악성파일이 숨겨진 VMware크랙 버전, 토렌트를 통해 유포 중

악성파일이 숨겨진 VMware크랙 버전, 토렌트를 통해 유포 중   

2015년 06월 15일, 회원제로 운영 중인 국내 특정 토렌트 사이트에서 최신버전의 VMware Workstation 파일로 위장한 악성파일이 업로드되어 사용자들의 각별한 주의가 필요합니다. 현재 해당 게시물은 불특정 다수의 이용자에게 계속해서 노출되고 있습니다.

토렌트를 통해 유포 중인 악성 VMware 공격 절차

토렌트 파일에는 설치용 등록번호를 포함해 불법 이용자들을 현혹시키고 있습니다. 일반적으로 토렌트 관련 커뮤니티 간에 토렌트 파일이 공유되는 경우가 많아 다운로드 연결은 지속적으로 증가할 것으로 예상됩니다.

이와 같이 토렌트 등 불법으로 무단 배포되는 상용 프로그램에는 악의적인 의도로 은밀하게 숨겨진 보안위협들이 존재할 가능성이 높다는 점을 명심해야 하며, 상용 소프트웨어는 반드시 정품을 구매해 사용하는 노력이 필요합니다.

 주요내용

1. 유포과정

확인되지 않은 미상의 공격자는 VMware 최신버전의 정상 설치파일에 해외의 원격 호스트(149.200.189.253)서버로 접속을 시도하는 악성파일을 몰래 숨겨 토렌트에 등록했습니다.

보다 많은 이용자가 현혹되어 감염자가 증가할 수 있도록 불법 제품번호까지 포함되어 있으며 VMware 프로그램 설치가 정상적으로 진행될 수 있도록 치밀하게 준비했습니다. 이는 악성파일이 들키지 않고 오랜 기간 잠복하기 위한 수단입니다.

특정 토렌트 사이트에 등록된 VMware의 게시물 화면

해당 토렌트 파일은 2015년 06월 15일 새벽 05시 22분에 익명의 이용자에 의해서 등록되었습니다.

VMware 토렌트 파일이 배포 중인 화면

토렌트 파일은 현재 다수의 이용자에 의해 접속이 증가 중인 상태이며, 이를 통해 지속해서 배포가 이루어지고 있습니다. 또한 토렌트의 특성상 글로벌 단위로 배포가 이루어지며, 현재 이 시간에도 다수의 국가에서 해당 파일이 연결되어 있는 상태입니다.

토렌트 네트워크로 연결이 이뤄진 화면

토렌트 내용을 보면 'VMware-workstation-full-11.1.1-2771112.exe' 파일과 'S.n.txt' 파일이 등록된 것을 확인할 수 있습니다.

2. 분석정보

토렌트를 통해 다운로드가 완료되면 실제 VMware 설치 프로그램의 아이콘과 동일하게 만들어져 있다는 것을 확인할 수 있습니다.

토렌트를 통해 받아진 VMware 파일화면

더불어 등록번호를 포함한 텍스트 파일도 존재합니다. 'S.n.txt' 파일 내부에는 총 8개의 실제 등록번호가 포함되어 있습니다. 따라서 이용자가 VMware 설치 프로그램을 의심하지 않고 바로 실행해 볼 가능성이 높습니다.

VMware 등록번호가 포함된 텍스트 파일화면

'VMware-workstation-full-11.1.1-2771112.exe' 숙주 악성파일이 실행되면 임시폴더(Temp) 경로에 'VMware-workstation-full-11.1.1-2771112.exe' 정상파일과 'Windows System.exe' 악성파일이 생성되고 실행됩니다.

Temp 폴더에 생성된 정상파일과 악성파일 화면

여기서 생성된 'VMware-workstation-full-11.1.1-2771112.exe' 파일은 실제 정상적인 VMware 설치프로그램이며, 'Windows System.exe' 파일은 악성파일입니다. 'Windows System.exe' 파일은 얼마 후 다시 'System.exe' 파일로 복사한 후 실행됩니다.

악성파일이 실행되는 순서

'System.exe' 악성파일은 149.200.189.253 호스트로 접속해 외부 명령제어 서버의 추가 명령을 대기합니다.

원격 호스트로 접속이 성공한 화면

요르단 명령제어 호스트로 접속한 화면

 정리 및 분석

토렌트 등에서 배포중인 불법 소프트웨어는 악의적인 파일이 은밀하게 포함된 채 유포되는 경우가 매우 많습니다. 따라서 상업용으로 판매하는 유료 소프트웨어의 경우 반드시 정식으로 구매해 사용하는 것이 중요합니다. 더불어 원격서버로 접속을 시도하는 경우 공격자가 원하는 대부분의 기능을 수행할 수 있기 때문에 각별한 주의가 필요합니다.

해당 악성파일은 현재 알약에서 Backdoor.Agent.246D로 탐지하고 있습니다.