스크랩 넥슨 게임(던파) 을 타겟으로 하는 중국발 악성코드의 내부를 살펴봅시다

[악비S2]

요즘은 유저들의 보안의식이 약간이나마 개선되어져서 , 해킹사건이 예전에 비해서는 비교적 감소하는 추세이지만,

여전히 해킹은 온라인게임을 하는 유저들 입장에서는 공포의 대상입니다.

또한 새로운 해킹기법은 매일 생겨나고 , 악성코드 제작자에 의해 개발되어져서 인터넷상으로 유포되어지고 있습니다.

중국발 해킹은 실제로 어떻게 이루어지는지, 

실제로 중국에서 제작된  넥슨게임 을 대상으로 한 악성코드 내부를 간단히 살펴보겠습니다.

(실제 주 타겟은 "던전앤파이터" 입니다만 그래도 조심해야 합니다. 그 이유는 나중에 알게 됩니다.)

분석환경은 아래와 같습니다.

CPU : Intel Core2Duo SU7300

RAM : Samsung 4GB 1066 DDR3 SDRAM

O/S : Microsoft Windows XP Service Pack 3  (in VMWare Workstation 7)

Browser : Microsoft Internet Explorer 8

1. 악성코드의 전파 경로

이 악성코드는 자체적으로  네이트온 메신저를 이용한 스스로 전파하는 기능을 가지고 있습니다.

네이트온이 그 타겟이 된 이유는  이 악성코드 제작자가 , 한국에서 네이트온 메신저를 많이 사용하는걸 미리 알고있었기 때문입니다.

보통 아래와 같은 의미를 알수없는 내용과 함께 의심스러운 사이트 주소도 적혀서 쪽지가 날라옵니다.

문제는 이 악성코드전파의 희생양이 된 사람은 자신이 저런 쪽지를 보낸것도 전혀 모른다는 사실입니다.

이것의 의미를 자세히 생각해봅시다.

A라는 사람의 컴퓨터에 악성코드가 감염됐습니다.  A가 그것도 모르고 네이트온을 열심히 합니다.

이때 자신은 모르지만 악성코드 프로그램이 활동하면서  자기 메신저에 친구추가된 사람 몇명을 무작위로 선택하여

위 내용이 담긴 쪽지를 무차별적으로 발송합니다.

그 쪽지를 받은 사람은  이게 ?미?  라면서 그 친구에게 물어보지만  ,  그 친구 또한 이런거 보낸적 없다.  ?미? 합니다.

쪽지 수신자가 사이트를 클릭하지않으면 안전하지만 , 사이트를 클릭해서 다운로드를 받아서 실행했다면 희생자는 더 늘어나게 됩니다.

구글 크롬 같은경우 , URL에 접속하기전에 악성사이트인지 판별하는 기능을 가지고있어서 뭔가 의심스런 사이트에 접속하기전에

경고 메시지를 강력하게 띄워서 접속을 막습니다.

그러나 인터넷 익스플로러같은경우  그런 기능이 없기때문에, 상대적으로 취약합니다.

또한 프로그래밍 하기도 쉽기때문에(API등이 친숙함) , 해커들이 선호하는 브라우져로 찍혀있습니다.

이 해커는 그것을 감안한듯 , 악성코드 내부에 이런 메시지를 심어놓았습니다.

아래 메시지는 악성코드에 감염되고 난뒤 ,  인터넷 익스플로러를 실행시켰을때 뜨는 메시지 입니다.

물론 일반적인 방법으로는 확인할 수 없고 , 툴을 이용해야 메시지를 볼수 있습니다.

IE I LOve You  ( 인터넷 익스플로러 ,  난 널 사랑해 )

2.  악성코드 파일 살펴보기

어찌됐던간에 위 사이트를 클릭해서 파일을 다운로드 받으면 아래와 같이 뭔가 알수없는 화면보호기 파일이 하나 있습니다.

파일 하나처럼 보이지만 , 저 scr 은 실제로 파일 3개로 구성되어져 있습니다.

압축을 풀어보면 아래와 같이 3개의 파일이 나옵니다.

DF_DLL 이라고 설명이 나와있네요.

뭐 대충 추측해보자면 저것은  "던파_DLL" 이라고 보면 되겠군요.

회사는  XX중국 이라고 되있습니다. (XX는  한자를 몰라서 ....)

scr파일을 실행하면  위 3개의 파일이 모두 실행되게 되며 , Sunny라는 그림파일만 화면에 나타날뿐

dexas와 nery라는 파일의 실행결과는 화면에 아무것도 나타나지 않습니다.

3.  악성코드의 실행

자 , 이제 악성코드를  실행해봅시다.

실행하면 화면에 아무것도 나타나지 않기 때문에, 대부분의 사람들은 그 결과물을 쉽게 눈으로 확인하기 힘듭니다.

따라서 ,  제가 미리 분석한 결과를 나열하고자 합니다.

이 글 보시는 분들은 , 아래 사항에 해당되는 부분이 있는지 확인해보세요.

* 파일 생성 *

C:\Windows\system32\drivers\test.sys

C:\Windows\system32\drivers\sysnames.sys

C:\Windows\system32\hf0008.exe

C:\WINDOWS\system32\systen.exe

C:\Windows\system32\hf0008.dll

C:\Windows\system32\aaaaaaa.dll

C:\5.ini

* 레지스트리 값 추가 *

Path :　SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Value Name : AAAA

Value Type : REG_SZ

Value :　C:\Windows\system32\hf0008.exe

위 사항 말고도 ,  DLL 인젝션이나 윈도우 메시지를 후킹하는 프로시저를 호출하는것 등등 많지만,

실제 눈으로 쉽게 확인가능한것만 나열한것입니다.

악성코드 만들때 기본 법칙이라고 볼수있는것중  두가지를 들자면 , 끈질긴 생명력과 절대 눈에 띄지 말아야한다는겁니다.

단지 scr파일 하나만을 실행했을뿐인데 , 그 결과물은 엄청나게 많이 생성됩니다.

이때부터는  삭제하기가 굉장히 곤란해집니다.

* 인터넷 익스플로러의 일부 기능을 가로챔 (가장 심각한 취약점)*

이 악성코드의 기능 중 하이라이트는  바로  IE의 기능 일부를 가로채서 정보를 훔쳐본다는것입니다.

구체적으로  설명하자면  

WININET에서 Export하고있는 HttpSendRequest  라는 API와

kernel32에서 Export하고있는 ReadFile 이라는 API의  First 7 Bytes를  Inline Patching하여 

해커가 프로그래밍한  dll영역으로 넘어오게끔 하여 , 정보를 가로채는 방식입니다.

아이러니하게도 마이크로소프트에서 핫픽스 형태로 편리하게 보안 패치를 하기 위해서 만들어놓은  

First 7 Bytes( NOP 5Bytes + MOV EDI,EDI  2Bytes)   가  해커입장에서는

해킹의 수단으로 사용되고 있는것입니다.

아직도 대부분의 사람들은 이런 생각을 많이 할겁니다.

"악성코드는 게임이 실행되기만을 기다리고 있을것이고 , 따라서 게임을 실행하지만 않으면,

게임을 실행해도 로그인만 하지않으면 안털릴것이다!"

이는 아주 잘못된 판단입니다.

해커가 위에서 IE I LOve You 라는 메시지를 왜 써놓았을까요?

이제부터 저 메시지의 진실을 파헤쳐 봅시다.

왜 던파를 타겟으로하는 악성코드에 감염되도 위험한것인지 알수 있습니다.

참고로 아래의 분석은  직접 제 넥슨 ID와 비밀번호를 이용해서 로그인 한후 ,  분석을 시도한것입니다.

물론 아무런 게임계정이 없는 새로 만든 ID 입니다.

A라는 사람은  평소와 같이 컴퓨터를 켜자마자  인터넷 익스플로러를 켰습니다.

이때 암묵적으로 아래와 같은 메시지가 뜹니다.

넥슨 사이트에 (www.nexon.com)  들어가봤습니다.

(이것은 넥슨 사이트뿐만이 아니라 , 넥슨ID를 요구하는 모든 서비스에도 해당됩니다.  예: 캐쉬샵 등 )

A는 왠지 해킹을 당할것같은 불안감에  키보드보안과 개인방화벽을 체크했습니다.

AOS(Ahnlab Online Security) 와  MyKeyDefense가 설치되면서  뭔가  안전하겠지 라는 느낌이 팍팍 듭니다.

이제 A는 ID와 비밀번호를 치고 로그인을 합니다.

이때 악성코드 내부를 살펴보면 아래와 같습니다.

 위 스샷은 로그인에 성공한 상태입니다.

개인방화벽과 키보드보안을 모두 켠 상태였으며 ,

뭐 보통 안전하다고 알려진 방법인 메모장에 ID와 비밀번호를 쓴뒤 ,복사하여 붙여넣기 하였습니다.

 빨간색 네모친 부분이 보이십니까?

 ID와 비밀번호가  고스란히 입수되어져 있습니다. (ID : reverseeng  Pass : texxxxxxxx)

뭐 미리 말씀드리자면,  빨간색 네모 쳐진 부분 말고도 , 그 아래쪽을 보시면

주민등록번호 ,  

패스워드 변경할때 새로 바꾸려고 시도하는 비밀번호,

보안서비스사용현황, 

security_number(이게 정확히 무엇인지는 던파를 안해봐서 모르겠습니다)

등을 모두 가로챕니다.

주민번호가 가로챔을 당하는 원리는 ,  주로 비밀번호를 변경할때 , 주민등록번호 뒷자리를 입력받기 때문입니다.

넥슨 ID와  비밀번호 외 다른 정보들은

던파를 타겟으로 하는것으로 보여지는데 ,  저는 던전앤파이터를 하지않는 관계로 저 부분은 분석을 하지못했습니다.

따라서 여기서 악성코드에 감염됐을 시 내릴수있는 결론은 ,

개인방화벽이나  ,  안티키로거 방법 등에 상관없이  넥슨 ID는 해커에게 넘어간다.

비밀번호 변경을 수행하면 새로운 비번과  주민등록번호가 해커에게 넘어간다.

가 되겠습니다.

사실 위  기법 말고도 ,  이 악성코드엔 백신의 강제종료 ,   네이트온 키보드 보안기능 가로채기, 

SSDT 후킹을 수행하는 루트킷 설치  등이 있습니다만,

공개적으로 다루기에는 난해한 사항들이라  여기선 넥슨ID가  해커에게 어떻게 넘어가는지에 대해서 간단히 살펴봤습니다.

저러한 exe의 바이너리 형태는  웹페이지에  Exploit의 형태로 심어지는경우도 있고,

스팸메일의 형태 ,  그리고 메신저를 이용한 무차별 전파 등  여러 형태로 중국발 악성코드가 뿌려지고있는 실정입니다.

누누히 말씀드리지만 ,   최신 보안패치(알려진Exploit방지) ,  백신업데이트(가급적 휴리스틱 탐지가 탑재된 백신을 권장)

, 의심스런 메일 열람 금지(Exploit 당할 가능성을 줄여줌) ,  뭔가 취약해보이는 의심스런 사이트 방문 금지(Exploit 당할 가능성을 줄여줌) 

등은  괜히 하는 소리가 아니고 , 모두 이유가 있어서 입니다.

마지막으로  중국발 해킹공격에 당하신분은 최근에 사용한 컴퓨터부터 의심해보는것이 우선입니다.

[밤에울프]

다는 안읽어봣는데 무서운거구나?

[악비S2]

다 읽어도 이해 못할 것 같은 안습 울프형 ㅠㅠ

[악비S2]

결론은 최신 보안패치(알려진Exploit방지) , 백신업데이트(가급적 휴리스틱 탐지가 탑재된 백신을 권장), 의심스런 메일 열람 금지(Exploit 당할 가능성을 줄여줌) 및 의심스러운 쪽지 주소 클릭 금지, 뭔가 취약해보이는 의심스런 사이트 방문 금지(Exploit 당할 가능성을 줄여줌).

[아잉꾸링]

어려워....