포스팅 내용

악성코드 분석 리포트

[주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만,  12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다.


공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다.





지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있어 매우 각별한 주의가 필요한 상태입니다. 


해당 악성파일은 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있습니다.



[그림 1] 토렌트에 유포 중인 악성 파일 화면



이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성되어 집니다.


폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있는데, 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여주어 이용자가 바로 실행하도록 현혹하게 됩니다.


'HWP2018.exe' 파일이 공격자가 원격에서 감염된 컴퓨터를 제어할 수 있는 해킹 프로그램입니다.



[그림 2] 불법 문서 작성 소프트웨어로 위장한 악성 파일 화면



만일, 이용자가 정상파일로 오인해 'HWP2018.exe' 파일을 실행할 경우 악성파일은 C 드라이브 경로에 'office' 폴더를 생성하고 숨김 속성으로 'office.exe' 악성파일을 복사하고 실행합니다.



[그림 3] 추가로 생성된 악성파일 화면 



감염이 정상적으로 진행되면 'Orcus RAT' 기반의 원격제어 기능의 악성파일은 한국의 특정 서버로 통신을 시도합니다. 11월 달에 발견된 경우도 명령제어 서버(C2) '211.110.35.168' 주소가 한국 이었던 특징이 있습니다.



- 203.229.109.13:10136 (한국)



[그림 4] 악성파일이 실행되어 명령제어 서버와 통신하는 화면



공격자는 원격제어를 통해 감염된 컴퓨터의 일거수일투족을 실시간으로 볼 수 있으며, 특정 파일을 유출하거나 삭제할 수 있는 권한을 가질 수 있게 됩니다.


이처럼 토렌트 등에서 유포되는 불법 소프트웨어는 항상 최신 보안 위협에 노출되고 있다는 점을 명심하고, 반드시 정품 소프트웨어를 사용하는 노력이 필요하겠습니다.


알약에서는 Trojan.Injector.1495040 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.



  1. Anchou 2017.12.07 19:23 신고  수정/삭제  댓글쓰기

    좋은 정보 감사합니다. 역시 토렌트 위험하네요;;

  2. kaan2004 2017.12.11 05:18 신고  수정/삭제  댓글쓰기

    Orcus rat 은 치료하기가 쉽지 않았습니다만.. 결코 어려운 멀웨어는 아닙니다. 알약에서 언제나 경고하면서 차단하고, 멀웨어바이트도 차단하는데, 문제는.. 오리지널 폴더가 남아있다면, 설사 알약과 안티바이러스 멀웨어치료기에서 임시파일을 지우더라도 쉴세없이 다시 살아난다는 겁니다. 근원적인 치료는 다음과 같습니다. 2017년 12월11일 현재.. Orcus rat 의 표시형식은 Office.exe 이며, 얼마던지 이름은 바뀔수 있지만, Taskmanager 에 뜨는 이름은 Offficet.exe 입니다. 일단
    알약이나 안티바이러스에서 차단메시지가 뜨면, 바로 테스크매니저 들어가서, Officet.exe 프로세스가 작동중인지 확인하시고 그 프로세서를 바로 터미네이트 시키지 말고, 추적해서 근원적인 폴더가 어디있는지 반드시 찾아야 합니다. 그리고, 폴더를 찾았다면, 두개던 세개던 반드시 일시에 다 지워야 합니다. 물론.. Shift + DEL 키로 휴지통이 아닌 완전삭제를 해야합니다. 그렇게하면, 일단 근원폴더는 지워지지만, 알약이나 안티바이러스에서 잡아낸다는것은 램에 상주하고 있다는 의미기도 하기때문에, 근원폴더( Program Files(X86), Program Files, Program Data, 혹은 사용자계정폴더, 사용자계정\ AppData\Roaming 등에 존재하는)를 모두 지웠다면, 알약이나 안티바이러스에서 지워진상태에서 알약의 지우는 프로세스를 끝내지 마시고 바로 재부팅을 실시합니다. 또한.. 알약의 시스템관리나 혹은 레지스트리의 시작프로그램 관리에서 Orcus 로 의심되는 프로세스를 모두 삭제해주면.. 그제서야 완전하게 삭제됨을 확인할수 있습니다.
    재부팅하면.. 전혀. Officet.exe 혹은 Office.exe 가 작동하고 있지 않음을 확인할수 있습니다. 테스크메니저, 알약, 안티바이러스, 멀웨어바이트등에서 확인되지 않음을 확인한 다음에야 완전치료되었다는것을 확인할수 있습니다.

  3. 김주훈 2018.01.02 10:10 신고  수정/삭제  댓글쓰기

    바이바이 아빠 나 해킹함

티스토리 방명록 작성
name password homepage