분석 정보/악성코드 분석 정보

[주의]디아블로3 사용자 계정 탈취용 악성파일 국내 등장

TACHYON & ISARC 2012. 6. 1. 16:49

1. 개요


잉카인터넷 대응팀은 최근 발매된 디아블로 3(Diablo III) 게임 사용자들의 계정 탈취 기능을 보유한 악성파일이 국내에 유포된 것을 발견하였다. 연일 화제를 몰고 다니는 "디아블로3 는 자연스럽게(?) 악성파일 제작자의 타깃이 되었고 온라인 게임 계정 탈취, 랜섬웨어 등 다양한 형태의 보안 위협으로 발견"되고 있는 상황이다. 물론 "디아블로 3"도 단순한 온라인 게임이고, 여타 다른 온라인 게임들과 마찬가지로 출시 이후 인기를 얻어 게임 계정 탈취 대상에 자연스럽게 추가된 어찌보면 당연한 수순이겠지만, 다른 게임들과는 다르게 악성파일에 의한 계정 탈취를 막을 수 있는 별도의 해킹 차단 장치를 사용자들에게 제시해주지 못하고 있다. 이러한 공격은 시간이 지날수록 점차 지능화/고도화될 것으로 예상된다.



해당 게임은 현재의 인기도와 정비례하여 지속적인 공격 표적이 될 것으로 우려되므로, 전문화된 게임보안 솔루션을 통한 적극적인 대응이 요구되고, 게임 이용자는 각종 보안취약점에 노출되지 않도록 OS 및 응용프로그램에 대한 최신 업데이트를 설치하는 것을 잊어서는 안된다.

▶ 악마의 게임, 악성파일의 표적!
▶ 게임 이용자의 계정 유출 피해 증가 우려
▶ 전문화된 게임보안 서비스 제공 및 Anti-Virus 사용 권고
▶ nProtect Anti-Virus 유사 변종 사전 탐지 기능 제공


이외에도 이미 디아블로3 관련 불법적 자동 프로그램이 다수 등장하고 있는 것으로 보이며, 유료로 판매를 하고 있다는 글이 많이 발견되고 있다.

 


불법 등록키 생성 프로그램도 발견된 상태이다.


2. 디아블로3 게임 계정 탈취용 악성파일 정보

디아블로3 파일로 변장한 랜섬웨어형 악성파일 등장
http://erteam.nprotect.com/285

디아블로3의 계정 탈취 악성파일은 기존의 온라인 게임 계정 탈취 악성파일의 변종이기 때문에 유포 경로는 취약점 악용 및 취약한 웹사이트 해킹 등으로 대동소이하다. 현재 국내에 유포되고 있는 악성파일중 온라인 게임 계정 탈취 악성파일이 가장 높은 유포 비율을 보이고 있기 때문에 관련한 피해 사례가 다수 발생하고 있으며, 디아블로3 홈페이지 게시판을 통해 관련 사례에 대한 간접적인 확인이 가능하다.


해당 악성파일은 감염되면 우선, 기존의 온라인 게임 계정 탈취용 악성파일과 같이 iexplore.exe에 인젝션되어 SetWindowsHookEx()를 통해 계정 정보 탈취를 위한 전역 Hooking을 시도한다. 또한, Hooking을 위한 특정 프로세스 검사를 위해 아래의 일부 코드를 통하여 로딩된 전체 프로세스에 대한 리스트화 작업을 수행한다.

그 후 특정 온라인 게임의 프로세스와 리스트화된 프로세스 간의 비교작업을 수행하는 작업이 진행된다. 아래의 일부 코드를 통해 프로세스 비교작업 및 계정 탈취가 시도될 수 있는 온라인 게임에 대한 목록을 확인할 수 있다.

국내외 유명 온라인 게임들이 공격 대상이라는 것을 알 수 있다.


※ 계정 탈취가 시도되는 온라인 게임

- 디아블로3
- 아이온
- DK온라인
- 리니지
- 월드오브워크레프트
- 피파온라인2
- 마비노기영웅전
- 던전앤파이터
- 테라
- 메이플스토리
- 로한
- 리프트
- 이터널 블레이드


또한, 위와 같은 목록이 포함된 특정 온라인 게임이 실행되고 있다면, 아래의 일부 코드를 통해 국내 특정 백신에 대한 구동 여부를 확인 후 해당 백신들을 강제 종료 시키는 과정을 수행한다.

 

※ 강제 종료 시도되는 백신

- V3Lite, 사이트가드
- 알약
- 네이버 PC 그린
- 바이러스 체이서


또한, 몇몇 온라인 게임의 경우 클라이언트 프로세스에 대한 확인 뿐만 아니라 해당 온라인 게임 홈페이지와 같은 특정 웹사이트에 접속 시에도 Hooking을 통해 계정 정보에 대한 탈취를 시도할 수 있다. 아래의 일부 코드는 디아블로3의 배틀넷 접속시 시도되는 계정 탈취와 관련된 코드 이다.

 

※ 접속시 Hooking에 의한 계정 탈취가 시도될 수 있는 사이트

- nexon.com
- naver.com
- kr.battle.net
- rohan.co.kr
- hunter.netmarble.net
- eternalblade.gpotato.kr
- mabinogi.nexon.com
- aion.plaync.co.kr
- dk.halgame.com
- pmag.com
- netmable.net
- hangame.com
- df.nexon.com


3. 예방 조치 방법

이와 같은 온라인 게임 계정 탈취 악성파일은 앞으로도 다양한 형태의 변종이 출현하여 수많은 게임에 대한 계정 해킹을 시도할 것이다. 계정이 해킹 당할 경우 현재 게임사에 의한 복구 사례는 거의 전무한 상태이며, 사이버수사대에 신고를 접수하여도 범인 검거 및 계정 해킹으로 인한 피해 복구를 기대하기는 어렵다.

또한, OTP 등을 사용하더라도 악성파일 제작자가 원격지에서 입력되는 OTP 키값을 가로채기할 경우 악용될 소지가 있기 때문에 입력되는 키값에 대한 보안강화(키보드 보안 프로그램)가 중요하다.

문제는 이러한 실상에도 불구하고 디아블로3는 아직까지 별도의 해킹 차단 장치가 제공되지 않고 있다는 점이다. 일반적인 사용자의 경우 자신의 PC가 어느 경로를 통해 언제, 왜 이러한 악성파일에 감염되었는지를 파악하기가 매우 힘들다. 때문에 계정 해킹으로 부터 안전하게 온라인 게임을 즐기기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

5. 온라인 게임 계정에 대한 OTP(One-Time Password) 설정.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

- Trojan/W32.Forwarded.Gen