분석 정보/악성코드 분석 정보

웹하드 서비스 홈페이지들 악성파일 전파 경유지 악용 주의

TACHYON & ISARC 2011. 3. 5. 02:58

3.3 DDoS 악성파일들이 국내 특정 웹하드 서비스 업체들의 업데이트 모듈 등을 변조하고 유포하여 문제가 되었는데, 이번에는 관련 홈페이지가 외부의 공격에 노출되어 최신 보안패치가 적용되지 않은 이용자들에게 다수의 악성파일 유포 시도를 하고 있어 각별한 주의가 필요한 상황이다.


특히 3.3 DDoS 악성파일을 유포했던 쉐***(S*******) 사이트의 경우 현재 이 시간(2011년 03월 05일 23시경) 접속자들에게 악성파일을 유포하고 있다는 점에서 웹하드 서비스 업체들의 전반적인 관리 실태 조사 및 보안 강화 조치가 필요할 것으로 보인다.



■ 3.3 DDoS 공격 긴급 경보
http://erteam.nprotect.com/131

잉카인터넷 대응팀에서는 현재 8개 이상의 국내 파일 공유 서비스 홈페이지에서 악성파일이 전파되고 있는 것을 확인하였고, 유포 중인 악성파일에 대한 긴급 업데이트를 완료하였다. 웹하드 서비스 업체들의 이용자가 많다는 점이 집중적으로 신종 악성파일 타겟형 유포 공격에 노출되고 있는 주요 원인으로 보인다.

쉐*** 사이트를 통해서 유포되고 있는 악성파일의 과정을 정리하면 아래와 같다.

1. 쉐*** 홈페이지 접속

정상적인 웹하드 서비스 이용자들이 쉐*** 홈페이지를 접속한다.


2. 악성 명령이 포함된 스크립트 파일 자동 연결

웹하드 서비스의 이용자가 홈페이지를 접속하는 절차 수행만으로 정상 자바스크립트 파일에 몰래 삽입된 악성 링크 명령이 자동으로 실행된다.

일부 모자이크 처리 (쉐***)


쉐*** 이외의 다른 웹하드 서비스 업체에 등록되어 있는 코드는 조금 다른 방식으로 악성 코드가 포함되어 있다. 해당 코드는 아래와 같다.

일부 모자이크 처리 (다른 웹하드 사이트)


악성 스크립트 명령부분은 분석을 어렵게 하기 위해서 일종의 난독화 방식으로 인코딩(암호화)되어 있으며, 디코딩(복호화) 작업을 거치면 다음과 같은 내용으로 구성되어 있는 것을 확인할 수 있다. 

일부 모자이크 처리 (쉐어박스)


쉐*** 이외의 다른 웹하드 서비스에 포함된 난독화 코드를 가독화 코드로 변경하면 아래와 같다.

일부 모자이크 처리 (다른 웹하드 사이트)


아이프레임(iframe) 명령어를 통해서 특정 도메인으로 연결되도록 구성되어 있고, main.htm 파일이 실행되면 인터넷 익스플로러의 취약점 중에 하나인 CVE-2010-0806/MS10-018 Exploit Code 가 작동됨과 동시에 내부에 포함되어 있는 <script src="K.Js"></script> 명령이 병행하여 실행된다.

3. 최종 악성 파일 다운로드 및 설치

취약점에 의해서 Exploit Code 부분이 정상적으로 실행되면 대만에 위치한 특정 도메인에서 "biz.exe" 파일명의 악성파일이 사용자 몰래 설치되고, 감염 작동을 수행한다.

http://file.*****.com/biz.exe

유포지 위치


참고로 악성파일 biz.exe 는 웹 상에는 XOR 연산으로 암호화되어 있기 때문에 해당 파일을 직접 다운로드하여도 실행이 가능한 PE Header 형태는 아니다. Exploit Code 파일에 의해서 설치되는 과정에 정상적인 실행파일 형태로 변경되어 설치된다.

아래 그림은 biz.exe 파일이 웹 상에 존재할 때와 실제 사용자 컴퓨터에 설치되었을 때(a.exe)의 내부 Hex 내용을 비교한 화면이다. biz.exe 파일은 0xA2 라는 XOR 연산 Key 를 통해서 정상적인 실행 파일 구조인 a.exe 파일로 변환 과정을 거친다. 이러한 방식으로 웹 상에 암호화된 파일을 등록해 두는 이유는 다운로드되는 과정에서 Anti-Virus 제품들의 실시간 감시 기능 등을 우회하기 위한 목적이라 할 수 있다.


4. 시스템 파일 변조 및 온라인 게임 정보 유출 시도

악성파일이 정상적으로 다운로드되어 감염이 이루어지면 Application Data 경로에 a.exe 파일을 생성하고 실행한다.

C:\Documents and Settings\(사용자계정)\Application Data


그 다음에 시스템 폴더에 존재하는 imm32.dll 파일을 악성파일로 교체하고, nt32.dll 이라는 이름의 악성파일을 숨김속성으로 생성한다. 그리고 사용자 컴퓨터에 특정 Anti-Virus 제품의 설치 및 실행 조건 여부에 따라서 변조(Patch)하는 방식이 다르게 적용될 수 있다.


설치된 악성파일들은 온라인 게임 이용자의 정보 탈취 기능을 설정된 조건에 따라 수행하게 된다.


상기 분석 내용외에도 다수의 웹하드 서비스 사이트가 변조되어 현재 유포 중인 악성파일을 nProtect Anti-Virus 최신 버전으로 진단 및 치료가 가능한 상태이다.

[참고 자료]
ad.jpg -> Script-JS/W32.Agent.VN
expomody.exe -> Trojan/W32.Klone.265728
images.jpg -> Script-JS/W32.Agent.VM
ain.htm -> Script-JS/W32.Agent.BNE
nt32.dll -> Trojan/W32.Agent.69632.AVN
reutkc.htm -> Script-JS/W32.Agent.BNI
revtkl.htm -> Script-JS/W32.Agent.BNF
yveqer.htm -> Script-JS/W32.Agent.BNG
a.exe -> Trojan/W32.Agent.76800.IK 외 다수 추가 업데이트