포스팅 내용

악성코드 분석 리포트

게임 공략 사이트로부터 이어지는 악성코드 유포 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 유명 국내 게임 공략 사이트 게시판에서 원격제어 기능과 MBR 파괴 기능이 있는 악성코드가 유포되어 주의를 당부 드립니다.


악성코드가 유포되는 사이트 게시판에는 실제 게임과 관련 없는 내용으로 영화와 성인사이트로 위장 된 링크를 기재하여 게시판 사용자들의 클릭을 유도하고 있습니다.

    







[그림 1] 게임 공략 사이트에 기재된 게시글 이미지


취약한 윈도우 및 소프트웨어를 사용 중인 게시판 사용자가 호기심에 해당 사이트를 클릭 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다.


이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 08월 27일 09시에 해당 사이트에서 최초 악성코드가 발견 되었으며, CK VIP(KaiXin) 익스플로잇 킷 공격도구로 만들어진 사이트로 확인이 되었습니다.


또한 이 사이트에는 CVE-2018-8174 VB스크립트 취약점, CVE-2016-7201 엣지 브라우저 취약점 등을 포함하여 총 7가지 취약점 공격으로 이루어져 있습니다. 


쓰렛인사이드에서는 해당 사이트에서 사용 된 CK VIP(KaiXin) 익스플로잇 킷을 상세 분석하여 사용 된 취약점 리스트를 볼 수 있습니다.

 

[그림 2] CK VIP(KaiXin) 익스플로잇 분석 흐름도 이미지


취약한 사용자가 접속 할 경우 다운로드 및 실행되는 악성코드는 PC정보 전달, 계정설정, 파일삭제, 다운로드 등의 기능을 가진 원격제어 악성코드(RAT)로써 아래의 기능들을 수행 할 수 있습니다.


 

[그림 3] 원격 제어 악성코드 기능 이미지


악성 행위 중 C&C 명령에 따라 MBR(마스터부트레코드)를 파괴하는 기능까지 존재하여 사용자들의 각별한 주의가 필요합니다.


 

[그림 4] MBR 영역에 문자열을 삽입 시키는 코드 이미지


이러한 악성코드에 감염되지 않기 위해서는 출처가 불분명한 링크 혹은 사이트에 접속하지 않아야 합니다. 또한 윈도우 보안 업데이트를 포함한 각종 어플리케이션 업데이트를 항상 최신으로 유지하는 보안 습관을 준수하시길 당부 드립니다.


통합 백신 ‘알약’에서는 관련 악성코드를 'Trojan.Agent.259584K’, ‘Trojan.Agent.Injector.273920' 로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage