‘게임 핵’ 으로 위장한 악성코드 감염 주의
1. 개요
‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.
지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | Whindow.exe |
파일크기 | 24,064 byte |
악성동작 | 게임 계정 정보 탈취 |
2-2. 유포 경로
최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서 공유된 것으로 확인된다.
2-3. 실행 과정
아래 그림과 같이 온라인 커뮤니티 카페에 공개용 게시 글로 특정 게임의 불법프로그램 ‘오토에임(AutoAim)’ 인 것처럼 사용방법과 함께 .EGG 확장자를 가진 압축파일을 다운로드 할 수 있도록 유도하고 있다. 실제 압축 해제 하였을 때, “오토에임.exe” 실행파일 한 개만 존재한다.
[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일
이를 실행할 경우 %APPDATA%경로에 원본 실행 파일과 동일하지만 ‘Whindow.exe’ 이름으로 변경 된 파일이 복사되어 재 실행 된다.
[그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe
3. 악성 동작
3-1. 시작 프로그램 등록
%APPDATA% 에 복사된 ‘Whindow.exe’을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 등록하여 부팅 시 자동 실행 되도록 한다.
[그림 3] 레지스트리 값 추가
3-2. 해당 파일 방화벽 예외 추가
아래 그림과 같이 해당 악성코드는 네트워크 명령 쉘을 이용하여 방화벽에 ‘Whindow.exe(악성코드)’를 허용하도록 만든다. 이는 [그림 5]와 같이 원격지 IP로 통신을 시도하기 위한 것으로 확인된다.
[그림 4] 악성코드 실행 파일 방화벽 예외 추가
[그림 5] 해당 IP와 통신을 시도
3-3. 사용자 PC의 Cam 카메라 목록 확인
CapGetDriverDescriptionA API 함수를 사용해서 사용자 PC 에 있는 Cam 카메라 정보를 획득하는 것으로 확인된다.
[그림 6] 캠 드라이버 정보 획득
3-4. 키로깅
해당 악성코드는 HKCU\Software\b4873ebc6e6f78dfdb2b3345770c744c 경로에 [kl] 값으로 로그 파일 정보를 저장한다. 이는 감염된 사용자PC에서 게임사이트로 접속하여 키보드로 입력 시 계정 정보가 그대로 노출 된다는 것을 확인 할 수 있다.
아래 그림은 게임사이트뿐만 아니라 일반 웹사이트를 방문 시 키보드로 입력한 ID와 패스워드 등의 문자열이 그대로 노출되는 것을 확인 할 수 있다.
[그림 7] 키보드 입력 시 문자열 저장
4. 결론
해당 악성코드의 경우, 불법 게임 핵인 ‘오토에임’을 위장했다는 점에서, 사용자가 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 프로그램을 실행할 수 있어 문제가 되고 있다. 해당 프로그램을 유포한 온라인 카페에서도 이를 근거로 백신 삭제 및 실행 해지를 사용자에게 권하고 있음을 확인할 수 있다. 재미와 호기심으로 다운받은 불법 프로그램이 개인 정보 유출로 이루어질 수 있으므로 사용자의 각별한 주의가 필요하다.
악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] 한국 사용자의 호기심을 자극하는 KONNI Malware 분석 (0) | 2017.08.11 |
---|---|
[악성코드 분석] 회사 메일을 이용한 피싱 메일 C&C 감염 주의 (0) | 2017.06.01 |
[악성코드 분석] 뱅킹 악성코드 Dyreza의 후속작, TrickBot 분석 (0) | 2017.04.14 |
[악성코드 분석] Neutrino bot 분석 (0) | 2017.03.21 |
[악성코드 분석] 금융정보 탈취 악성코드 분석 (0) | 2017.03.07 |