본문 바로가기

벌새::Analysis

Adobe Photoshop CC 포터블 버전에 숨어있는 악성코드 주의 (2016.9.23)

반응형

최근에 토렌트(Torrent) 사이트를 통해 유포가 이루어지고 있는 Adobe Photoshop CC 포터블 버전을 확인하는 과정에서 사용자 몰래 악성 파일 생성 및 추가적인 악성 파일을 다운로드하는 행위가 확인되어 간단하게 살펴보도록 하겠습니다.

 

프로그램 설치가 아닌 포터블(Portable) 버전의 경우에는 특히 대용량 프로그램이나 불법적인 인증이 불편한 소프트웨어를 편하게 사용할 수 있다는 점에서 많은 사람들이 관심을 가질 수 있을 것으로 보입니다.

 

2016년 9월 20일경 유명 토렌트(Torrent) 파일 공유 사이트를 통해 유포가 시작된 Adobe Photoshop CC 포터블 버전은 630MB 수준으로 매우 저용량으로 제작된 것으로 보입니다.

 

 

다운로드된 ZIP 압축 파일 내의 폴더와 파일을 살펴보면 매우 의심스러운 폴더와 파일이 내부에 포함되어 있는 것을 확인할 수 있습니다.

 

생성 폴더 / 파일 및 진단 정보

 

Photoshop CC\local\stubexe\0x307F957D2F41BB34\CEPServiceManager.exe
 - SHA-1 : 0a63b3296a9634519e55e05994986c02ef426b7b
 - Comodo : Backdoor.Win32.DarkKomet.GH

 

Photoshop CC\local\stubexe\0x4F29D767C94FFB43\Photoshop.exe
 - SHA-1 : f5857db0213f15d874d8090562a16226d86f7ed3
 - Hauri ViRobot : Backdoor.Win32.S.Darkkomet.20492.C[h]

 

Photoshop CC\local\stubexe\0xB7CFFEEC7D2ACB60\sniffer_gpu.exe
 - SHA-1 : 399571e997dc4b20e2240fcb685b8a3d97ac8f7c
 - nProtect : Ransom/W32.Democry.20492

 

※ C:\bamboo-home\xml-data\build-dir\SPOONVM-VM-JOB1\vm\Build\Output\x86\StubExe.pdb

 

 

불량스러운 파일이 포함되어 있기에 실제 사용자가 실행할 경우 어떤 악의적인 행위를 할 수 있는지 살펴보도록 하겠습니다.

 

 

우선 최상위에 위치한 Photoshop.exe (1.26GB), Photoshop-cc.exe (4.40MB) 파일(SHA-1 : 231f108bd88e664594edebdcc69536f31622a53c) 중 사용자가 어떤 파일을 실행하든지 동일하게 악성 파일 생성이 이루어지며, 화면상으로는 Adobe Photoshop CC 버전이 실행되어 사용자는 몰래 설치된 악성 파일의 존재에 대해 인지하지 못합니다.

 

 

참고로 해당 악성코드는 분석을 방해할 목적으로 VirtualBox, Wine 가상 솔루션을 체크하도록 제작되어 있으며, 프락시(Proxy) 서버 설정값을 초기화합니다.

 

최초 실행된 Photoshop-cc.exe 악성 파일은 Windows 폴더 내에 AutoHotkey로 작성하여 Themida 패킹을 사용한 "C:\Windows\olaryx.exe" 형태(SHA-1 : bf35f1ef02241f2fd0be047974501f7cf41386be)의 랜덤(Random)한 파일명을 가진 악성 파일을 생성합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sysboot = C:\Windows\olaryx.exe

생성된 악성 파일은 sysboot 시작 프로그램 등록값을 통해 Windows 시작 시 자신을 자동 실행하도록 구성되어 있습니다.

 

 

sysboot 시작 프로그램 등록값을 통해 자동 실행된 악성 파일은 "bbaidu.wordpress.com" 사이트와 통신을 시도하며, 해당 사이트를 살펴보면 한국인이 제작한 것이 아닌가도 의심됩니다.

 

  • h**ps://bbaidu.files.wordpress.com/2016/**/simfal.png (SHA-1 : ac0bb7c6f8683c753bc561c06e329af15bace2ee)

 

통신에 성공한 경우 해당 사이트에 업로드된 simfal.png PE 파일을 자동 다운로드하여 다음과 같은 악성 파일을 추가 생성 및 실행합니다.

 

임시 폴더에 랜덤(Random)한 파일명(C:\Users\%UserName%\AppData\Local\Temp\yxsjie.exe)으로 생성된 악성 파일 역시 AutoHotkey로 제작하여 Themida 패킹을 사용하고 있으며, 실행된 악성 파일은 주기적으로 다양한 웹 사이트와 접속을 시도하며 마치 DDoS 공격을 하는 것처럼 재현되고 있습니다.

 

 

우선 중국(China)의 바이두(Baidu) 모바일 포털에 임의의 키워드 값으로 검색 활동을 하거나 쇼핑몰에 게시된 특정 상품을 대상으로 접속을 시도합니다.

 

 

또한 국내 사이트의 경우에도 특정 미술관 사이트의 특정 게시글에 지속적인 접속이 이루어지는 부분도 확인되고 있습니다.

 

 

특히 이번에 확인된 악성 파일은 유효하지 않은 badui 디지털 서명이 포함되어 있다는 점에서 백신의 탐지 시간을 늦추려고 하고 있습니다.

 

위와 같은 대표적인 악의적인 행위로 인하여 감염된 PC의 경우 불필요한 트래픽 유발 및 추가적인 악성 프로그램 다운로드를 통해 다양한 피해를 유발할 수 있습니다.

 

 

해당 유포 조직은 이전에 블로그를 통해 살펴본 WooriAdris 유포 조직으로 보이며, 꾸준하게 토렌트(Torrent) 파일 공유 서비스를 이용하여 악성코드를 유포하는 것으로 보이므로 영화, 소프트웨어를 다운로드하는 경우에는 감염되지 않도록 매우 주의하시기 바랍니다.

728x90
반응형