분석 정보/악성코드 분석 정보

[주의]온라인 게임사이트로 사칭한 용의주도한 악성파일

TACHYON & ISARC 2012. 6. 26. 09:56
1. 개요


잉카인터넷 대응팀은 마치 국내 유명 온라인 게임의 악의적 변칙 플레이 등에 이용되는 이른바 게임 핵툴(Game HackTool) 도구나 게임 동영상과 관련된 것처럼 조작하여 불특정 다수의 게임 이용자들을 현혹시킨 후 최신 악성파일에 감염되도록 유도하는 보안위협이 국내에서 다수 발생하고 있는 이상징후를 포착하였다. 이러한 형태의 보안위협이 최근 국내 온라인 게임 이용자들을 표적으로 은밀히 진행되고 있어 각별한 관심과 주의가 요망된다. 악성파일에 감염될 경우에는 악의적인 공격자에 의하여 원격제어온라인 게임 계정 유출 등의 피해를 입을 수도 있고, 일명 좀비 피시(Zombie PC)가 되어 또 다른 컴퓨터에 피해를 가할 수 있는 DDoS 공격용 컴퓨터로 전락할 가능성도 있다는 점을 반드시 유념해야 한다.

잉카인터넷 대응팀은 이와 관련된 다수의 악성파일 유포지와 수법을 분석하여 nProtect Anti-Virus 전 제품군에 진단 및 치료 기능을 긴급 업데이트하여 제공하고 있으므로, 제품 사용자들은 최신 버전을 설치하여 유사한 악성파일에 노출되지 않도록 하는 노력이 중요하다.




국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

디아블로3 사용자 계정 탈취용 악성파일 국내 등장
http://erteam.nprotect.com/288

2. 악성파일 유포 수법

악성파일 유포자들은 국내 유명 온라인 게임사이트에서 운영하는 공개된 자유게시판이나 활동 및 인기지수가 높은 일반 커뮤니티 게시글 등의 댓글을 통해서 특정 온라인 게임과 관련된 사이트처럼 위장된 URL 주소를 등록하고, 사용자들의 클릭을 유도한다.





클릭을 유도하고 있는 웹 사이트의 경우 무료 도메인 서비스를 이용하고 있으며, 다양한 이름으로 만들어져 사용되고 있는 상태이다.

사용자가 해당 게시글에 포함된 URL 주소를 클릭하게 되면 다음과 같이 새창으로 연결이 시도되고, 마치 Microsoft 에서 사용하는 Dynamic HTML Editing Control 추가기능 실행 명령처럼 보여지는 사진파일(GIF)을 보여준다. 특징적으로 GIF 이미지를 이용해서 처음 접속시 깜빡이는 애니메이션 효과까지 보여주는 주도 면밀함을 보여주고 있다.  
 
이 화면은 일반 사용자가 보기에는 정상적인 브라우저의 추가 기능처럼 오해할 가능성이 높지만, 이것은 사용자를 속이기 위해서 교묘하게 조작된 이미지 파일이고, 해당 이미지에는 악성파일(EXE) 다운로드 기능이 연결되어 있다.


아래에 있는 그림파일이 실제 2-01.gif 파일이다.


 


사용자가 위와 같이 조작된 다양한 사이트로 접속하고, ActiveX Control 로 오해를 하거나 추가 기능 설치 요구화면으로 오해하여 GIF 그림파일 부분을 마우스로 선택하고 클릭할 경우 다음과 같이 국내 특정 도메인에 등록되어 있는 악성파일이 다운로드 시도된다.

hxxp://생략.tistory.com/attachment/생략15227B434FE601E50D3759.exe (http 대신 hxxp로 표기)


해당 악성파일이 등록된 블로그는 고의적으로 악성파일 등록을 위해서 제작된 것으로 추정되며, 국내에서 무료로 가입이 가능한 웹 사이트이다. 또한, 해당 사이트에는 불법적인 게임과 관련된 내용이 게시되어 있는 상태이다.

다운로드 시도되는 "안전한사이트실행을위한_Active_X.exe" 파일명을 보면 알 수 있듯이 악성파일 유포자는 사용자로 하여금 ActiveX Control 기능과 관련된 내용처럼 조작하고 있고, 파일의 아이콘은 구글 크롬처럼 위장하고 있다.

 

해당 파일은 Nullsoft Scriptable Install System 방식으로 압축되어 있으며, 내부에 2개의 파일이 바인딩되어 있다. "안전한사이트실행을위한_Active_X.exe" 처럼 동일한 파일명의 또 다른 악성파일과 "KCleaner1.exe" 파일명의 악성파일이 포함되어 있다.

내부에 포함되어 있던 "안전한사이트실행을위한_Active_X.exe" 파일이 실행되면 시스템폴더에 "firefox.exe" 이름의 악성파일을 생성하고, "KCleaner1.exe" 파일이 실행되면 드라이브 루트경로에 "asd.exe", "KCleaner.exe" 파일을 생성하고 실행한다.


여기서 "KCleaner.exe" 파일은 국내에서 제작 배포 중인 "윈도우클리너 v 2.0" 이라는 정상적인 유틸리티 프로그램이다. 악성파일 유포자는 정상적인 윈도우클리너 프로그램처럼 보이도록 하기 위해서 정상파일과 악성파일을 교묘하게 결합한 방식을 사용한 것이다.


악성파일 제작자는 정상적인 프로그램을 동시에 실행하도록 하여 사용자를 속이기 위한 목적으로 악용하였다. 따라서 일반 사용자들은 정상적인 프로그램으로 인식하고 자신의 컴퓨터에 자신도 모르게 악성파일이 설치된 것을 인지하기 어렵게 된다. 아래는 정상적인 "윈도우클리너" 프로그램이 악성파일에 의해서 실행된 화면이다.

정상적인 프로그램은 다음 사이트에서 배포 중이다. http://kcleaner.kilho.net/?ver=2.0


"asd.exe" 파일은 임시폴더에 자신의 복사본을 "svchost.exe" 파일명으로 생성하고, 키보드 메시지 전역 훅을 통해서 실행 중인 프로그램들을 대상으로 키로깅(Key Logging) 기능을 수행한다. 또한 키로그 파일은 Application 경로에 년월일 등을 포함한 형태로 저장된다.


또한, 악성파일은 중국의 특정 사이트로 접속하여 다수의 악성파일 추가 설치를 시도하는데, 이 중에는 DarkShell 등으로 알려져 있는 Backdoor 형태의 악성파일이 설치된다.

Backdoor 형태의 악성파일은 C&C 명령을 통해서 다양한 기능의 원격제어 및 DDoS 공격 명령 수행 등이 가능하다.

3. 마무리

이처럼 정상적인 온라인 게임 사이트처럼 위장하여 사용자들을 현혹하거나 마치 정상적인 프로그램 설치처럼 보이도록 하여 알려지지 않은 악성파일을 설치하는 사례가 지속적으로 발견되고 있다. 따라서 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/