온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다.


2011년 10월 - ws2help.dll을 교체하는 온라인 게임 악성코드 분석


2012년 3월 - CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드


2012년 7월 - XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


2012년 7월 - GongDa Pack의 스크립트 악성코드 증가


2012년 8월 - YSZZ 스크립트 악성코드의 지속 발견


2012년 10월 - 패치드(Patched) 형태의 악성코드 변천사


이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다.


이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로 구분 할 수 있으며, 각각 다음과 같은 기능들을 가지고 있다.


드로퍼(Dropper) - TeminateProcess를 호출하여 보안 소프트웨어 강제 종료 시도


usp10.DLL : 로드 후 자신의 부모 프로세스가 보안 소프트웨어 프로세스 중 하나라면 UnmapViewOfSection 또는 ExitProcess 호출


에브킬(AVKill) 루트킷 : NtOpenProcess와 NtTerminateProcess 후킹 해제하여 보안 프로그램 강제 종료 시도


해당 온라인 게임 관련 악성코드의 드로퍼는 다음 보안 소프트웨어와 시스템 모니터링 툴의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.



그리고 윈도우 레지스트리(Registry)를 편집하여 다음과 같은 기능을 활성하게 된다.


"숨김 파일 및 폴더를 표시 안함" 설정

세팅하여 "알려진 파일 형식의 파일 확장명 숨기기" 설정


이와 함께 2개의 스레드(Thread)를 생성하여 다음의 기능들을 수행하게 된다.


1) usp10.DLL 생성

드로퍼는 두 개의 PE 파일을 포함하고 있으며, 첫 번째 스레드는 악의적인 usp10.DLL을 C 드라이브를 제외한 모든 드라이브의 모든 폴더에 EXE 파일이 존재하는지 확인 후 해당 DLL 파일을 생성하게 된다. 


그 후 해당 EXE 파일들이 실행 될 경우, 윈도두 시스템 폴더(System32) 폴더에 존쟇는 정상 DLL 파일 대신에 해당 악의적인 usp10.DLL을 먼저 로드 하게 된다. 


2) 다른 악성코드 다운로드 및 정보 유출

두 번째 스레드는 미국에 위치한 특정 시스템에서 다른 악성코드를 다운로드 및 실행 하게 된다.그리고 미국에 위치한 또 다른 특정 시스템으로 감염된 시스템의 MAC 주소와 운영체제 정보를 전송하게 된다.


드로퍼에 의해 생성된 usp10.DLL은 윈도우 시스템 폴더(System32)에 존재하는 정상 usp10.DLL을 로드 한 뒤, 정상 usp10.DLL의 익스포트(Export) 함수들을 리다이렉트(Redirect) 시키게 된다. 그리고 다른 악성코드를 다운로드 및 실행을 시도하나 분석 당시에는 정상적으로 다운로드 되지 않았다. 이와 함께 UnmapViewOfSection이나 ExitProcess를 호출하여 보안 소프트웨어의 프로세스에 대한 강제 종료를 시도하게 된다.


이 번에 발견된 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 온라인 게임 관련 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Win32.OnlineGameHack

Trojan/Win32.OnlineGameHack

Dropper/Win32.OnlineGameHack


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 2009년부터 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다.


그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


2012년 8월 - 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


특히 올해 2012년 4분기에는 미국과 한국에는 대통령 선거라는 정치적인 중요한 이슈가 존재하다. 이러한 중요한 이슈를 악용하여 스팸 메일에 존재하는 악의적인 웹 사이트 링크로 유도하는 사례가 발견되었다.


이 번에 발견된 스팸 메일 사례에는 아래 이미지와 같이 미국 대통령 선거의 후보 중 한 명인 미트 롬니(Mitt Romney)가 60% 차이로 앞서고 있다는 허위 사실을 포함하여, 하단에 존재하는 웹 사이트 링크를 클릭하도록 유도하고 있다.



해당 링크를 클릭하게 될 경우에는 블랙홀 웹 익스플로잇 툴킷의 악의적인 웹 사이트로 연결되도록 설정되어 있어, 사용하는 시스템에 웹 브러우저와 웹 애플리케이션에 취약점이 존재 할 경우에는 이를 악용하여 다른 악성코드의 감염을 시도하게 된다.


이 번에 발견된 미국 대통령 선거 뉴스로 위장한 스팸 메일을 통해 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다. 


PDF/Exploit

Java/Cve-2012-1723

Trojan/Win32.Pakes 


현재 웹 익스플로잇 툴킷을 이용하여 다양한 악성코드를 유포 중에 있음으로 각별한 주의가 필요하다. 그리고 향후에도 미국과 한국의 대통령 선거와 관련된 사회적 중요 이슈들을 악용한 보안 위협이 발생할 가능성이 높음으로 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다.


이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다.


이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다.


추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다.


해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 16,384 바이트를 삽입하게 된다.



정상적으로 explorer.exe의 메모리 영역에 자신의코드가 삽입되면 자신의 복사본을 다음 경로에 설정 파일과 함께 생성하나, 기존 스파이아이 변형들처럼 유저 모드(User Mode)의 은폐 기능을 수행하지는 않는다.


C:\Documents and Settings\All Users\Application Data\default\bin.exe


다음 레지스트리 키(Registry Key)를 생성하여 윈도우 시스템이 재부팅되어도 자동 실행되도록 구성한다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default

"C:\Documents and Settings\All Users\Application Data\default\bin.exe"


그리고 독일에 위치한 C&C 서버와 암호화된 통신을 통하여 별도의 설정 파일인 web.dat을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\All Users\Application Data\default\web.dat 

C:\Documents and Settings\All Users\Application Data\default\cfg.dat


생성된 설정 파일은 RC4로 인코딩되어 있으며, 이를 디코딩하는 키값은 해당 스파이아이 트로이목마 내부에 가지고 있으며, 생성된 설정 파일을 디코딩하게 되면 아래 이미지와 같은 텍스트 파일이 나타나게 된다.



해당 설정 파일에는 아래 이미지와 같은 독일에 위치한 은행의 온라인 뱅킹 웹 사이트의 로그인을 위한 사용자 계정과 암호를 후킹하기 위한 코드가 설정되어 있다. 



이 외에 이번에 발견된 스파이아이 변형은 웹 폼 인젝션(Web Form Injection)을 위해 마이크로소프트 인터넷 익스플로러(Internet Explorer), 구글 크롬(Google Chrome)과 파이어폭스(Firefox) 웹 브라우저 실행 여부를 확인하고 접속하는 웹 사이트 주소를 확인하게 된다.


그리고 파이어폭스의 사용자 설정 파일인 user.js 을 확인하여 아래 이미지와 같은 코드를 삽입하여, 파이어폭스에 포함되어 있는 보안 경고 기능을 무력화 하게 된다.



이 번에 발견된 스파이아이 변형은 전체적인 감염 동작은 기존에 발견된 스파이아이 변형들과 동일하게 정상 explorer.exe 의 메모리 영역에 자신의 코드를 삽입하고, 웹 브라우저가 접속하는 웹 사이트 주소를 설정 파일과 비교하여 웹폼 인젝션을 통해 사용자 계정과 암호를 후킹하는 것은 동일하다. 


그러나 기존 스파이아이 변형들이 가지고 있는 유저 모드 은폐 기능을 통해 생성한 파일 복사본과 설정 파일들을 은폐하는 기능이 존재하지 않는 차이점만을 가지고 있다.


이 번에 발견된 스파이아이의 새로운 변형은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Spyeyes.19968.B


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원