD.3458045
- SHA-1 : f437a7124ef68c04cddd44b87b786f97849a3c77 - Kaspersky : Trojan.Win32.Swisyn.fpei
위와 같이 사용자가 신뢰할 수 없는 웹사이트를 통해 다운로드한 프로그램 설치 과정 시스템 파일명으로 교묘하게 감염된 후 지속적으로 악성 파일 추가 다운로드를 통해 정보 유출 및 좀비 PC가 될 수 있습니다.
특히 이번 악성코드는 최초 수백대 이상이 악성 파일에 노출된 것으로 보이므로 관련 감염이 의심될 경우 백신 또는 Malware Zero Kit (MZK) 도구를 이용하여 검사하여 뿌리뽑으시기 바랍니다.