파이어폭스 애드온에 포함된 Bifrose 변형

2010년 2월 4일, 많은 사용자들이 사용하는 웹 브라우저인 파이어폭스(Firefox)를 개발하는 모질라(Mozilla)의 블로그에 “Please read: Security Issue on AMO“라는 글이 게시 되었다.

해당 글의 요지는 파이어폭스 웹 브라우저에 사용되는 일부 애드온(Add-on)에 악성코드가 포함되어 있으며 백신 제품에서 이를 진단 및 치료가 가능하다는 이야기 였다.

이러한 파이어폭스 웹 브라우저와 관련한 위협에 대해서는 이 번이 처음은 아니며 2009년 7월 파이어 폭스 취약점 공격 악성코드 발견된 사례와 2009년 9월에는 파이어폭스 확장 기능으로 설치되는 악성코드가 발견되었다. 그리고 2009년 9월에 역시 파이어폭스 사용자 정보를 유출하는 악성코드가 발견된 사례들이 있다.

이번에 악성코드가 포함되어 있는 것으로 문제가 되었던 파이어폭스 애드온인 master_filer-0.2-fx-win.xpi를 ASEC에서는 확보하여 자세한 분석을 진행하였다.

파이어 폭스 애드온으로 설치되는 해당 파일은 XPI 라는 확장자를 가지고 있으며 이러한 확장자를 가진 파일은 일반적인 ZIP과 같은 압축 파일 형태로 되어 있다.

문제가 된 master_filer-0.2-fx-win.xpi를 파이어폭스 3.0에서 파일 열기를 통해 실행을 할 경우 아래 이미지와 같은 안내 창이 생성되며 신뢰 할 수 있는 제작자의 애드온만 설치하라는 문구와 함께 해당 애드온의 제작자가 확인 되지 않는다는 메시지가 생성된다.


이러한 경고창을 무시하고 설치를 하게 되면 아래 이미지와 같이 “
Master Filer 0.2” 애드온이 정상적으로 설치 되었다는 안내 문구와 함께 파이어폭스를 재실행 할 것을 안내하게 된다.

정상적으로 파이어폭스가 완료되게 되면 아래 이미지와 같이 해당 애드온의 설치가 완료된 것을 확인 할 수 있다.

그러나 해당 애드온의 정상적인 설치가 완료되고 파이어폭스가 재부팅 되는 시점에서는 파이어폭스는 사용자에게 특별한 안내 없이 아래 경로에 존재하는 file.exe(233,508 바이트)를 백그라운드로 실행하게 된다.

C:Documents and Settings사용자 계정명Application DataMozillaFirefoxProfileskzdbp0uf.defaultextensions<생략>chromecontentfile.exe


해당 file.exe는 기존에 알려진 Bifrose 변형이며 해당 파일이 실행되면 해당 시스템의
NTFS ADS(Alternate Data Streams) 영역에다 자신의 복사본을 다음과 같이 생성한다.

c:WINDOWS:calc.exe


그리고 윈도우 레지스트리에 다음과 같은 키를 생성하여 시스템이 부팅할 때마다 자신이 자동 실행 되도록 구성되어 있다.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Tibiabot = “C:WINDOWS:calc.exe”

감염된 시스템에서 하드웨어 및 사용자 정보 등을 수집하여 외부로 유츌하는 기능 등을 수행하게 된다.

파이어폭스 애드온에 포함된 해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bifrose.233508

이번 파이어폭스 특정 애드온에 포함된 악성코드는 특정인에 의해 고의적으로 악성코드를 포함하여 애드온을 제작하여 유포한 것으로 추정된다. 이러한 형태와 유사하게 공개된 프로그램들을 설치 할 때는 사용하는 백신으로 미리 검사를 해보고 신뢰 할 수 있는 프로그램들만 설치하는 것이 중요하다.

이번 보안 사고는 파이어폭스라는 특정 프로그램에 한정되어 발생하였지만 공개 소프트웨어 스토어를 제공하는 스마트폰 등에서도 역시 이와 유사한 보안 위협이 발생할 가능성이 높을 것으로 예측 된다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments