중국에서 개발된 "Fireball" 악성코드 분석

国产流氓软件“火球”分析与溯源

6월 1일, CheckPoint는 중국 기업에서 개발된 "Fireball" 악성코드를 발견하였다고 발표하였습니다. 

Fireball 악성코드 사건은, huorong 보안연구원들이 Mustang, DealWifi등을 위장한 8개의 악성코드를 발견하면서 시작되었습니다. 이 악성코드들은 사용자 PC를 감염시킨 후 Chrome 브라우저 시작 페이지, TAB 페이지를 임의의 검색페이지로 변경시킨 후 사용자들이 다시 변경할 수 없도록 합니다. 변경하는 페이지들은 각각 다르지만, 검색페이지에서 모두 야후와 구글의 데이터를 크롤링 하는 것으로 보아 악성코드 제작자들이 야후와 구글의 광고를 통해 수익을 얻는 것이 아닐까 추측하고 있습니다. 

악성코드는 사용자 PC에 설치될 때 사용자 PC에 크롬브라우저가 있는지 확인하는데, 만약 크롬브라우저가 없다면 아무일도 발생하지 않지만, 만약 크롬브라우저를 사용하고 있다면 플러그인 설치하지 않으면 프로그램을 설치할 수 없다는 창을 띄우며 사용자의 설치를 유도합니다. 

이 프로그램들은 卿烨科技、百盛达科技등 여러 기업들을 통해 제공되었지만, huorong 보안연구원들이 추적해본 결과, 모두 동일한 “baoyu430@gmail.com”계정을 가진 제작자에 의해 제작된 것으로 확인되었습니다. 제작자는 각기 다른 홈페이지에서 대량의 악성코드를 제작한 것입니다. 

이 악성코드는 크롬 브라우저만을 타겟으로 하고 있지만, 크롬 브라우저가 전 세계 적으로 많이 사용되고 있는 만큼, Fireball 악성코드의 파급력은 매우 클 것으로 예상되고 있습니다. 사용자는 해당 악성코드를 제거함으로서 크롬 브라우저 설정을 복구할 수 있습니다. 

이번 Fireball 사건은 비록 해외에서 발견되었지만, 그 공격수법은 이미 중국에서도 흔히 볼 수 있는 방법입니다. 이는 즉 중국 내 해킹조직들의 공격수법이 전 세계적으로 퍼져나가고 있다고 볼 수 있습니다. 

사건 분석

최근 Fireball 악성코드를 발견한 후 조사를 한 결과, 해당사건과 관련된 더 다양한 악성코드들을 발견할 수 있었습니다. 

 

DealWiFi 프로그램을 예로 들어보겠습니다. 

해당 프로그램이 설치 될때 다음과 같은 화면이 보이게 되는데, 만약 사용자가 “Setmystart.dealwifi.comasyourchromehomepageandnewtab” 선택을 하지 않는다면 프로그램 설치가 불가하게 됩니다. 

 

해당 옵션을 선택한 후 설치를 하면, 다음과 같이 크롬 플러인을 설치합니다.

해당 플러그인은 크롬의 설정에서 기본 페이지를 강제로 변경합니다. 

설정이 변경된 크롬 브라우저의 시작페이지 화면은 다음과 같습니다. 

이런 악성코드들은 강제로 설치한 프로그램과 동일한 이름을 가진 크롬 플러그인을 강제로 설치합니다. 이 플러그인들의 기능은 모두 시작페이지를 고정하며, “SosoDesktop”이라는 명칭을 가진 악성코드는 강제로 기본 검색엔진을 변경하기도 합니다. 

분석결과, Holainput 프로그램이 변경하는 시작 검색페이지의 검색결과는 최종적으로 Google로 가지만, 나머지 검색페이지들은 야후의 검색결과와 동일한 것으로 보아 최종적으로 야후로 넘어가는 것으로 추측할 수 있었습니다. 하지만 구글이던 야후이던, 결과적으로 사용자의 검색기록을 모두 공격자 서버에 저장하기 때문에 검색 키워드를 통한 추가적인 정보들이 유출될 가능성도 있습니다. 

조사결과, 위에 언급된 악성프로그램들은 모두baoyu430@gmail.com 메일로 등록이 되어있었습니다. 卿烨科技 회사 정보를 검색해본 결과, 卿烨科技라는 이름을 가진 회사들은 총 5곳이 있었으며, 그 중 해당 악성코드와 직접적으로 연관이 있는 회사는 총 3(北京卿烨, 海卿烨北京分公司, 上海卿烨)곳으로 확인되었습니다. 

Check Point 보고서에 따르면, 중국에서 개발된 이 악성코드는 전 세계를 강타하고 있으며, 인도, 브라질, 멕시코, 인도네시아, 미국순으로 많이 감염되었다고 밝혔습니다. 하지만 중국에서의 감염율은 그렇게 많지 않은것으로 나타났습니다. 

그 이유는 무엇일까요?

그 이유는 중국에서는 살아남기가 매우 힘들어서일 것이라고 추측했습니다. 중국에서는 이러한 수법을 사용하는 악성코드는 결코 새로운 것이 아니기 때문일 것입니다. 

그리고 중국의 일각에서는 Fireball을 악성코드라고 보기도 힘들다는 견해도 있습니다. 그 이유는 중국에서 뜻하는 악성코드는 보안프로그램이 정당한 이유로 제거할 수 있는 프로그램(웜, 트로이목마, 다운로더 등)을 뜻하는데 Fireball은 설치과정에 명백히 사용자의 동의를 받는 영역이 있으며, 제어판에서 직접적으로 삭제할 수도 있기 때문에 사기 프로그램(rogue software)으로 보는것이 더 맞다는 견해도 있습니다. 

현재 알약에서는 해당 악성코드에 대하여 Misc.Riskware.Elex, Trojan.Agent.153600C, Misc.Riskware.Mutabaha로 탐지하고 있습니다. 

참고 :

http://www.2cto.com/article/201706/644838.html

http://bobao.360.cn/news/detail/4186.html

http://www.freebuf.com/news/136301.html

http://www.dailysecu.com/?mod=news&act=articleView&idxno=20731

http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/