울지않는벌새 : Security, Movie & Society

카카오톡(KakaoTalk) 파일로 위장한 백도어(Backdoor) 유포 정보 (2016.9.4)

벌새::Analysis

최근 네이버 지식인, 커뮤니티에 감염 경로를 알 수 없는 방식으로 카카오톡(KakaoTalk), Skype 관련 파일처럼 위장하여 실행되는 악성코드에 대한 정보가 올라오는 경우가 확인되고 있습니다.

 

 

해당 악성코드에 대한 정보 확인을 위해 Ec0nomist's Lab. 보안 블로그 운영자님으로부터 기초 정보를 받아서 유포 방식 및 전반적인 부분에 대해 간단하게 살펴보도록 하겠습니다.

 

우선 감염 유포처는 확인할 수 없지만 토렌트(Torrent)와 같은 파일 공유 방식으로 유포가 이루어지고 있는 것으로 보이며, 실제 다음과 같이 감염 시 한컴오피스 설치와 관련된 부분을 발견할 수 있었습니다.

 

사용자가 인터넷 상에서 임의의 파일을 다운로드하여 실행(설치)하는 과정에서 내부에 포함된 악성 파일(SHA-1 : 303792191df36dbe7e7a1c58b943da8adb4dc660 - BitDefender : Dropped:Trojan.GenericKD.3444477)을 통해 다음과 같이 감염될 수 있을 것으로 추정됩니다.

 

생성 파일 및 진단 정보

 

C:\Install.exe :: "HANCOM. INC," 디지털 서명이 포함된 한컴오피스 정상 파일

 

C:\lsm.exe
 - SHA-1 : 5f709bebd763d278cd0f8ec8ad8e01e9f3ad874c
 - Microsoft : Trojan:Win32/Subsys!rfn

 

 

 

최초 감염 과정에서 한컴오피스 인스톨(Install) 파일 생성 및 자동 실행을 통해 ['C:\install\setup.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오.] 오류창이 생성됩니다.

 

이 과정에서 생성된 "C:\lsm.exe" 악성 파일은 임시 폴더(%Temp%) 영역에 다음과 같은 악성 파일을 생성합니다.

 

생성 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Local\Temp\csrss.exe
 - SHA-1 : d63ae664d781d3ebb0ce5a8a7b2c3f02d24ce11b
 - AhnLab V3 : Trojan/Win32.Nitol.R185419

 

C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe
 - SHA-1 : d040222a08512ac31728899d9f03ccee24873866
 - nProtect : Trojan/W32.Agent.522752.DO

 

 

 

임시 폴더에 생성된 "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" 악성 파일은 "C:\Users\%UserName%\AppData\Local\szfhe.reg" 파일 생성 및 실행을 통해 다음과 같은 시작 프로그램 등록값을 추가하여 Windows 부팅 시 자신이 자동 실행되도록 구성합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 821321 = C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe
 - 8cc99332a8e7bc53d1b1c2118359c53e = "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" ..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 8cc99332a8e7bc53d1b1c2118359c53e = "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" ..

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - {6DC0016D-4B64-458D-8BDD-562C3425415C} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe|Name=taskhost.exe|
 - {A4CF8361-E3CA-49DD-8E48-2727834B7784} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe|Name=taskhost.exe|

또한 Windows 방화벽에 "C:\Users\%UserName%\AppData\Local\Temp\taskhost.exe" 파일을 허용되는 프로그램으로 추가하여 외부 통신 시 차단되지 않도록 설정합니다.

 

임시 폴더에 생성된 "C:\Users\%UserName%\AppData\Local\Temp\csrss.exe" 악성 파일은 "C:\lsm.exe" 악성 파일을 자가 복제하여 다음과 같은 악성 파일을 생성합니다.

 

생성 파일 및 진단 정보

 

C:\Windows\System32\Nationacq.exe
 - SHA-1 : d63ae664d781d3ebb0ce5a8a7b2c3f02d24ce11b
 - Microsoft : DDoS:Win32/Nitol.A

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Svchosteby

 

시스템 폴더에 생성된 악성 파일은 "Svchosteby (표시 이름 : Internet Secuirty Connectio xy Servicet)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Windows\system32\Nationacq.exe" 악성 파일을 자동 실행되도록 구성합니다.

 

 

위와 같이 백도어(Backdoor) 악성코드에 감염된 환경에서는 지속적으로 "160716.myq-see.com" C&C 서버와의 통신을 시도하며, 정상적으로 명령 서버와 통신이 이루어질 경우 추가적인 악성코드 다운로드를 통해 악의적인 기능을 수행할 수 있습니다.

 

 

  • h**p://45.32.40.**:****/KaKaoTalk_Setup.exe (SHA-1 : 4eea5938e799e59ca45ef87aa19c3ea8900eb091) - AhnLab V3 : Backdoor/Win32.Infostealer.C1536534
  • h**p://45.32.40.**:****/Skype_Setup.exe (SHA-1 : 47f44ebd3317a8447d4e158be2477a802b664920) - 알약(ALYac) : Trojan.Agent.MSIL.Injector

 

특히 추가적으로 다운로드될 수 있는 파일 중에서는 카카오톡(KakaoTalk), Skype 아이콘 및 파일명으로 위장한 악성 파일이 포함되어 있으며, 해당 악성코드는 2016년 8월 초부터 현재까지 활동하는 것으로 보입니다.

 

현재 알려진 감염 정보에 의하면 "C:\ProgramData\Kakao Talk\KaKaoTalk.exe" 폴더(파일) 생성을 통해 자동 실행되는 것으로 알려져 있으며, 감염될 경우 다음과 같은 악의적인 기능 수행이 있을 수 있습니다.

 

  1. 특정 프로세스 종료
  2. 시스템 복원점 삭제
  3. Windows 백도어 계정 생성
  4. RDP를 통한 원격 제어
  5. 백신 프로그램 종료
  6. 추가적인 파일 다운로드 및 다운로드 속도 측정(h**p://cachefly.cachefly.net/5mb.test)
  7. Windows 방화벽 설정 변경
  8. FileZilla FTP 프로그램이 저장된 계정 정보 수집
  9. C&C 서버 정보 : dd0s3r.zapto.org:6974 (45.32.40.87)

 

위와 같은 관련 정보를 기반으로 현재 추가적으로 유포될 수 있는 악성 파일이 서버에 존재한지 확인해 보았습니다.

 

 

  • h**p://45.32.40.**:****/Hema.exe (SHA-1 : 981a135e92c2590ec53125f40a3c2a5a5e8f3a0b) - AhnLab V3 : Trojan/Win32.ServStart
  • h**p://45.32.40.**:****/skull.exe (SHA-1 : 1e23dba92e7fbc7a88d87c557b730d77f0dc9deb) - BitDefender : Trojan.GenericKD.3510733

 

Berryz WebShare 서비스를 이용하여 등록된 2개의 악성 파일이 추가되어 있는 것을 확인할 수 있으며, 만약 다운로드 및 실행될 경우 자가 복제 방식으로 다음과 같은 악성 파일이 생성될 수 있습니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\spwindows
C:\Users\%UserName%\AppData\Roaming\spwindows\SP3Service-32-64.exe

 - SHA-1 : 981a135e92c2590ec53125f40a3c2a5a5e8f3a0b

 - AhnLab V3 : Trojan/Win32.ServStart

 

 - SHA-1 : 1e23dba92e7fbc7a88d87c557b730d77f0dc9deb

 - BitDefender : Trojan.GenericKD.3510733

 

 

생성된 악성 파일은 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\servicepack" 시작 프로그램 등록값 추가를 통해 Windows 시작 시 SP3Service-32-64.exe 악성 파일을 자동 실행되도록 구성합니다.

 

해당 악성 파일 역시 "dd0s3r.zapto.org:171" C&C 서버와의 통신을 통한 추가적인 악성 파일 다운로드, Windows 방화벽 설정 변경 등의 악의적인 기능을 수행할 수 있습니다.

 

참고로 수집된 서버 정보를 기반으로 유포된 추가적인 악성 파일 정보는 다음과 같으며, 일반적으로 카카오톡(KakaoTalk), Skype 외에도 Chrome, 시스템 파일명, (숫자).exe 파일 형태 등 다양한 파일명으로 감염될 수 있습니다.

 

  1. SHA-1 : 1298f3f06797c789c095ab197f9f26e3b847931f - Microsoft : Backdoor:MSIL/Bladabindi
  2. SHA-1 : 144c4e4785671b28430f293cacdd14916169dce1 - BitDefender : Trojan.GenericKD.3460785
  3. SHA-1 : 153f61d34f3fb749c31ae592ccf249f22f323c1a - ESET : a variant of Generik.DJXCOAQ
  4. SHA-1 : 19bfd46e55e745004d5d767e4392453dd4a1b695 - nProtect : Backdoor/W32.DarkKomet.1091072.C
  5. SHA-1 : 277d7fa7424b10784512669806083e1a7283a473 - BitDefender : Gen:Heur.ManBat.1
  6. SHA-1 : 2c28107b8a67b02051799884f40a3d678bfe0edc - AVG : Generic16_c.BFJ
  7. SHA-1 : 340113c475cf2ae0ec5f98cdd130d22549f6042e - ESET : a variant of MSIL/Injector.PYI
  8. SHA-1 : 5a635c3a641e01a36417ab86bfddf1e0d2a72f53 - ESET : a variant of MSIL/Injector.QAK
  9. SHA-1 : 60fbb1797ca3d7144a9eba453f263c7ed3fbba89 - Kaspersky : Trojan.Win32.Pincav.bqotl
  10. SHA-1 : 7a9bb65e43ceb40c50e16425bb31430c80458bf6 - Hauri ViRobot : Trojan.Win32.Z.Bladabindi.2493515[h]
  11. SHA-1 : 7fbbe581b7ed76f7fcdf17189a96cfb93823615b - avast! : Win32:Rootkit-gen [Rtk]
  12. SHA-1 : 8e8eaa4ebfc0f20da300296dfc99ab873c8f8343 - AVG : Generic15_c.CMGT
  13. SHA-1 : a42acc1e27f9d04e0341a1dc77489ce6a66de4ce - 알약(ALYac) : Trojan.Dropper.MSIL
  14. SHA-1 : a672973cf8add4d8597f16db8fb8ca4531644aa7 - Hauri ViRobot : Trojan.Win32.Z.Injector.659984[h]
  15. SHA-1 : ae1f5f3b896d6a57d5ead77a50a57f88762dfa7c - 알약(ALYac) : Trojan.MSIL.Injector.32943
  16. SHA-1 : c7fbe22713bb6d81dab43f1600cb687fbc1ec391 - 알약(ALYac) : Trojan.DDoS.Nitol.gen
  17. SHA-1 : ca1e09bff08813a97ec83eab3eaf2f0403bc8923 - AVG : Downloader.Generic_r.OO
  18. SHA-1 : d180bdbe942be82b8ff493b2c7a0c6f561c3f461 - ESET : a variant of MSIL/Injector.PYI
  19. SHA-1 : d234166405e0f514c9a0e6e13b3448964c44c3c6 - BitDefender : Trojan.GenericKD.3458045
  20. SHA-1 : f437a7124ef68c04cddd44b87b786f97849a3c77 - Kaspersky : Trojan.Win32.Swisyn.fpei

 

위와 같이 사용자가 신뢰할 수 없는 웹사이트를 통해 다운로드한 프로그램 설치 과정 시스템 파일명으로 교묘하게 감염된 후 지속적으로 악성 파일 추가 다운로드를 통해 정보 유출 및 좀비 PC가 될 수 있습니다.

 

특히 이번 악성코드는 최초 수백대 이상이 악성 파일에 노출된 것으로 보이므로 관련 감염이 의심될 경우 백신 또는 Malware Zero Kit (MZK) 도구를 이용하여 검사하여 뿌리뽑으시기 바랍니다.