[악성코드 분석] 인기 게임으로 위장한 악성 토렌트

인기 게임으로 위장한 악성 토렌트 분석 보고서 

 

1. 개요

토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다.

특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는 경우가 많다. 게다가 저작권 우회를 위한 게임 크랙이 함께 들어있어 백신 종료를 권장하는 크랙에 의해 사용자 PC는 위험에 노출되기 마련이다.

이 보고서에서는 최근 인기 게임토렌트로 위장한 악성코드가 어떻게 유포되는지, 또 어떤 악성동작을 하는지 알아보고자 한다.

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	Client.exe
파일크기	36,352 byte
진단명	Trojan/W32.Agent.36352.SY
악성동작	C&C 백도어
네트워크	h****.ddns.net

 

2-2. 유포 경로

악성파일 Client.exe 는 최신 게임 AssassinsCreed의 실행 파일로 위장하여 유명 토렌트 공유 커뮤니티를 통해 유포되었다. 다행히 이 커뮤니티에서는 허위 악성 토렌트에 대한 신고기능이 있어 피해가 크지 않을 것으로 보이나 대다수의 커뮤니티는 이런 기능을 지원하지 않기에 토렌트를 통한 파일 공유에는 언제나 주의가 요구된다.

 

[그림] 악성 토렌트 유포 게시글

 

 

토렌트 공유 프로그램을 이용해 시드파일(.torrent)을 열었을 경우 다운로드 받을 파일의 목록을 미리 알 수 있다. 따라서 파일명 및 확장자를 통해 일차적으로 악성파일을 걸러낼 수 있지만 이 악성 토렌트의 경우 압축파일을 공유하기 때문에 다운로드가 완료되기 전까지 내용물을 확인할 수 없도록 하는 치밀함을 보인다.

 

[그림] 시드를 통해 다운받을 파일 목록

2-3. 실행 과정

다운로드 된 파일의 압축을 풀어보면 아래[그림]과 같은 파일들을 확인할 수 있다. 실행방법.txt 파일의 내용은 게임실행에 관한 안내문인데 여기서는 게임 핵의 오진을 이유로 백신종료를 유도하고, AssassinsCreedBrotherhood.exe(121,684 byte, 악성) 파일 실행을 요구한다. 이 파일은 일반적인 게임 실행파일로 보이지만 인스톨 프로그램이며, 실행 시 두 파일 AssassinsCreedBrotherhood.exe(75,264 byte, 정상)와 Client.exe(악성) 를 생성하고 실행한다. 

 

[그림] 악성파일 실행 안내문

 

[그림] 게임 실행파일로 위장한 악성 프로그램 인스톨러

 

 

 

비단 AssassinsCreedBrotherhood.exe 뿐 아닌 게임 내의 많은 실행파일이 위와 같은 형태를 띄고 있어 어떤 파일을 실행하더라도 악성코드에 감염될 수 밖에 없는 구조가 된다.

이처럼 정상파일과 악성파일을 합쳐 하나의 정상파일로 위장하는 것은 많은 악성코드에서 활용하는 방식이다. 알려진 형식으로 합쳐진 파일의 경우 압축해제 도구를 이용해 실행하지 않고도 안전하게 내용물을 확인할 수 있다.

[그림] C&C 악성코드를 포함하는 위장 인스톨러 및 압축해제 결과

 

3. 악성 동작

3-1. C&C 동작

인스톨러를 통해 실행된 Client.exe 는 C&C 악성코드 형태로 동작한다. 악성동작에 필요한 IP주소는 정상 DDNS^*서비스 제공업체 페이지 ddns.net 으로부터 얻어온다. 해커는 이곳에 가입하여 자신의 IP를 등록하고, 악성동작에 이를 활용하지만 현재 해커가 등록한 주소는 응답하지 않는 상태로 악성동작을 수행하지 않는다. 하지만 해커가 자신의 계정을 활성화 시킨다면 언제든지 악성동작을 재개할 수 있다.

DDNS^* - Dynamic DNS 의 약자로 개인 인터넷 사용자 같은 고정되어 있지 않은 IP주소에 URL을 연결시키기 위해 사용된다.

 

[그림] 악성 서버의 IP를 가져오기 위한 통신

 

 

악성서버에 연결되면 명령을 수신해 프로세스 제어, 파일 제어, 추가 다운로드, 화면 캡처, 하드디스크 포맷 등의 악성동작을 수행할 수 있다.

[그림] 서버의 명령을 수행하는 코드 부분

[그림] 하드디스크 포맷

 

 

아래는 C&C 형태로 동작하는 악성코드들이 반드시 수행하는 감염PC 정보수집 부분이다. 정보수집을 위해 PC의 위치를 검색하는 기능, 현재 로그인한 사용자의 권한을 확인하는 기능 등 여러 부분에서 한글이 사용된 모습이 보인다.

생명주기가 짧은 악성코드의 특성상 해커는 자신이 가장 익숙한 방식으로 빠르고 많이 악성코드를 생산하려 한다. 악성서버로 전송하는 문자열에 한글을 사용했다는 점과 여러 지도 제공 사이트 중 국내 포털 사이트를 이용, 조회된 한글 위치를 그대로 전송한다는 점이 특징이다.

[그림] 서버로 전송하는 감염PC정보에 포함된 한글

 

[그림] 서버로 전송하는 감염PC 위치조회에 이용된 국내 포털 사이트

 

4. 결론

게임 유통방식은 과거 CD, DVD 등 저장매체를 통해 물리적으로 유통되는 방식에서 유통사 전용 프로그램을 통해 인터넷으로 결제 및 다운로드 하는 방식으로 변화하고 있다. 이러한 정상적인 방식으로 설치된 게임의 경우 파일의 안전을 보장받을 수 있고, 설령 악성파일이 감염됐다 하더라도 유통사에 책임을 물을 수 있다. 

하지만 불법적인 경로를 통해 다운받은 파일의 경우 중간에 파일의 변조가 일어나도 확인할 길이 없을뿐더러 이 파일을 실행함으로 발생되는 피해 또한 온전히 사용자가 책임져야 한다. 제작자의 저작권을 존중하고 합법적으로 콘텐츠를 소비한다면 이러한 위협을 막을 수 있다.

상기 분석한 악성코드들은 모두 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면