상세 컨텐츠

본문 제목

백도어가 포함된 토렌트, 사용자들 GoBot2 악성코드에 감염 시켜

국내외 보안동향

by 알약(Alyac) 2019. 7. 9. 14:22

본문

Backdoored Torrents Infect Movie, TV Fans with GoBot2 Malware


영화와 드라마 팬들이 몇몇 한국과 중국 토렌트 사이트에서 백도어가 포함된 GoBot2를 배포하는 악성 캠페인의 타깃이 되고 있습니다.


GoBotKR이라 명명된 이 악성코드는 지난 2018년 5월 시작된 악성 캠페인의 한 부분으로 배포되고 있었습니다. 


또한 한국, 중국, 대만 사용자의 컴퓨터에서 수백 개의 샘플이 탐지되었습니다.


오리지널 GoBot2 백도어에 한국에 특화된 회피 기술이 추가된 것으로 보아, 전문가들은 해당 악성코드가 한국 사용자들을 노리기 위해 개발된 것으로 추측하고 있습니다.


Go 언어 기반으로 제작된 GoBotKR 백도어는 지난 2017년 3월 공개된 GoBot2 악성코드를 커스터마이즈하여 제작되었습니다. 


이 악성코드는 Go 프로그래밍 언어의 라이브러리를 사용하고 정식 윈도우 바이너리 및 BitTorrent와 uTorrent 클라이언트와 같은 서드파티 유틸리티의 도움을 받아 손상된 컴퓨터에서 실행됩니다.


토렌트 시딩(seeding), DDoS 공격에 사용돼


공격자는 피해자 PC를 감염 시킨 후, 해킹된 기기에서 백도어를 통해 SYN Flood, UDP Flood, Slowloris와 같은 다양한 DDoS 공격이 가능한 봇 네트워크를 추가할 수 있습니다.


이를 위해 네트워크, OS 버전, CPU 및 GPU 버전, 설치된 안티바이러스 솔루션 등의 시스템 정보를 수집하여 C&C 서버로 전송하고 공격자들이 추후 공격에 사용할 수 있는 봇을 고를 수 있도록 합니다. 


이들의 공격 리스트에는 프록시/HTTP 서버를 실행하기 위한 명령 및 스크립트 실행 등 수많은 기능들이 포함됩니다.


그리고 공격자는 DDoS 공격 및 다른 타깃 기기에 확산하기 위해 각각의 봇을 토렌트 시딩에 사용할 수 있습니다. 


연구원들은 GoBotKR 봇넷의 주 목적은 DDoS 공격이라고 설명했습니다.



<이미지 출처: https://www.welivesecurity.com/2019/07/08/south-korean-users-backdoor-torrents/#single-post-fancybox-1>



거기다 GoBot2 악성코드의 백신 제품 분석 및 회피 기술을 이용한 것 외에도, 네이버와 다음 플랫폼을 사용하는 IP 주소를 확인하는 등 한국 사용자들을 타깃으로 한 기능들도 추가되었습니다.


또한 하드코딩된 리스트를 통해 안티바이러스 및 분석 소프트웨어들을 찾아내려 시도하고, 이들 중 하나라도 실행 중인 것이 탐지될 경우 자동으로 자기 자신을 종료하고 모든 흔적을 제거합니다.


감염 프로세스에서 모방 기법 사용해


공격자들은 악성 PMA 아카이브 형태로 그들의 장비로부터 악성 페이로드를 실행하도록 설계된 LNK 파일을 다운로드 폴더에 추가했습니다. 


악성 PMA 아카이브 파일은 비디오 코덱 인스톨러를 모방하고 탐지를 피하기 위해 이름을 변경한 EXE 실행 파일입니다.


공격자는 타깃 사용자가 LNK 파일을 오픈하도록 속이기 위해 파일 명에 비디오 파일의 이름을 사용했습니다. 


동일한 이름의 MP4 영상은 다른 폴더에 숨겨져 있습니다.


사용자가 간신히 숨겨진 MP4 파일을 찾아 재생할 경우 아무런 악성 행위가 발생하지 않습니다. 


하지만 공격자의 트릭에 속아 LNK 파일을 클릭한다면, 사용자 기기의 백그라운드에서는 악성코드가 실행되며 화면의 제일 상단에서 숨겨진 비디오가 재생되어 악성 행위를 숨깁니다.



<이미지 출처: https://www.welivesecurity.com/2019/07/08/south-korean-users-backdoor-torrents/#single-post-fancybox-1>



연구원들은 LNK 파일은 보통 윈도우 익스플로러에서 표시되지 않아 사용자가 이 트릭에 속을 확률이 높다고 밝혔습니다.


PMA 실행 파일 아카이브는 자신을 내장하고 있는 토렌트 파일에 따라 다양한 이름을 사용합니다. 


TV 드라마나 영화의 경우 starcodec.pma, WedCodec.pma, Codec.pma를 사용하며, 해적판 게임 토렌트의 경우 leak.dll을 사용합니다.


현재 알약에서는 해당 악성코드에 대해 'Backdoor.Agent.GoBotKR, Trojan.Infostealer.Gen, Trojan.PSW.Agent' 등으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/backdoored-torrents-infect-movie-tv-fans-with-gobot2-malware/

https://www.welivesecurity.com/2019/07/08/south-korean-users-backdoor-torrents/

관련글 더보기

댓글 영역