[보안뉴스 / 5.15.] 성인 게임 위장한 정보 탈취형 악성코드 발견… 일본 사용자들 노린

토렌트 등 불법 공유 사이트 통해 유포되는 것으로 추정
안랩 ASEC 분석팀, 악성코드는 DLL 하이재킹 방식으로 동작

[보안뉴스 김영명 기자] 성인 게임으로 위장한 정보 탈취형 악성코드가 유포 중인 것으로 드러났다. 유포 경로는 확인되지 않지만, 성인 게임이기 때문에 토렌트나 불법 공유 사이트를 통해 유포되고 있는 것으로 추정된다.

▲정상적인 게임 설치 폴더[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 최근 일본 사용자들을 대상으로 하는 성인 게임 위장 정보 탈취형 악성코드를 발견했다. 성인 게임을 위장한 악성코드 유포 방식은 국내에서도 자주 사용된다. 공격자는 직접 제작한 것으로 보이는 악성코드들을 사용했으며, PDB 정보를 통해 Stellar, ReceiverNeo라는 이름을 확인할 수 있었다. 몇 개의 경로들을 통해 악성코드가 탐지됐으며, 다양한 성인 게임에 포함되어 유포된 것으로 추정된다.

일반적으로 이러한 성인 게임은 압축 파일로 유포되며 △압축 해제 폴더 안에 있는 ‘Start.exe’는 게임의 런처 프로그램으로 △‘Lib’ 폴더에는 게임 프로그램이 사용할 라이브러리 파일들이 존재하는 등의 형태를 보이고 있다.

악성코드도 게임 파일과 같이 압축 파일로 유포됐으며, 한 가지 차이점이라면 ‘Lib’ 폴더에 악성코드가 포함됐다는 점이다. 드로퍼 악성코드는 ‘Sound.dll’ 이름으로 존재하며, 대신 원본 ‘Sound.dll’은 ‘SoundDX.dll’, 방화벽 설정 악성코드는 ‘Vorbis64.dll’ 이름으로 존재한다.

▲프로세스 트리[자료=안랩 ASEC 분석팀]

악성코드는 DLL 하이재킹 방식을 통해 실행된다. 게임 프로그램인 ‘Start.exe’가 실행되면 ‘Lib’ 폴더에 존재하는 ‘Sound.dll’을 로드하는데, 공격자는 악성코드를 ‘Sound.dll’ 경로에 뒀기 때문에 정상 라이브러리 파일 대신 악성코드가 로드된다. 악성 ‘Sound.dll’은 정상 파일처럼 위장하고 있으며 실제 Export 함수들도 같다.

‘Start.exe’가 동작 과정에서 정상 ‘Sound.dll’의 특정 함수를 실행하려고 시도할 경우 악성코드 ‘Sound.dll’은 동일 경로에 존재하는 ‘SoundDX.dll’의 해당 함수가 실행되도록 한다. 악성 루틴은 DllMain() 함수에 존재하기 때문에 DLL 로드 시 바로 실행되며, 정상 라이브러리에 대한 함수 호출도 지원해 성인 게임 자체도 정상적으로 동작한다. 이에 따라 사용자들은 게임이 정상적으로 동작하는 것으로 인지하게 되는데, 게임과 함께 악성 루틴도 실행된다.

▲악성코드가 포함된 Lib 폴더[자료=안랩 ASEC 분석팀]

‘Sound.dll’은 드로퍼 악성코드로 파일 내부의 .data 섹션에 실제 인포스틸러 악성코드를 갖고 있다가 특정 경로에 악성코드를 생성한다. 악성코드 중에서 ‘taskdiskmgr.exe’는 직접 실행하고, ‘UpdChk.exe’는 ‘App’ 이름으로 작업 스케줄러에 등록해 8시간마다 실행되게 한다.

‘Sound.dll’은 .NET의 코드 프로파일링(Code Profiling) 기능을 악용하는 방식으로 UAC를 우회한다. 다음과 같은 레지스트리 키는 관리자 권한 없이도 쓸 수 있는데, 해당 키에 악성 DLL의 경로를 지정하고 ‘mmc.exe’를 실행할 경우 ‘mmc.exe’ 프로세스에 지정한 DLL이 로드돼 실행된다. 문제는 ‘mmc.exe’가 UAC 프롬프트의 팝업 없이도 관리자 권한으로 실행되는 프로그램이므로 결국 관리자 권한만으로 실행될 수 있다.

‘Sound.dll’이 생성하는 악성코드들은 인포스틸러이며, 이에 따라 탈취한 정보를 명령제어(C&C) 서버에 전송해야 한다. 공격자는 이를 위해 방화벽을 설정해 설치한 악성코드들의 네트워크 행위를 허용케 할 필요가 있다. ‘Vorbis64.dll’은 방화벽 작업 시 관리자 권한을 필요로 하기 때문에 UAC 우회 방식을 통해 ‘Vorbis64.dll’을 관리자 권한으로 동작시키는 것이다.

▲.data 섹션에 존재하는 악성코드들[자료=안랩 ASEC 분석팀]

‘Stellar’라는 이름으로 만들어진 인포스틸러 악성코드가 있다. 먼저, 최초로 실행되는 ‘taskdiskmgr.exe’는 웹 브라우저, FTP 클라이언트, 비밀번호 관리자, 암호화폐 지갑 파일 등 사용자 정보를 탈취한다. 악성코드 제작자는 해당 악성코드를 ‘Stellar’라는 이름으로 제작했으며, 특정 악성코드 프로그램 데이터베이스 정보를 통해 확인할 수 있다.

Stellar는 특정 폴더를 생성하는데, 여기에는 이후 과정에서 탈취한 정보들이 저장된다. 정보 탈취 대상은 △기본 정보(OS 정보, 사용자 이름, 프로세스 목록) △웹 브라우저 계정 정보(Google Chrome, Mozilla FireFox, Microsoft Edge) △이메일 클라이언트 계정 정보(Thunderbird) △FTP 클라이언트 계정 정보(NextFTP, WinSCP) △비밀번호 관리자(KeePass, 1Password) △암호화폐(비트코인) △사용자 파일(바탕화면, 문서 폴더 내의 파일들) △기타(Dropbox, Putty) 등이다.

▲Stellar의 Main 루틴[자료=안랩 ASEC 분석팀]

바탕화면과 문서 폴더에 존재하는 파일들의 경우 특정 키워드를 포함하는 파일명이거나 특정 키워드를 포함하는 폴더 안에 존재하는 파일들이 탈취 대상이 된다. 비트코인의 경우도 설치 경로에 존재하는 특정 이름의 파일들이 탈취 대상이 된다. 탈취 대상 파일 및 폴더 이름은 △바탕화면 폴더에 존재하는 사용자 파일들(파일 이름) △바탕화면 폴더에 존재하는 사용자 파일들 (폴더 이름) △바탕화면 폴더에 존재하는 사용자 파일들(폴더 이름) △문서 폴더에 존재하는 사용자 파일들(파일 이름) △문서 폴더에 존재하는 사용자 파일들(폴더 이름) △비트코인 설치 폴더에 존재하는 설정 파일들(파일 이름) 등이다.

수집한 정보 및 파일들은 C&C 서버에 HTTP로 접속해 POST 방식으로 전송한다. Stellar는 다양한 사용자 파일들을 탈취하기 때문에 수집한 파일들을 나눠서 전송한다. 정보 탈취 루틴 대부분은 이미 알려진 인포스틸러 악성코드의 방식과 동일하지만, Edge 웹 브라우저의 경우 파워쉘의 PasswordVault를 이용한다는 점이 특징이다. 참고로 Stellar는 보안 제품의 AMSI로 인해 PasswordVault 파워쉘 명령이 차단되는 것을 방지하기 위해 해당 명령을 실행하기 이전에 AMSI 비활성화를 시도한다. 마지막으로 탈취한 정보가 저장돼 있는 폴더를 삭제하고, 레지스트리 키 ‘HKCU\Software\Kdslnc’의 ‘Id’ 항목에 랜덤한 문자열을 쓴 후 종료한다.

‘UpdaChk.exe’는 감염 시스템의 스크린샷을 탈취하는 정보 탈취형 악성코드다. PDB 정보를 보면 악성코드 제작자는 해당 악성코드를 ReceiverNeo라는 이름으로 제작했다. 공격자는 Stellar가 먼저 동작하도록 설계하고 이후 주기적으로 스크린샷을 탈취하는 ReceiverNeo가 동작하도록 했다. ReceiverNeo는 단순하게 스크린샷을 탈취하는 기능이 전부이며, 저장된 스크린샷은 Stellar처럼 C&C 서버에 전송된다.

안랩 ASEC 분석팀 관계자는 “자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 하고, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”며 “사용자는 백신을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단해야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>