포스팅 내용

악성코드 분석 리포트

악성파일이 숨겨진 VMware크랙 버전, 토렌트를 통해 유포 중

악성파일이 숨겨진 VMware크랙 버전, 토렌트를 통해 유포 중   


2015년 06월 15일, 회원제로 운영 중인 국내 특정 토렌트 사이트에서 최신버전의 VMware Workstation 파일로 위장한 악성파일이 업로드되어 사용자들의 각별한 주의가 필요합니다. 현재 해당 게시물은 불특정 다수의 이용자에게 계속해서 노출되고 있습니다.


토렌트를 통해 유포 중인 악성 VMware 공격 절차


토렌트 파일에는 설치용 등록번호를 포함해 불법 이용자들을 현혹시키고 있습니다. 일반적으로 토렌트 관련 커뮤니티 간에 토렌트 파일이 공유되는 경우가 많아 다운로드 연결은 지속적으로 증가할 것으로 예상됩니다.


이와 같이 토렌트 등 불법으로 무단 배포되는 상용 프로그램에는 악의적인 의도로 은밀하게 숨겨진 보안위협들이 존재할 가능성이 높다는 점을 명심해야 하며, 상용 소프트웨어는 반드시 정품을 구매해 사용하는 노력이 필요합니다.



 주요내용


1. 유포과정

확인되지 않은 미상의 공격자는 VMware 최신버전의 정상 설치파일에 해외의 원격 호스트(149.200.189.253)서버로 접속을 시도하는 악성파일을 몰래 숨겨 토렌트에 등록했습니다.


보다 많은 이용자가 현혹되어 감염자가 증가할 수 있도록 불법 제품번호까지 포함되어 있으며 VMware 프로그램 설치가 정상적으로 진행될 수 있도록 치밀하게 준비했습니다. 이는 악성파일이 들키지 않고 오랜 기간 잠복하기 위한 수단입니다.


특정 토렌트 사이트에 등록된 VMware의 게시물 화면


해당 토렌트 파일은 2015년 06월 15일 새벽 05시 22분에 익명의 이용자에 의해서 등록되었습니다.


VMware 토렌트 파일이 배포 중인 화면


토렌트 파일은 현재 다수의 이용자에 의해 접속이 증가 중인 상태이며, 이를 통해 지속해서 배포가 이루어지고 있습니다. 또한 토렌트의 특성상 글로벌 단위로 배포가 이루어지며, 현재 이 시간에도 다수의 국가에서 해당 파일이 연결되어 있는 상태입니다.


토렌트 네트워크로 연결이 이뤄진 화면


토렌트 내용을 보면 'VMware-workstation-full-11.1.1-2771112.exe' 파일과 'S.n.txt' 파일이 등록된 것을 확인할 수 있습니다.


2. 분석정보

토렌트를 통해 다운로드가 완료되면 실제 VMware 설치 프로그램의 아이콘과 동일하게 만들어져 있다는 것을 확인할 수 있습니다.


토렌트를 통해 받아진 VMware 파일화면


더불어 등록번호를 포함한 텍스트 파일도 존재합니다. 'S.n.txt' 파일 내부에는 총 8개의 실제 등록번호가 포함되어 있습니다. 따라서 이용자가 VMware 설치 프로그램을 의심하지 않고 바로 실행해 볼 가능성이 높습니다.


VMware 등록번호가 포함된 텍스트 파일화면


'VMware-workstation-full-11.1.1-2771112.exe' 숙주 악성파일이 실행되면 임시폴더(Temp) 경로에 'VMware-workstation-full-11.1.1-2771112.exe' 정상파일과 'Windows System.exe' 악성파일이 생성되고 실행됩니다.

Temp 폴더에 생성된 정상파일과 악성파일 화면


여기서 생성된 'VMware-workstation-full-11.1.1-2771112.exe' 파일은 실제 정상적인 VMware 설치프로그램이며, 'Windows System.exe' 파일은 악성파일입니다. 'Windows System.exe' 파일은 얼마 후 다시 'System.exe' 파일로 복사한 후 실행됩니다.


악성파일이 실행되는 순서


'System.exe' 악성파일은 149.200.189.253 호스트로 접속해 외부 명령제어 서버의 추가 명령을 대기합니다.


원격 호스트로 접속이 성공한 화면


요르단 명령제어 호스트로 접속한 화면



 정리 및 분석


토렌트 등에서 배포중인 불법 소프트웨어는 악의적인 파일이 은밀하게 포함된 채 유포되는 경우가 매우 많습니다. 따라서 상업용으로 판매하는 유료 소프트웨어의 경우 반드시 정식으로 구매해 사용하는 것이 중요합니다. 더불어 원격서버로 접속을 시도하는 경우 공격자가 원하는 대부분의 기능을 수행할 수 있기 때문에 각별한 주의가 필요합니다.


해당 악성파일은 현재 알약에서 Backdoor.Agent.246D로 탐지하고 있습니다. 

 



  1. 미샘 2015.06.17 10:58  수정/삭제  댓글쓰기

    이거 이거 대박정보..

    • 알약(Alyac) 2015.06.19 13:37 신고  수정/삭제

      앞으로도 더 유익한 정보를 제공해드리기 위해 노력하겠습니다. ^^ 알약 블로그 많이 찾아주세요~

  2. 알약짱 2015.06.17 11:05  수정/삭제  댓글쓰기

    토렌트는 악의 축임을 증명하는 포스팅~!

    • 알약(Alyac) 2015.06.19 13:38 신고  수정/삭제

      상용 소프트웨어는 반드시 정품을 구매해 사용하는 자세가 보안을 위한 첫걸음이라는 점 잊지마세요! ^^

  3. 악바리 2015.06.17 11:27  수정/삭제  댓글쓰기

    저같은 컴맹에 보안초짜도 쉽게 이해할수 있는 글이네요. 주변에 토렌트 쓰는 친구들 많은데 꼭 공유해 주어야 겠어요. 그리고 알약으로 검사도 해봐야겠네요. 앞으로도 초보자들 위한 쉬운내용 많이 부탁드립니다. 좋은 글 써주셔서 감사합니다. 꾸벅 m__m

    • 알약(Alyac) 2015.06.19 13:39 신고  수정/삭제

      알약 블로그에 관심을 가지고 구독해주셔서 감사드려요! ^^ 더 유익한 정보를 신속히 전달해드리기 위해 노력하는 알약이 되겠습니다.

  4. 예삐곰퉁 2015.06.17 22:51  수정/삭제  댓글쓰기

    도움이 되었습니다. 잘 봤습니다.

    • 알약(Alyac) 2015.06.19 13:41 신고  수정/삭제

      앞으로도 예삐곰퉁님의 안전한 PC 및 스마트폰 환경을 위한 정보를 신속히 전달해드리도록 노력하겠습니다! 많은 관심 부탁드려요 ^^

  5. Klero 2015.06.18 06:11 신고  수정/삭제  댓글쓰기

    허걱 VMware에 저런 악성코드가 있을줄이야.....

    • 알약(Alyac) 2015.06.19 13:45 신고  수정/삭제

      토렌트를 통해 각종 프로그램이나 자료들을 다운로드받을 경우, 위와 같이 악성코드가 숨겨져 있을 가능성이 있으므로 주의해주세요!

  6. 김준혁 2015.06.18 09:54  수정/삭제  댓글쓰기

    정품 쓰고 싶지만... 왜 이렇게 비싼지 사실 토렌트 유혹이;;;;;;;;;;

    • 알약(Alyac) 2015.06.19 13:46 신고  수정/삭제

      토렌트를 통해 각종 프로그램이나 자료들을 다운로드받을 경우, 위와 같이 악성코드가 숨겨져 있을 가능성이 있으므로 항상 주의해주시길 바랍니다. ^^

  7. 키키키 2016.10.01 16:09  수정/삭제  댓글쓰기

    저거 리니지 프리서버 필수품이라고 알고 있습니다 한 컴퓨터로 여러개의 캐릭터를 접속시켜주는 프로그램인데... 프리서버가 그럼 그렇지 ㅋㅋ

    • 알약(Alyac) 2016.10.04 10:32 신고  수정/삭제

      말씀하신 것처럼 프리서버를 이용하여 게임을 플레이하시는 것은 보안측면에서도 위험합니다. 주의 부탁 드리겠습니다. 감사합니다. ^^

티스토리 방명록 작성
name password homepage