포스팅 내용

악성코드 분석 리포트

토렌트를 통한 보안위협 사례 분석 (가위바위보.zip)

토렌트를 통한 보안위협 사례 분석 (가위바위보.zip)


2015년 3월 2일 방송통신심의위원회에서는 보도자료 배포를 통해 '인터넷 음란물 근절 TF'를 공식 출범한다고 밝혔습니다. 방통심의위는 더욱 심각해지는 인터넷상의 음란물을 보다 신속하고 효율적으로 차단하기 위해 5개의 실무반으로 구성된 '음란물 근절 TF'를 2015년 3월 2일부터 8월 31일까지 6개월간 운영하기로 했습니다.


이번에 출범한 음란물 근절 TF는 대용량 음란물의 주된 유통경로가 되고 있는 웹 하드 · P2P, 토렌트, SNS, 실시간 개인방송, 카페 · 블로그 및 해외 음란사이트에 대한 중점 모니터링을 통해 음란물 심의의 효율성을 높일 계획이라고 합니다. 이런 가운데 국내 다수의 토렌트(Torrent) 사이트들에서 음란 게임으로 위장해 악성코드를 은밀하게 배포하는 정황이 포착되었습니다.


2015년 3월 4일 국내 특정 토렌트 사이트에 '가위바위보.zip.torrent' 파일이 게시되었습니다. 등록된 게시 글은 '19禁 가위바위보 옷벗기기 토렌트'라는 제목을 담고 있으며, 실제 일본에서 만들어진 음란한 플래시 기반의 게임파일이 포함되어 있습니다.


노출수위가 높은 유해성 게임이 미성년자를 포함해 불특정 다수에게 무차별 배포된 점과 함께 더욱 큰 문제점은 이 게임파일 내부에 원격제어를 통해 미상의 악의적인 해커가 감염된 이용자 컴퓨터에 몰래 접속할 수 있는 악성코드까지 몰래 숨겨져 있었다는 사실입니다.


공격자는 주도 면밀하게 악성코드를 제작했습니다. 처음 토렌트에 등록할 때부터 관심유발을 높이기 위해 음란한 자료에 악성코드를 추가시켰습니다.


토렌트 음란게임과 악성코드 유포절차


악성코드는 마치 정상적인 게임 파일로 공유되고 있으며, 여러 토렌트 사이트를 통해 전파가 지속되고 있는 상황입니다. 토렌트 사이트들의 특성상 이미 여러 곳에서 동시다발적으로 배포가 되고 있습니다.



토렌트 보안위협 사례 분석


1. 유포과정

공격자는 이용자들이 많은 특정 토렌트 사이트에 성인용을 뜻하는 '19금'이라는 특정 키워드와 노출수위가 높은 음란성 이미지를 포함시켜, 정상적인 게임파일처럼 위장한 악의적인 토렌트 파일을 등록했습니다. 이후 이 토렌트 파일은 여러 사이트를 통해 지속적으로 공유되기 시작해 현재 다수의 토렌트 사이트에서 배포되고 있습니다.


국내에서 운영중인 일부 토렌트 사이트를 살펴보면 도메인이 달라도 하위 주소들이 비슷하다는 점을 알 수 있습니다. 현재 이 토렌트 사이트들은 공통적으로 동일한 악성코드를 배포하는데 악용되고 있습니다.


여러 토렌트 사이트에 공통 등록된 주소 / 부분 모자이크 처리


아래는 2015년 3월 4일 오후 1시 33분 국내 특정 토렌트 사이트에 올려진 실제 화면입니다.


토렌트에 등록된 게시 글 화면 / 부분 모자이크 처리


토렌트 이용자가 '가위바위보.zip.torrent' 이름의 파일을 받아 파일을 실행할 경우 다음과 같이 '가위바위보.zip' 파일이 받아지게 됩니다.


토렌트를 통해서 배포 중인 화면


'가위바위보.zip' 압축파일 내부에는 '가위바위보옷벗기기.exe' 실행파일과 '새 텍스트 문서.txt' 문서파일이 포함되어 있습니다.


압축된 날짜를 확인해 보면 2015년 3월 4일 오후 2시 35분경이라는 점을 알 수 있습니다. 공격자는 토렌트 파일을 먼저 배포하고, 이후에 압축된 파일을 제작했던 것으로 추정할 수 있습니다.


가위바위보.zip 압축파일 내부 화면


압축 내부에 있는 파일 화면


'가위바위보옷벗기기.exe' 파일이 실행되면 먼저 시스템 드라이브 루트경로(C:\)에 'qwe.exe', 'game.exe' 파일을 생성하고 실행합니다. 여기서 'qwe.exe' 파일이 악성코드이며, 'game.exe' 파일이 플래시 기반의 음란 게임파일입니다.


악성코드는 이후 시스템 폴더 경로에 랜덤한 파일명으로 복사본을 만들어 작동하고, 루트 드라이브에 존재하던 원본은 삭제합니다.


루트드라이브 경로에 생성된 게임파일


시스템 폴더 경로에 생성된 악성코드



2. 분석정보

'game.exe' 플래시 게임파일이 실행되면 다음과 같이 일본에서 제작된 음란 게임이 시작됩니다.


플래시 게임이 실행된 화면 중 일부


악성코드는 분석을 방해하기 위해서 'Themida' 프로그램으로 실행 압축되어 있습니다. 또한 코드 내부적으로 사용된 언어가 중국어(zh-cn)로 설정된 것을 알 수 있습니다.


악성코드 내부에서 포함된 언어설정


악성코드에 감염된 경우 호스트 23.102.65.159 주소로 접속하여 공격자의 추가 명령을 대기합니다.


미국의 C&C로 접속한 화면



악성코드 분석 결과


다수의 토렌트 사이트를 통해 원격제어와 개인정보 유출 피해를 입을 수 있는 악성코드가 은밀하게 유포되고 있습니다. 특히, 음란한 내용으로 이용자들을 현혹시키고 있어 보다 각별한 주의가 필요합니다.


원격제어 기능이 탑재된 악성코드의 경우 이용자 컴퓨터에 미상의 해커가 몰래 접속해 내부 자료를 훔쳐보거나 탈취할 수 있어 매우 위험할 수 있습니다.


해당 악성코드는 현재 알약에서 'Trojan.GenericKD.2198432'로 탐지하고 있습니다.




  1. 토렌도사 2015.03.07 11:07  수정/삭제  댓글쓰기

    이글 보고 조심할 수 있었네요~ >.< 정말 도움 되는 정보였습니다! 앞으로도 이런 내용 많이 부탁할께요.

    • 알약(Alyac) 2015.03.09 09:51 신고  수정/삭제

      안녕하세요. 알약입니다. 도움이 되셨다니 정말 다행입니다.^^ 앞으로도 토렌도사님의 안전한 PC환경에 도움이 되는 콘텐츠를 제공할 수 있도록 노력하겠습니다. 감사합니다.

  2. 최수지 2015.03.07 11:59  수정/삭제  댓글쓰기

    토렌트에서 아무거나 막 받으면 위험하겠네요. 이글 강력 추천

    • Macman 2015.03.07 12:30 신고  수정/삭제

      특히 exe는 더조심해야되요 ㅠ

    • 알약(Alyac) 2015.03.09 10:05 신고  수정/삭제

      안녕하세요. 알약입니다. 토렌트에서 다운로드 받으시는 파일은 정식적으로 배포되는 자료가 아니기 때문에, 악성코드가 삽입되어 있을 가능성이 크므로 주의하시기 바랍니다. 감사합니다.

  3. viruslab 2015.03.09 10:09 신고  수정/삭제  댓글쓰기

    보안뉴스에도 나왔네요~^^

    토렌트서 음란게임 가위바위보 받았다간...악성코드 감염
    http://www.boannews.com/media/view.asp?idx=45572

    • 알약(Alyac) 2015.03.10 09:37 신고  수정/삭제

      안녕하세요. 알약입니다. 알약 블로그에 관심을 가지고 읽어 주셔서 감사합니다. ^^ 앞으로도 안전한 PC 환경을 위해 노력하는 알약이 되겠습니다. 감사합니다.

  4. sky 2015.03.20 11:11  수정/삭제  댓글쓰기

    호스트 23.102.65.159 주소로 접속하여 공격자의 추가명령을 대기한다는 것은 정확히 어떻게 알수있었는지 궁금합니다.

    • 알약(Alyac) 2015.03.23 12:18 신고  수정/삭제

      안녕하세요. 알약입니다. 분석 결과, 악성코드에 감염되면 악성코드 스스로가 해당 주소로 접속을 시도하여 공격자의 명령을 대기하고있는 것을 확인할 수 있었습니다.

  5. 2016.11.09 21:04  수정/삭제  댓글쓰기

    비밀댓글입니다

티스토리 방명록 작성
name password homepage