포스팅 내용

악성코드 분석 리포트

토렌트로 불법 문서 작성 소프트웨어 설치 시 좀비 PC 위험성 증가




안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2017년 11월 13일 부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요합니다.


실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군입니다.


토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있습니다.


우선 공격자는 새벽시간 토렌트 사이트에 다음과 같이 2종류의 한글 제목으로 글을 게시하였습니다.



[그림 1] 토렌트 사이트에 등록된 화면



다운로드된 '한글2017 HWP2017.zip' 압축 파일의 용량은 대략 280Mb 정도로 얼핏 보기에는 고용량의 정상 소프트웨어로 착각하기 쉽습니다.


이처럼 공격자는 나름 지능적으로 용량을 적절하게 지정해 이용자들이 보다 쉽게 신뢰하도록 만들었습니다.


토렌트로 배포된 압축 파일에는 정상적인 문서작성 프로그램처럼 보이도록 하기 위해 정상 파일을 함께 포함시켜 두었습니다.


아래 [그림 2] 사진을 보면 'HWP2017.exe' 파일만 수정한 날짜가 2017년 11월 13일이라는 것을 알 수 있습니다.



[그림 2] 배포된 압축 프로그램 내부



압축을 해제하면 두개의 실행프로그램이 상위폴더에 존재하고, 'HWP2017.exe' 파일이 메인 파일로 보이도록 만들어 두었고, 실제 이 파일이 악의적인 기능을 수행하게 되는 악성파일입니다.


이용자가 압축을 해제 후에 'HWP2017.exe' 파일을 실행하면 시스템 드라이브 최상위 경로에 'hwp' 폴더를 생성하고, 그 내부에 'hwp.exe', 'hwp.exe.config' 파일을 생성하고 실행하게 됩니다.



[그림 3] 악성파일이 생성된 화면



그리고 'C:\Users\사용자계정\AppData\Roaming' 경로에 Watchdog Protection 기능의 'hdog.exe', 'hdong.exe.config' 파일을 생성하고 실행합니다. 이 파일은 'hwp.exe' 파일의 프로세스가 종료되지 않도록 모니터링 및 런처 기능을 수행하게 됩니다.


따라서, 해당 악성파일을 제대로 제거하기 위해서는 먼저 'hdog.exe' 파일의 프로세스를 먼저 종료하고, 그 다음에 'hwp.exe' 프로세스를 종료하는 순서가 필요합니다.



[그림 4] 악성 프로세스 보호 기능 코드 화면



이 악성파일은 Orcus RAT 서버파일로 공격자는 원격제어 기능을 탑재해 문서작성 프로그램처럼 위장해 유포한 것입니다. 이 RAT 종류는 독일에서 제작된 것으로 알려져 있으며, 한국에서도 악용 사례가 꾸준히 보고되고 있는 실정입니다.


이 RAT 종류에 감염될 경우 대부분의 원격제어 기능에 노출되어 좀비 PC로 전락하게 됩니다.



[그림 5] Orcus RAT 대시보드 화면



공격자는 명령제어 서버(C2) '211.110.35.168'  한국(KR) 호스트로 접속 대기를 유지하며, 접속이 완료되면 감염 컴퓨터를 원격제어하여 개인정보 탈취 및 다양한 피해를 줍니다.



[그림 6] 명령제어 서버 접속시도 화면



이렇듯 토렌트로 배포되는 불법 소프트웨어에는 은밀하게 악성파일이 숨겨져 있는 경우가 많아 자신도 모르게 좀비 PC로 전락하는 피해를 입을 수가 있습니다. 따라서 상용 소프트웨어는 반드시 정품을 사용하고, 비정상적인 프로그램은 절대 실행하지 않는 것이 중요합니다.


이스트시큐리티 시큐리티대응센터(ESRC)는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있습니다.


알약에서는 Gen:Variant.Razy.107843 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.




저작자 표시
신고
  1. 박재헌 2017.11.17 10:11 신고  수정/삭제  댓글쓰기

    항상 실질적 도움이 되는 보안정보를 빨리 제공해 주셔서 고맙다는 말씀 드립니다. 감사드립니다.

    • 알약(Alyac) 2017.11.17 10:24 신고  수정/삭제

      안녕하세요. 이스트시큐리티입니다. 댓글 남겨주셔서 감사합니다! 앞으로도 신속하게 정보를 전달드릴 수 있도록 노력하겠습니다. 감사합니다!

  2. 김재선 2017.11.17 14:40 신고  수정/삭제  댓글쓰기

    알약으로 지워지는데 계속 파일이 재생성되서 알약팝업이 계속 떠서 컴터를 쓰질못하겠네요
    해결방법없을까요?

    • 알약(Alyac) 2017.11.17 16:09 신고  수정/삭제

      안녕하세요? 이스트시큐리티 입니다.

      컴퓨터에 다수의 악성코드가 감염된 경우나 서로 재실행해 주는 경우에 감염된 경우라면 비슷한 증상이 나타날 수 있습니다.

      별도로 실행중인 웹 브라우저나 응용프로그램 등을 종료하시고, 전체검사를 수행 후에 탐지된 악성코드를 동시에 치료해 보시길 권해 드립니다.

      감사합니다.

티스토리 방명록 작성
name password homepage