1. 개요
2. 사례별 유포 기법
■ 사례 A
다음 화면은 실제 특정 웹하드 서비스에 등록된 성인용 동영상 게시물인데, EXE 확장명으로 등록된 것을 육안으로 쉽게 확인할 수 있다. (일부 모자이크 처리)
게시글에 첨부되어 있는 동영상을 다운로드하면 다음과 같이 ZIP 압축 파일 아이콘을 가지고 있는 실행파일(EXE)이 생성되고, 실행하면 자동 압축 해제(ZIP Self-Extractor) 화면이 보여지면서, 시스템 폴더에는 악성파일(EXE)을 사용자 몰래 설치하고, 처음 실행된 경로에는 실제 동영상(WMV) 파일을 추가로 생성시킨다.
처음 동영상을 받은 경로에는 실제 동영상 파일이 함께 생성되고, 정상적으로 재생이 가능하기 때문에 사용자는 악성파일에 감염된 것을 인지하기 쉽지 않다. 다음은 실제 생성된 동영상 파일을 재생한 화면인데, 노출이 극히 심한 관계로 동영상은 임의로 모자이크 처리하였다.
사용자 몰래 설치된 악성파일은 국내 특정 온라인 웹보드 게임 실행시 다양한 악의적 기능을 수행할 수 있다. 다음은 악성파일이 이용하는 데이터 파일(windrv.dat)로 감염된 사용자가 실행하는 온라인 도박 게임의 종류를 체크하기 위한 코드이다.
온라인 도박게임의 사이버 머니는 환전 매개체 등을 통해서 실제 현금으로 교환할 수 있기 때문에 이것은 사이버 범죄의 한 종류로 구분할 수 있고, 성인 동영상 등을 통해서 은밀히 유포되고 있다는 점에서 이용자들의 각별한 주의가 필요하다.
■ 사례 B
국내 웹하드 서비스를 경유지로 하여 유포 중인 악성파일은 매우 다양하고 폭 넓게 유포되고 있는 상태이며, 이러한 사실이 많이 알려져 있지 않아 대표적인 보안 제품들에서 탐지하지 못하고 있는 형태도 다수 존재하는 것으로 보여진다. ▶잉카인터넷 대응팀은 현재 조직적으로 유포하고 있는 이러한 형태의 대용량 파일들을 개별적으로 집중 조사하고 있으며, nProtect Anti-Virus 패턴에 신속하게 업데이트를 수행하고 있다.
아래 화면은 국내 특정 웹하드 서비스에서 정상 동영상 파일처럼 사칭하여 배포 중인 악성파일 리스트를 정리한 화면이며, 많은 웹하드 서비스 사이트에서 이와 유사한 형태로 악용되고 있는 것으로 보여진다.
다음 사례의 경우도 자동압축해제(SFX) 형태의 파일로 구성되어 있으며, 변종이 다수 존재하는 형태인데, 압축풀기를 수행하면 드라이브 루트 경로에 숨김 속성으로 3개의 악성파일을 사용자 몰래 생성한다.
생성된 악성파일은 sorinara.exe, CCC.exe, thumb.db_ 이며, sorinara.exe 는 아이콘이 투명한 형태이고, CCC.exe 는 ATI Catalyst Control Center 아이콘으로 위장하고 있다.
sorinara.exe 파일의 내부에는 다음과 같이 국내 특정 도박 게임과 관련된 기능과 문자열을 파악할 수 있으며, 변종에 따라 다양한 파일명이 존재한다.
악성파일은 netsh firewall 명령을 이용하여 함께 생성된 CCC.exe 파일을 외부 접속 허용으로 윈도우 방화벽 설정을 변경하고, TCP 220, TCP 156 포트도 오픈시킨다. 이것은 외부의 네트워크 접속을 허용하여 다양한 추가 명령 및 제어를 받게 하는 잠재적인 보안 위협이라 할 수 있다.
감염된 컴퓨터는 사용자의 화면 자료 수집 등을 수행하기 위하여 해상도와 모니터 정보 등을 파악하며, 온라인 게임과 관련한 악의적인 행위를 수행하게 된다.
CCC.exe 파일은 인터넷에 공개되어 있는 멀티 리모트 데스크톱 시스템 기능을 이용해서 감염된 사용자를 원격에서 제어할 수 있도록 한다.
thumb.db_ 파일에는 서버에 접속할 때 사용되는 것으로 추정되는 ID 등이 포함되어 있다.
■ 사례 C
특정 웹하드 업체들은 동영상 게시물에 부적절한 실행파일(EXE) 형태가 등록되는 것을 수시로 모니터링하여 강제 삭제하고, 등록자에 대한 이용정지 제재를 강력하게 취하고 있어 악성파일 배포를 신속히 차단하고 피해를 최소화하는데 다양한 노력을 하고 있다. 이 때문인지 악성파일 등록자들은 EXE 형태 뿐만 아니라 ZIP, RAR, ALZ, EGG 등 다양한 압축파일 형태로 만들어 다각적인 우회 등록을 시도하기도 한다.
다음은 실행파일(EXE) 확장명 종류가 아닌 형태로 등록된 게시글로, 확장명이 국내에서 사용되는 압축 유틸리티의 확장명인 EGG 이름으로 등록된 것을 볼 수 있다.
등록된 파일을 다운로드하고, 압축을 해제하면, 기존 방식과 동일하게 내부에 포함되어 있던 실행파일(EXE)이 보여진다.
압축이 해제되면 사례 B와 동일하게 sorinara.exe, CCC.exe 파일, thumb.db_ 파일 등이 동일하게 생성되고 있어, 동일한 사람이 등록한 것으로 보여지지만, 다양한 형태로 등록을 시도하고 있다는 것을 알 수 있다.
sorinara.exe 변종 2개의 개발 시간을 비교해 보면 그렇게 큰 차이가 없다는 것을 알 수 있는데, 기존 소스프로그램에서 일부만 변경하고 조금의 시차를 두어 지속적으로 변종을 개발하여 유포하고 있는 것을 짐작할 수 있다.
동영상과 함께 포함되어 있는 악성파일은 다양한 성인 동영상처럼 위장되어 있고, 대체로 EXE 확장명을 가지고 있는 것이 특징이다. 동영상 파일은 일반적으로 AVI, WMV 등의 확장명을 사용하지만 악성파일 유포자들은 사용자들의 실행을 유도하기 위해서 자동압축 해제풀림(SFX:Self Extracting Archive)형식의 실행파일(EXE)로 만들고 있는 것이 특징이며, 일부는 압축파일(ZIP, RAR, ALZ, EGG) 내에 EXE 를 포함해서 유포하기도 한다.
2. 사례별 유포 기법
■ 사례 A
다음 화면은 실제 특정 웹하드 서비스에 등록된 성인용 동영상 게시물인데, EXE 확장명으로 등록된 것을 육안으로 쉽게 확인할 수 있다. (일부 모자이크 처리)
게시글에 첨부되어 있는 동영상을 다운로드하면 다음과 같이 ZIP 압축 파일 아이콘을 가지고 있는 실행파일(EXE)이 생성되고, 실행하면 자동 압축 해제(ZIP Self-Extractor) 화면이 보여지면서, 시스템 폴더에는 악성파일(EXE)을 사용자 몰래 설치하고, 처음 실행된 경로에는 실제 동영상(WMV) 파일을 추가로 생성시킨다.
처음 동영상을 받은 경로에는 실제 동영상 파일이 함께 생성되고, 정상적으로 재생이 가능하기 때문에 사용자는 악성파일에 감염된 것을 인지하기 쉽지 않다. 다음은 실제 생성된 동영상 파일을 재생한 화면인데, 노출이 극히 심한 관계로 동영상은 임의로 모자이크 처리하였다.
사용자 몰래 설치된 악성파일은 국내 특정 온라인 웹보드 게임 실행시 다양한 악의적 기능을 수행할 수 있다. 다음은 악성파일이 이용하는 데이터 파일(windrv.dat)로 감염된 사용자가 실행하는 온라인 도박 게임의 종류를 체크하기 위한 코드이다.
온라인 도박게임의 사이버 머니는 환전 매개체 등을 통해서 실제 현금으로 교환할 수 있기 때문에 이것은 사이버 범죄의 한 종류로 구분할 수 있고, 성인 동영상 등을 통해서 은밀히 유포되고 있다는 점에서 이용자들의 각별한 주의가 필요하다.
■ 사례 B
국내 웹하드 서비스를 경유지로 하여 유포 중인 악성파일은 매우 다양하고 폭 넓게 유포되고 있는 상태이며, 이러한 사실이 많이 알려져 있지 않아 대표적인 보안 제품들에서 탐지하지 못하고 있는 형태도 다수 존재하는 것으로 보여진다. ▶잉카인터넷 대응팀은 현재 조직적으로 유포하고 있는 이러한 형태의 대용량 파일들을 개별적으로 집중 조사하고 있으며, nProtect Anti-Virus 패턴에 신속하게 업데이트를 수행하고 있다.
아래 화면은 국내 특정 웹하드 서비스에서 정상 동영상 파일처럼 사칭하여 배포 중인 악성파일 리스트를 정리한 화면이며, 많은 웹하드 서비스 사이트에서 이와 유사한 형태로 악용되고 있는 것으로 보여진다.
다음 사례의 경우도 자동압축해제(SFX) 형태의 파일로 구성되어 있으며, 변종이 다수 존재하는 형태인데, 압축풀기를 수행하면 드라이브 루트 경로에 숨김 속성으로 3개의 악성파일을 사용자 몰래 생성한다.
생성된 악성파일은 sorinara.exe, CCC.exe, thumb.db_ 이며, sorinara.exe 는 아이콘이 투명한 형태이고, CCC.exe 는 ATI Catalyst Control Center 아이콘으로 위장하고 있다.
sorinara.exe 파일의 내부에는 다음과 같이 국내 특정 도박 게임과 관련된 기능과 문자열을 파악할 수 있으며, 변종에 따라 다양한 파일명이 존재한다.
악성파일은 netsh firewall 명령을 이용하여 함께 생성된 CCC.exe 파일을 외부 접속 허용으로 윈도우 방화벽 설정을 변경하고, TCP 220, TCP 156 포트도 오픈시킨다. 이것은 외부의 네트워크 접속을 허용하여 다양한 추가 명령 및 제어를 받게 하는 잠재적인 보안 위협이라 할 수 있다.
감염된 컴퓨터는 사용자의 화면 자료 수집 등을 수행하기 위하여 해상도와 모니터 정보 등을 파악하며, 온라인 게임과 관련한 악의적인 행위를 수행하게 된다.
CCC.exe 파일은 인터넷에 공개되어 있는 멀티 리모트 데스크톱 시스템 기능을 이용해서 감염된 사용자를 원격에서 제어할 수 있도록 한다.
thumb.db_ 파일에는 서버에 접속할 때 사용되는 것으로 추정되는 ID 등이 포함되어 있다.
■ 사례 C
특정 웹하드 업체들은 동영상 게시물에 부적절한 실행파일(EXE) 형태가 등록되는 것을 수시로 모니터링하여 강제 삭제하고, 등록자에 대한 이용정지 제재를 강력하게 취하고 있어 악성파일 배포를 신속히 차단하고 피해를 최소화하는데 다양한 노력을 하고 있다. 이 때문인지 악성파일 등록자들은 EXE 형태 뿐만 아니라 ZIP, RAR, ALZ, EGG 등 다양한 압축파일 형태로 만들어 다각적인 우회 등록을 시도하기도 한다.
다음은 실행파일(EXE) 확장명 종류가 아닌 형태로 등록된 게시글로, 확장명이 국내에서 사용되는 압축 유틸리티의 확장명인 EGG 이름으로 등록된 것을 볼 수 있다.
등록된 파일을 다운로드하고, 압축을 해제하면, 기존 방식과 동일하게 내부에 포함되어 있던 실행파일(EXE)이 보여진다.
압축이 해제되면 사례 B와 동일하게 sorinara.exe, CCC.exe 파일, thumb.db_ 파일 등이 동일하게 생성되고 있어, 동일한 사람이 등록한 것으로 보여지지만, 다양한 형태로 등록을 시도하고 있다는 것을 알 수 있다.
여기서 매번 다양하게 등록되는 sorinara.exe, CCC.exe 악성파일 등은 잉카인터넷 대응팀이 현재까지 분석한 바에 의하면 코드 내부적으로 큰 기능적인 차이는 없고, 접속 계정 정보가 다르게 포함되어 있는 thumb.db_ 파일을 변경하면서 다양하게 제작하고 있는 것으로 파악되었다. 이에 따라 nProtect Anti-Virus 제품에서는 포괄적으로 변종 탐지가 가능하다.
sorinara.exe 변종 2개의 개발 시간을 비교해 보면 그렇게 큰 차이가 없다는 것을 알 수 있는데, 기존 소스프로그램에서 일부만 변경하고 조금의 시차를 두어 지속적으로 변종을 개발하여 유포하고 있는 것을 짐작할 수 있다.
3. 마무리
국내 웹하드 서비스를 통해서 배포되는 수 많은 동영상이나 프로그램 파일에 악성파일이 교묘하게 포함되어 있다는 점을 인식하고, 웹하드에 등록되어 있는 동영상 확장명이 대표적인 실행파일(EXE, COM, SCR)이거나 압축파일(ZIP, RAR, ALZ, EGG, 7Z)일 경우에는 각별한 주의가 필요하겠다. 특히, 성인용 동영상 파일에 상대적으로 악성파일이 다수 포함되어 있을 수 있다는 점과 nProtect Anti-Virus 제품을 통해서 정기적으로 시스템 검사를 수행하여 숨겨져 있는 악성파일을 제거하도록 하는 관심이 중요하겠다.
상기에서 공개한 웹하드 경로를 통한 3가지 악성파일 유포 사례는 극히 일부이며, 실제로는 매우 다양하고 폭 넓은 범위에서 악성파일이 유포되고 있다는 점을 명심하도록 하며, 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중 (0) | 2012.04.05 |
---|---|
[주의]바이러스가 포함된 보안서비스의 불편한 진실 (0) | 2012.04.04 |
[긴급]MS12-020 RDP 보안취약점 공격도구 다수 발견 (#Update 02) (0) | 2012.03.17 |
[주의]3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견 (0) | 2012.03.07 |
[주의]일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견 (0) | 2012.03.06 |