본문 바로가기

벌새::Analysis

μTorrent Pro 크랙(Crack) 버전을 이용한 백도어(Backdoor) 유포 정보 (2018.8.26)

반응형

최근 토렌트(Torrent) 파일 공유 사이트에 μTorrent Pro 크랙(Crack) 버전이 업로드되어 유포되고 있는데, 해당 게시글에는 다음과 같은 내용이 포함되어 있습니다.

 

 

간혹 블로그를 통해서 강조한 적이 있지만, 크랙(Crack) 버전을 유포하면서 백신 프로그램을 종료하도록 안내하는 문구가 있는 경우에는 악성코드가 포함되어 있을 가능성이 매우 높으므로 주의할 필요가 있다고 하였습니다.

 

그래서 μTorrent 파일을 다운로드하여 어떤 파일인지 간단하게 살펴보게 되었는데, 해당 파일은 이미 블로그를 통해 몇 차례 언급하였던 .NET 기반의 Bladabindi 백도어(Backdoor) 계열임을 확인할 수 있었습니다.

 

 

또한 해당 파일은 2017년 4월 하순경부터 유포되었던 파일로 최근에 다시 공유되면서 전파되는 것으로 보입니다.

 

 

ZIP 압축 파일을 다운로드하여 압축 해제를 해보면 μTorrent 설치 파일과 Crack.exe 파일이 포함되어 있는 것을 알 수 있습니다.

 

또한 각 파일들은 Themida 패킹을 이용하여 가상 환경과 같은 곳에서 실행 시 동작하지 않도록 제작되어 있습니다.

 

 

uTorrent Stable(3.4.2 build 37754).exe 설치 파일(SHA-1 : a0538c8e388dc2768e6030d7e70f9ac704eb3ca0 - AhnLab V3 : Trojan/Win32.Bladabindi.C1943431)의 디지털 서명을 확인해보면 유효하지 않은 것으로 보아 조작된 파일임을 추정할 수 있습니다.

 

 

해당 설치 파일을 실행할 경우 화면 상으로는 μTorrent 설치 단계가 표시되지만 이 과정에서 다음과 같은 악의적인 행위가 발생합니다.

 

 

우선 설치 파일 실행 시 임시 폴더(%Temp%) 영역에 uTorrent Stable(3.4.2 build 37754).exe μTorrent 설치 파일(SHA-1 : 61e18005d8ee4a56d51b41c3375758bb65240b90)을 생성하여 실제 토렌트 프로그램 설치가 진행됩니다.

 

이와 동시에 숨김(H) 파일 속성값을 가진 "%Temp%\utorrent.exe" 악성 파일(SHA-1 : 8d38d642634c140a539b7d95878c1a6d0ebf3c50 - AhnLab V3 : Win-Trojan/Korat.Exp)을 생성 및 실행합니다.

 

 

실행된 "%Temp%\utorrent.exe" 악성 파일은 자신을 복사하여 "C:\Users\%UserName%\AppData\Roaming\uTorrent.exe" 숨김(H) 파일 속성값 그대로 생성 및 실행합니다.

 

참고로 uTorrent.exe 악성 파일은 파일 설명에는 μTorrent로 표시되어 있지만, 제품 이름에는 "NVIDIA GeForce Experience" 파일처럼 등록되어 있는 것이 특징입니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - b3527c4d76cc0f6093bac84564c248f9 = "C:\Users\%UserName%\AppData\Roaming\uTorrent.exe" ..

 

또한 생성된 uTorrent.exe 파일은 Windows 시작 시 자동 실행되도록 시작 프로그램 등록값에 추가됩니다.

 

 

또한 추가적으로 자신을 시작프로그램 폴더 내에 "C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b3527c4d76cc0f6093bac84564c248f9.exe" 숨김(H) 파일 속성값을 가진 파일로 복사하여 Windows 시작 시 자동 실행되도록 구성되어 있으며, 해당 파일이 자동 실행될 경우 "C:\Users\%UserName%\AppData\Roaming\uTorrent.exe" 파일을 로딩하도록 되어 있습니다.

 

 

이를 통해 실제 μTorrent 프로그램이 설치된 환경에서 시작 프로그램 등록 정보(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)를 확인해보면 위와 같이 유사한 파일 위치에 등록되어 있습니다.

 

다시 처음으로 돌아가서 μTorrent 프로그램 설치 후 사용자가 ZIP 압축 파일 내에 존재하는 Crack.exe 파일(SHA-1 : c47f2e2e9e09234895244d6ff74e5853b42d9e54 - Microsoft : Backdoor:MSIL/Bladabindi)을 실행해 보도록 하겠습니다.

 

 

 

파일을 실행할 경우 임시 폴더 영역에 "%Temp%\Crack.exe" 파일(SHA-1 : c2e9b4841d0492830c52d278d25767589aeccb08)을 생성하여 그림과 같은 "uTorrent PRO 3.x.x Crack" 화면이 표시되며, 이 과정에서 백그라운드로 앞서 언급한 백도어가 다시 생성 및 실행되는 구조로 되어 있습니다.

 

 

μTorrent 프로그램이 함께 설치되어 동작하는 과정에서 사용자 몰래 설치된 "C:\Users\%UserName%\AppData\Roaming\uTorrent.exe" 악성 파일이 함께 동작할 경우, 프로세스를 통해서는 사용자가 감염 여부를 판단하기 매우 어려운 것이 사실입니다.

 

실행된 악성 파일(uTorrent.exe)은 첫 실행 시 [netsh firewall add allowedprogram "C:\Users\%UserName%\AppData\Roaming\uTorrent.exe" "uTorrent.exe" ENABLE] 명령어 실행을 통해 Windows 방화벽에서 허용 프로그램으로 등록을 시도합니다.

 

 

이후 "bot990815.0pe.kr" C&C 서버로 지속적으로 연결을 시도하고 있지만 오래된 관계로 현재는 정상적으로 연결되지 않고 있습니다.

 

출처 : https://www.malwares.com

 

Malwares.com에서 제공하는 해당 C&C 서버 이력을 확인해보면 2017년 5월 초부터 활동한 것으로 보이며, 관련 정보를 확인해보면 KMSpico 정품 인증툴 또는 μTorrent 프로그램 등과 같이 인터넷 사용자들이 많이 사용하는 프로그램 내에 악성코드를 추가하여 감염을 시켰던 것으로 보입니다.

 

기존 정보를 토대로 확인해보면 해당 백도어는 명령 서버를 통해 추가적인 악성 파일 다운로드 및 설치, 키로깅을 통해 정보 수집, 웹캠 영상 녹화 등을 통한 악의적인 기능을 수행할 수 있습니다.

 

비록 이번 악성코드는 현재로서는 죽은 상태이지만 꾸준하게 토렌트(Torrent) 파일 공유 서비스를 통해 전파가 이루어지고 있으며, 특히 크랙(Crack) 사용 목적으로 백신 프로그램의 탐지를 사용자로 하여금 무시하도록 안내한다는 점에서 감염되지 않도록 주의하시기 바랍니다.

728x90
반응형