본문 바로가기

벌새::Analysis

스타크래프트(Starcraft) 무설치 버전에 숨어있는 백도어(Backdoor) 주의 (2016.12.10)

반응형

여전히 많은 사랑을 받고 있는 스타크래프트(Starcraft) 게임을 무설치 버전을 이용하여 사용자 몰래 백도어(Backdoor)를 설치하여 좀비 PC로 만드는 행위가 여전히 발견되고 있기에 2016년 하반기에 유포된 사례를 통해 확인해 보도록 하겠습니다.(관련 파일을 제공해주신 바이러스 제로 시즌 2 보안 카페 회원님께 감사드립니다.)

 

 

배포된 압축 파일 내부에는 대부분 2009년경 생성된 파일들이 존재하며, 이 중에서 스타크래프트(Starcraft) 실행 파일(StarCraft.exe)과 시디키 바꾸기.exe 파일이 2016년 9월과 11월에 수정된 것을 발견할 수 있습니다.

 

1. StarCraft.exe (SHA-1 : 63ce65353997b71c71869cd1cb812ff9dabb058e - AhnLab V3 : Trojan/Win32.Magania.R18731)

 

 

  • Server.exe (SHA-1 : 10caa4c530b532e8b7a9fd3452e343fdf969e9ca - AhnLab V3 : Win-Trojan/Scar.109568.U)
  • StarCraft 스타 원본.exe (SHA-1 : 9bd58cd7ac1cce85e0ae977dcfac375a342ae507 - avast! : Win32:Vitro)

 

StarCraft.exe 실행 파일 내부에는 일명 서버 파일(Server.exe)과 Virut 바이러스 코드에 노출되었던 StarCraft 스타 원본.exe 파일이 포함되어 있습니다.

 

  • C:\Windows\System32\hchjyc.exe (SHA-1 : 10caa4c530b532e8b7a9fd3452e343fdf969e9ca - BitDefender : Win32.Virtob.Gen.12) :: "Nationalsqv Instruments Domain Service" 서비스 등록 파일, 숨김(H) / 시스템(S) 파일 속성

 

만약 사용자가 스타크래프트(Starcraft) 게임을 실행할 목적으로 StarCraft.exe 파일을 실행할 경우 사용자 몰래 Server.exe 악성 파일을 시스템 폴더에 랜덤(Random)한 파일명으로 자신을 복제합니다.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Nationallap

시스템 폴더에 숨김(H), 시스템(S) 파일 속성으로 생성된 악성 파일은 시스템 시작 시마다 자동으로 실행되도록 "Nationallap (표시 이름 : Nationalsqv Instruments Domain Service)" 서비스 항목을 등록합니다.

 

이를 통해 "wnsguq159.codns.com" C&C 서버와의 통신을 시도하며 추가적인 명령에 따라 악의적인 기능을 수행할 수 있습니다.

 

2. 시디키 바꾸기.exe (SHA-1 : cf5892b28103d4daa7c3c9ebfa643d17f2e33ea2 - AhnLab V3 : Backdoor/Win32.Agent.C399552)

 

 

  • server.exe (SHA-1 : 84a89f45751dbe6bdff9a2925a15dd84ddea0d46 - Kaspersky : Backdoor.Win32.Xyligan.ml)
  • 시디키 바꾸기.exe (SHA-1 : 07a06f6fa806006f708db63326c3bc033415b390 - nProtect : Virus/W32.Neshta)

 

스타크래프트(Starcraft) 게임의 시디키를 변경할 수 있는 것처럼 파일명이 지정된 시디키 바꾸기.exe 파일 내부에도 또 다른 서버 파일(server.exe)과 Neshta 바이러스 코드에 노출되었던 시디키 바꾸기.exe 파일이 포함되어 있습니다.

 

  • C:\Windows\System32\lmjdyf.exe (SHA-1 : 84a89f45751dbe6bdff9a2925a15dd84ddea0d46 - nProtect : Virus/W32.Virut.Gen) :: "Remote Command Service" 서비스 등록 파일, 숨김(H) / 시스템(S) 파일 속성

 

만약 사용자가 스타크래프트(Starcraft) 시디키 교체를 목적으로 시디키 바꾸기.exe 파일을 실행할 경우 사용자 몰래 server.exe 악성 파일을 시스템 폴더에 랜덤(Random)한 파일명으로 자신을 복제합니다.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\rcmdsvc

시스템 폴더에 숨김(H), 시스템(S) 파일 속성으로 생성된 악성 파일은 시스템 시작 시마다 자동으로 실행하도록 "rcmdsvc (표시 이름 : Remote Command Service)" 서비스 항목을 등록합니다.

 

이를 통해 "guq159.zz.am" C&C 서버와의 통신을 시도하여 추가적인 명령에 따라 DDoS 공격 등의 악의적인 행위를 수행할 수 있습니다.

 

위와 같이 신뢰할 수 없는 스타크래프트(Starcraft) 무설치 버전을 다운로드하여 실행할 경우 사용자 몰래 공격자의 명령에 따라 좀비PC로 악용될 수 있으므로 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

728x90
반응형