가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보

가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보

최근 다수 토렌트(Torrent) 공유 서비스를 통해 “강력한 파일 보안 프로그램 ROS Power Lock 4.0” 타이틀로 위장한 RAT(Remote Administration Tool)유형의 악성 파일이 지속적으로 유포되고 있습니다. 사용자들의 각별한 주의를 당부 드립니다.

악성 파일은 마치 스웨덴 국가기관 보안을 담당하는 기업의 보급용 보안 프로그램처럼 사칭하고 있습니다. 또한 한글을 이용해 쉬운 설치를 유도하고, 정식 등록 키가 포함된 것처럼 속여 토렌트 서비스 사용자들을 교묘하게 현혹하고 있습니다. 공격자는 사용자들이 해당 파일을 더욱 신뢰하도록 ‘설치 시 보안 등급 설정’ 등의 내용을 추가시키는 한편, 실제 프로그램 배포 패키지처럼 보이기 위해 다양한 파일들을 포함하고 있습니다.

특정 토렌트 사용자가 해당 보안 프로그램을 다운로드하고 ‘setup.exe’ 파일을 실행하더라도, 이것이 정상적인 프로그램이 아니기 때문에 실제 설치 화면이나 과정을 확인할 수는 없습니다. 사용자는 그 즉시 원격제어 기능이 있는 악성 프로그램에 노출되어, 예기치 못한 피해를 입을 수 있습니다.

 

▲ 보안 프로그램으로 위장한 악성 파일 토렌트 유포 흐름도

악성코드 분석 내용

1. 원격제어 악성 파일 작성

공격자는 독일에서 제작된 것으로 알려진 특정 RAT 프로그램을 이용해 원격제어 서버용 파일을 제작했습니다. 해당 파일이 감염에 성공할 경우, 한국에서 주로 이용되는 유명 동영상 플레이어 파일명으로 위장돼 작동하도록 만들었습니다.

해당 RAT 프로그램은 겉으로 보기에 상용 원격 관리 프로그램처럼 보이지만, 해외에서는 이미 불법 원격제어 등 악의적인 용도로 널리 악용되고 있는 추세에 있습니다. 해당 사례는 국내에서도 보안 위협으로 꼽히며 점차 증가하고 있는 실정입니다.

 

▲ 특정 RAT 프로그램 원격제어 관리자 화면

2. 토렌트 유포 과정

 

공격자는 RAT를 이용해 원격 제어가 가능한 악성 파일을 제작하고, 설정을 통해 한국의 유명 동영상 플레이어 파일명처럼 위장합니다.

▲ 특정 RAT 프로그램 서버 파일 제작 구성 화면

서버 구성을 실행한 공격자는 클라이언트 공격 파일을 제작하고, 디버깅과 네트워크 분석 및 가상 OS에 대한 탐지 등을 우회하기 위해 다양한 기능을 선택합니다. 또한 원격제어 및 Keylogger 기능을 활성화하여 실시간으로 사용자 정보를 탈취할 수 있습니다.

▲ 원격 제어 기능 설정 제작 화면

이런 과정을 거쳐 제작된 악성 파일은 마치 보안 프로그램처럼 위장된 후 개인간 파일 공유 서비스에 등록됩니다. 이후 다수의 토렌트 파일 공유 서비스를 통해 불특정 다수의 사용자에게 유포됩니다.

▲ 다수의 토렌트 사이트에서 유포 중인 화면

공격자는 악성 파일을 더욱 확산시키기 위해, ‘강력한 파일 보안 프로그램 ROS Power Lock 4.0’라는 제목으로 교묘하게 포장하고 있습니다. 이러한 제목으로 인해, 보안에 관심을 가지고 있는 사용자들이 위협에 노출될 가능성이 높습니다.

실제 배포 시 사용된 안내 문구에는 스웨덴 국가 기관의 보안을 담당하는 회사의 보급용 보안 프로그램처럼 가장하고 있으며, 설치 시 다양한 보안 등급 설정도 가능한 것처럼 속이고 있습니다.

 

▲ 토렌트 파일 배포 사이트에 등록된 화면

한글 토렌트 서비스 사용자 중 해당 프로그램의 보안기능 소개와 문구를 통해 무심코 접근한 사용자들은 주로 한국인인 것으로 나타났습니다. 공격자는 컴퓨터 보안 프로그램에 관심이 있는 사용자를 역으로 겨냥하고 있어, 관련 전문가들은 이를 매우 특징적인 점으로 평가하고 있습니다. 또한 해당 악성 파일은 아직까지도 많은 사이트에서 배포되고 있어 주의가 필요합니다.

▲ 한국 사용자들이 토렌트에서 악성 파일을 받고 있는 화면

토렌트 파일을 다운로드하면 보통의 설치 프로그램들처럼 다수의 설정 파일과 리소스 등의 폴더를 확인할 수 있으며, ‘setup.exe’ 파일과 ‘설치 방법 및 라이선스 키.txt’ 파일을 볼 수 있습니다. 이는 사용자로 하여금 정상적인 파일처럼 보이도록 하기 위한 속임수입니다. 사용자가 ‘setup.exe’를 실행하는 즉시 악성 파일에 노출돼 감염이 이뤄집니다.

▲ 토렌트를 통해 받아진 프로그램 패키지 화면

‘setup.exe’ 파일을 실행하면 ‘Program Files’ 경로에 ‘Gomplayer’ 폴더가 생성됩니다. 공격자는 마치 동영상 프로그램처럼 사칭한 악성 파일을 숨김속성으로 생성하고 실행시킵니다.

▲ 동영상 플레이어로 위장해 생성된 악성 파일 화면

동영상 플레이어처럼 파일명을 가장하고 있는 악성 파일은 실행된 후, 공격자의 원격제어 명령에 대기합니다. 실제 해당 악성 파일을 분석하고 있는 시점에 아래와 같이 한국의 특정 IP주소(59.10.197.46)로 접속을 시도한 바 습니다.

▲ 동영상 플레이어로 위장한 파일이 원격지로 접속한 화면

해당 악성 파일은 특정 RAT 빌드 기능에 의해 C# 기반의 프로그래밍 언어로 제작되어 있으며, PC기반 기능 외에 안드로이드 OS 기반의 스마트폰 접속 기능도 제공하고 있습니다.

▲ 안드로이드 기반 원격제어 서비스 지원

이스트소프트 시큐리티 대응센터에서는 해당 악성 파일 유형을 추적한 결과, 2016년 11월부터 12월까지 한국의 유명 프로그램처럼 위장한 변종들이 유포된 정황을 확인했습니다.

분석 결론

한국의 불특정 다수를 대상으로 한 악성 파일이 파일 공유 서비스인 토렌트를 통해 지속적으로 유포되고 있습니다. 각종 불법 소프트웨어에는 검증되지 않은 채 유통되는 파일들이 많습니다. 여기에는 다양한 보안위협 요소들이 은닉되어 있을 가능성이 매우 높다는 점을 명심해야 합니다.

이번 처럼 원격제어 기능의 악성 파일에 감염되면 개인 정보 유출 등 예상치 못한 피해로 이어질 수 있습니다. 특히, 보안 솔루션은 반드시 신뢰할 수 있는 경로를 통해 무결성이 보장되는 정식 제품을 선택한 후 사용하는 것이 중요합니다.

알약 제품군에서는 보고된 해당 악성 파일과 변종들을 Spyware.Infostealer.MSIL.xcl, Trojan.Dropper.estad 등으로 탐지하고 있습니다.