국내 사용자 대상 크랙 위장 악성코드 분석 보고서

개요

AhnLab SEcurity intelligence Center(ASEC) 에서는 과거 “한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT ” 블로그를 통해 국내 사용자들을 대상으로 RAT 및 코인 마이너를 유포하는 공격 사례를 공개한 바 있다. 공격자는 최근까지도 새롭게 악성코드를 제작해 악성코드들을 유포하고 있으며 자사 인프라 기준 현재 최소한 2만여 대가 넘는 시스템이 감염된 것으로 추정된다.

일반적으로 윈도우, 오피스 정품 인증 도구나 한글 워드 프로세서와 같은 정상 프로그램의 크랙으로 위장하여 악성코드를 유포하는 경우 국내의 많은 시스템들이 감염되는 경향이 있다. 공격자는 여기에 더해 감염 시스템에 작업 스케줄러를 등록하여 악성코드를 업데이트하고 있다. 등록된 작업 스케줄러는 파워쉘 명령을 실행해 악성코드를 설치하는 기능을 담당한다. 만약 작업 스케줄러가 치료되지 않을 경우 해당 시스템에는 지속적으로 새로운 악성코드가 설치된다.

현재 V3 제품에서는 악성코드가 설치한 작업 스케줄러를 치료하기 때문에 사용자가 크랙으로 위장한 악성코드를 설치하더라도 지속적인 악성코드 설치 문제는 발생하지 않는다. 하지만 V3를 사용하지 않는 환경에서는 이를 치료하지 못해 설치된 악성코드를 제거하더라도 시스템에 새로운 악성코드가 지속적으로 설치될 수 있다. 설치되는 악성코드들 중에는 업데이트 기능을 담당하는 유형도 있기 때문에 작업 스케줄러에 등록되는 파워쉘 명령이 지속적으로 변경되어 기존 주소가 차단되더라도 감염은 계속된다.

악성코드 분석

1. 공격 흐름

공격 흐름은 기존 사례와 유사하다. 최근 유포 사례에서는 MS 오피스 크랙을 위장하였으며 이에 따라 웹 하드나 토렌트를 통해 유포되고 있다. 과거 사례와의 차이점이라고 한다면 다운로드 주소를 구하는 과정과 악성코드를 업로드한 플랫폼이 추가되었다는 점이 있으며 이외에도 다양한 악성코드들이 새롭게 확인되고 있다.

Figure 1. 공격 흐름