토렌트를 통한 유포방식의 악성코드 분석 보고서
1. 개요
플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다.
토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 – 위키백과]
하지만 그 편의성과 접근성으로 인해 악성코드의 주요 공격수단으로 이용되고 있기도 하다. 이 보고서에서는 안전한 PC이용을 위해 토렌트를 이용한 악성코드 유포방식에 대해 살펴보겠다.
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe 등 |
파일크기 |
430,080 byte … |
진단명 |
Trojan/W32.Agent.430080.SL … |
악성동작 |
C&C, 백도어 등 |
2-2. 유포 경로
아래 토렌트 파일들은 모두 유명 토렌트 공유 사이트들에서 수집한 파일들이다. 공유 사이트의 성격에 따라 다르지만 일부 사이트들은 저작권 침해자료, 성인자료 공유, 기타 문제 등으로 사이트 차단이 번번이 일어난다. 문제는 이런 사이트들은 사이트가 차단될 때 마다 서버의 주소를 바꿔 운영하며, 불법 자료 공유는 끊이지 않아 완전한 차단에 어려움이 따른다.
2-3. 실행 과정
윈도우 OS에선 확장자를 통해 파일과 프로그램을 연결한다. 예를 들어 .doc 확장자를 갖고 있는 파일은 더블클릭 시 워드 프로세서가 실행된다. 이와 마찬가지로 .torrent 파일을 더블 클릭하면, 토렌트 공유 프로그램이 실행된다. 이처럼 실행을 위해 별도의 프로그램이 필요한 일반 파일과 달리, 악성 코드는 그 자체가 하나의 프로그램이다. 때문에 토렌트 공유 사용자들에게 자신을 .torrent 파일, 혹은 기타 정상 파일로 보이도록 다양한 수법을 활용해 위장하고, 사용자의 실행을 유도한다.
3. 유포 방식
3-1. 업로드 파일 확장자 수정
해커 입장에서 가장 간단하면서도 손쉬운 방식이다. 게시글의 첨부파일에는 일반적으로 .torrent 파일만 올린다는 점을 이용하여, 파일명을 torrent 파일처럼 보이게 바꾸고, 확장자를 .exe로 하여 업로드 하는 수법이다. 다운로드 완료 시 바로 ‘실행’ 버튼을 누른다면 .torrent 가 실행되는 대신, 악성코드에 감염될 것이다.
[그림] 유포사례, 확장자 수정
여기서는 단순히 확장자를 바꾸는 예시만 있지만, 경우에 따라 파일명에 긴 공백을 넣어 다운로드 시 확장자가 노출되지 않게 하는 수법도 즐겨 사용되고 있다. 또한 실행파일의 아이콘을 임의로 설정할 수 있다는 점을 이용, 얼핏 보기에는 토렌트 파일과 차이점을 알 수 없게 만든다.
아래는 재현을 위해 임의로 설정한 예시이다. 같은 폴더에 있는 두 파일은 파일명이 동일해 보인다. 하지만 동일 폴더에 동일 파일명을 가진 두 개 파일은 함께 존재 할 수 없다. 실제로 두 파일은 정상 .torrent 파일과 긴 공백을 삽입한 악성 실행파일(.exe)이다.
[그림] 보기(V)-자세히(D), 보기(V)-간단히(L)
3-2. 압축파일 업로드
토렌트 공유 사이트는 첨부파일로 .torrent 파일을 업로드 하는 것이 일반적이다. 이 유포 방식은 토렌트 대신 압축파일을 업로드 해 두고, 압축을 풀면 토렌트 파일을 얻을 수 있다고 설명한다. 여러 개의 토렌트 파일을 동시에 공유하기 위해 실제로 정상 압축 파일을 공유하는 경우도 있지만, 대다수는 토렌트로 위장한 악성파일이 나올 뿐이다.
[그림] 압축파일 유포사례
위 유포지 에서 다운받은 “마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip”파일의 압축을 풀면 “마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe” 파일을 얻을 수 있다. 토렌트 파일이 주로 사용하는 파일명을 사용하고, 아이콘 또한 토렌트 파일 같지만 이는 악성 실행파일이다.
[그림] 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip 압축 해제 결과
3-3. 도움말 파일(.chm)을 통한 유포
.chm 확장자를 갖는 파일은 ‘컴파일 된 HTML 도움말 파일’이라는 정상 파일 형식이다. 이는 검색, 색인, 온라인 도움말 등 도움말을 쉽게 찾아보기 위해 개발된 파일 형식으로 일반적으로 아래와 같은 실행 화면을 확인할 수 있다.
[그림] 정상 .chm 파일
.chm 파일은 온라인 도움말 등의 편의기능을 제공하기 위해 일반 문서파일형식(DOC, TXT 등)과 다른 특징이 하나 있는데, 그것은 html 페이지를 그대로 사용할 수 있다는 점이다. 아래의 악성파일 “영상 보기전에 읽어주세요.chm”에는 악성 스크립트가 삽입된 razor.htm 파일이 존재한다.
[그림] 유포사례
[그림] 토렌트 파일의 내용
이 .chm 파일을 실행하면 아래와 같은 화면을 확인할 수 있는데, 이는 razor.htm 파일이 출력된 것이다. razor.htm의 소스코드에는 악성서버 http://c****c***g.s****i*c.com:2721/flyy.exe 로부터 파일을 다운받아 실행하는 코드가 들어있다.
[그림] 악성 .chm 실행 화면 (razor.htm)
[그림] razor.htm 파일 내의 악성 스크립트
현재는 서버에 접속이 되지 않는 상태로, 이 .chm 파일을 실행한다고 해서 감염되진 않으나 해커가 서버를 활성화 시킨다면 언제든 악성코드를 다운 받을 수 있다는 점, 그리고 그 악성코드가 언제든 교체될 수 있다는 점에서 매우 주의가 요구된다.
3-4. 화면보호기 파일(.scr)을 통한 유포
.scr 확장자를 사용하여 유포하는 사례이다. 대부분의 동영상 플레이어는 동일 파일명을 가진 영상파일과 자막파일이 같은 폴더 내에 있을 경우, 두 파일을 자동으로 함께 재생시키는 기능이 있다. 이 때문에 자막이 있는 동영상의 경우 동일한 이름의 두 파일이 함께 공유되는 형태가 다수를 차지한다.
동영상 자막에 사용되는 확장자는 .sub, .smi와 .srt 등 s로 시작하는 확장자가 많이 사용된다. 이에 익숙하지 않은 사용자의 경우 .scr 확장자 또한 자막파일로 오해하고 실행하기 쉽다. 이를 이용하여 실행을 유도하거나 혹은 .scr 파일 자체를 동영상 파일로 위장하여 유포하는 사례 등이 자주 발견된다.
[그림] .scr 확장자를 이용한 유포사례
.scr 확장자는 “윈도우 화면보호기”를 위해 쓰이는 정상적인 확장자이다. 하지만 이 파일형식을 이용해 파일을 실행할 수 있다는 점이 문제가 된다. .scr 확장자를 이용한 악성코드 유포는 비단 토렌트 뿐 아닌 다른 형태의 유포에도 즐겨 사용되는 방법으로써, 언제나 화면보호기 파일을 이용할 때에는 신뢰할 수 있는 파일인지 검증이 요구된다.
4. 결론
위에 나열된 방식 외에도 악성코드가 PC를 감염시키기 위해 자신을 위장하는 방식은 실로 다양하다. 일차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다. 또한 토렌트를 이용한 이런 감염 유도는 주로 불법적인 사이트에 국한되어 있기에, 합법적인 경로를 통해 건강한 콘텐츠이용을 하는 것이 바람직하다.
토렌트로 위장한 악성코드는 C&C 서버 등 사용자의 PC에 백도어를 설치하는 형태가 다수를 차지했다. 상기 나열된 악성코드 들은 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] Black Energy (우크라이나 정전사태 관련 악성코드) (0) | 2016.02.17 |
---|---|
[악성코드 분석] Autoshut.exe (인터넷 뱅킹 파밍) (0) | 2016.02.05 |
[악성코드 분석] k01922.exe (인터넷 뱅킹 파밍) (0) | 2016.01.28 |
[악성코드 분석] pmsis.exe (개인정보 유출) (0) | 2016.01.26 |
[악성코드 분석] HashCop_Bypass.exe (토렌트를 통한 악성코드 유포) (0) | 2016.01.13 |