해킹관련팁〃 넥슨 게임(던파) 을 타겟으로 하는 중국발 악성코드의 내부를 살펴봅시다

[러디]

요즘은 유저들의 보안의식이 약간이나마 개선되어져서 , 해킹사건이 예전에 비해서는 비교적 감소하는 추세이지만,

여전히 해킹은 온라인게임을 하는 유저들 입장에서는 공포의 대상입니다.

또한 새로운 해킹기법은 매일 생겨나고 , 악성코드 제작자에 의해 개발되어져서 인터넷상으로 유포되어지고 있습니다.

중국발 해킹은 실제로 어떻게 이루어지는지, 

실제로 중국에서 제작된  넥슨게임 을 대상으로 한 악성코드 내부를 간단히 살펴보겠습니다.

(실제 주 타겟은 "던전앤파이터" 입니다만 그래도 조심해야 합니다. 그 이유는 나중에 알게 됩니다.)

분석환경은 아래와 같습니다.

CPU : Intel Core2Duo SU7300

RAM : Samsung 4GB 1066 DDR3 SDRAM

O/S : Microsoft Windows XP Service Pack 3  (in VMWare Workstation 7)

Browser : Microsoft Internet Explorer 8

1. 악성코드의 전파 경로

이 악성코드는 자체적으로  네이트온 메신저를 이용한 스스로 전파하는 기능을 가지고 있습니다.

네이트온이 그 타겟이 된 이유는  이 악성코드 제작자가 , 한국에서 네이트온 메신저를 많이 사용하는걸 미리 알고있었기 때문입니다.

보통 아래와 같은 의미를 알수없는 내용과 함께 의심스러운 사이트 주소도 적혀서 쪽지가 날라옵니다.

문제는 이 악성코드전파의 희생양이 된 사람은 자신이 저런 쪽지를 보낸것도 전혀 모른다는 사실입니다.

이것의 의미를 자세히 생각해봅시다.

A라는 사람의 컴퓨터에 악성코드가 감염됐습니다.  A가 그것도 모르고 네이트온을 열심히 합니다.

이때 자신은 모르지만 악성코드 프로그램이 활동하면서  자기 메신저에 친구추가된 사람 몇명을 무작위로 선택하여

위 내용이 담긴 쪽지를 무차별적으로 발송합니다.

그 쪽지를 받은 사람은  이게 ?미?  라면서 그 친구에게 물어보지만  ,  그 친구 또한 이런거 보낸적 없다.  ?미? 합니다.

쪽지 수신자가 사이트를 클릭하지않으면 안전하지만 , 사이트를 클릭해서 다운로드를 받아서 실행했다면 희생자는 더 늘어나게 됩니다.

구글 크롬 같은경우 , URL에 접속하기전에 악성사이트인지 판별하는 기능을 가지고있어서 뭔가 의심스런 사이트에 접속하기전에

경고 메시지를 강력하게 띄워서 접속을 막습니다.

그러나 인터넷 익스플로러같은경우  그런 기능이 없기때문에, 상대적으로 취약합니다.

또한 프로그래밍 하기도 쉽기때문에(API등이 친숙함) , 해커들이 선호하는 브라우져로 찍혀있습니다.

이 해커는 그것을 감안한듯 , 악성코드 내부에 이런 메시지를 심어놓았습니다.

아래 메시지는 악성코드에 감염되고 난뒤 ,  인터넷 익스플로러를 실행시켰을때 뜨는 메시지 입니다.

물론 일반적인 방법으로는 확인할 수 없고 , 툴을 이용해야 메시지를 볼수 있습니다.

IE I LOve You  ( 인터넷 익스플로러 ,  난 널 사랑해 )

2.  악성코드 파일 살펴보기

어찌됐던간에 위 사이트를 클릭해서 파일을 다운로드 받으면 아래와 같이 뭔가 알수없는 화면보호기 파일이 하나 있습니다.

파일 하나처럼 보이지만 , 저 scr 은 실제로 파일 3개로 구성되어져 있습니다.

압축을 풀어보면 아래와 같이 3개의 파일이 나옵니다.

DF_DLL 이라고 설명이 나와있네요.

뭐 대충 추측해보자면 저것은  "던파_DLL" 이라고 보면 되겠군요.

회사는  XX중국 이라고 되있습니다. (XX는  한자를 몰라서 ....)

scr파일을 실행하면  위 3개의 파일이 모두 실행되게 되며 , Sunny라는 그림파일만 화면에 나타날뿐

dexas와 nery라는 파일의 실행결과는 화면에 아무것도 나타나지 않습니다.

3.  악성코드의 실행

자 , 이제 악성코드를  실행해봅시다.

실행하면 화면에 아무것도 나타나지 않기 때문에, 대부분의 사람들은 그 결과물을 쉽게 눈으로 확인하기 힘듭니다.

따라서 ,  제가 미리 분석한 결과를 나열하고자 합니다.

이 글 보시는 분들은 , 아래 사항에 해당되는 부분이 있는지 확인해보세요.

* 파일 생성 *

C:\Windows\system32\drivers\test.sys 

C:\Windows\system32\drivers\sysnames.sys (시스템속성을 지니고있기때문에 , 운영체제 보호파일 숨김 해제를 해야 파일이 보임)

C:\Windows\system32\hf0008.exe

C:\WINDOWS\system32\systen.exe (시스템속성을 지니고있기때문에 , 운영체제 보호파일 숨김 해제를 해야 파일이 보임)

C:\Windows\system32\hf0008.dll

C:\Windows\system32\aaaaaaa.dll (시스템속성을 지니고있기때문에 , 운영체제 보호파일 숨김 해제를 해야 파일이 보임)

C:\5.ini

* 레지스트리 값 추가 *

Path :　SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Value Name : AAAA

Value Type : REG_SZ

Value :　C:\Windows\system32\hf0008.exe

위 사항 말고도 ,  DLL 인젝션이나 윈도우 메시지를 후킹하는 프로시저를 호출하는것 등등 많지만,

실제 눈으로 쉽게 확인가능한것만 나열한것입니다.

악성코드 만들때 기본 법칙이라고 볼수있는것중  두가지를 들자면 , 끈질긴 생명력과 절대 눈에 띄지 말아야한다는겁니다.

단지 scr파일 하나만을 실행했을뿐인데 , 그 결과물은 엄청나게 많이 생성됩니다.

이때부터는  삭제하기가 굉장히 곤란해집니다.

* 인터넷 익스플로러의 일부 기능을 가로챔 (가장 심각한 취약점)*

이 악성코드의 기능 중 하이라이트는  바로  IE의 기능 일부를 가로채서 정보를 훔쳐본다는것입니다.

구체적으로  설명하자면  

WININET에서 Export하고있는 HttpSendRequest  라는 API와

kernel32에서 Export하고있는 ReadFile 이라는 API의  First 7 Bytes를  Inline Patching하여 

해커가 프로그래밍한  dll영역으로 넘어오게끔 하여 , 정보를 가로채는 방식입니다.

아이러니하게도 마이크로소프트에서 핫픽스 형태로 편리하게 보안 패치를 하기 위해서 만들어놓은  

First 7 Bytes( NOP 5Bytes + MOV EDI,EDI  2Bytes)   가  해커입장에서는

해킹의 수단으로 사용되고 있는것입니다.

아직도 대부분의 사람들은 이런 생각을 많이 할겁니다.

"악성코드는 게임이 실행되기만을 기다리고 있을것이고 , 따라서 게임을 실행하지만 않으면,

게임을 실행해도 로그인만 하지않으면 안털릴것이다!"

이는 아주 잘못된 판단입니다.

해커가 위에서 IE I LOve You 라는 메시지를 왜 써놓았을까요?

이제부터 저 메시지의 진실을 파헤쳐 봅시다.

왜 던파를 타겟으로하는 악성코드에 감염되도 위험한것인지 알수 있습니다.

참고로 아래의 분석은  직접 제 넥슨 ID와 비밀번호를 이용해서 로그인 한후 ,  분석을 시도한것입니다.

물론 아무런 게임계정이 없는 새로 만든 ID 입니다.

A라는 사람은  평소와 같이 컴퓨터를 켜자마자  인터넷 익스플로러를 켰습니다.

이때 암묵적으로 아래와 같은 메시지가 뜹니다.

넥슨 사이트에 (www.nexon.com)  들어가봤습니다.

(이것은 넥슨 사이트뿐만이 아니라 , 넥슨ID를 요구하는 모든 서비스에도 해당됩니다.  예: 캐쉬샵 등 )

A는 왠지 해킹을 당할것같은 불안감에  키보드보안과 개인방화벽을 체크했습니다.

AOS(Ahnlab Online Security) 와  MyKeyDefense가 설치되면서  뭔가  안전하겠지 라는 느낌이 팍팍 듭니다.

이제 A는 ID와 비밀번호를 치고 로그인을 합니다.

이때 악성코드 내부를 살펴보면 아래와 같습니다.

 위 스샷은 로그인에 성공한 상태입니다.

개인방화벽과 키보드보안을 모두 켠 상태였으며 ,

뭐 보통 안전하다고 알려진 방법인 메모장에 ID와 비밀번호를 쓴뒤 ,복사하여 붙여넣기 하였습니다.

 빨간색 네모친 부분이 보이십니까?

 ID와 비밀번호가  고스란히 입수되어져 있습니다. (ID : reverseeng  Pass : texxxxxxxx)

뭐 미리 말씀드리자면,  빨간색 네모 쳐진 부분 말고도 , 그 아래쪽을 보시면

주민등록번호 ,  

패스워드 변경할때 새로 바꾸려고 시도하는 비밀번호,

보안서비스사용현황, 

security_number(이게 정확히 무엇인지는 던파를 안해봐서 모르겠습니다)

등을 모두 가로챕니다.

주민번호가 가로챔을 당하는 원리는 ,  주로 비밀번호를 변경할때 , 주민등록번호 뒷자리를 입력받기 때문입니다.

넥슨 ID와  비밀번호 외 다른 정보들은

던파를 타겟으로 하는것으로 보여지는데 ,  저는 던전앤파이터를 하지않는 관계로 저 부분은 분석을 하지못했습니다.

따라서 여기서 악성코드에 감염됐을 시 내릴수있는 결론은 ,

개인방화벽이나  ,  안티키로거 방법 등에 상관없이  넥슨 ID는 해커에게 넘어간다.

비밀번호 변경을 수행하면 새로운 비번과  주민등록번호가 해커에게 넘어간다.

가 되겠습니다.

사실 위  기법 말고도 ,  이 악성코드엔 백신의 강제종료 ,   네이트온 키보드 보안기능 가로채기, 

SSDT 후킹을 수행하는 루트킷 설치  등이 있습니다만,

공개적으로 다루기에는 난해한 사항들이라  여기선 넥슨ID가  해커에게 어떻게 넘어가는지에 대해서 간단히 살펴봤습니다.

저러한 exe의 바이너리 형태는  웹페이지에  Exploit의 형태로 심어지는경우도 있고,

스팸메일의 형태 ,  그리고 메신저를 이용한 무차별 전파 등  여러 형태로 중국발 악성코드가 뿌려지고있는 실정입니다.

누누히 말씀드리지만 ,   최신 보안패치(알려진Exploit방지) ,  백신업데이트(가급적 휴리스틱 탐지가 탑재된 백신을 권장)

, 의심스런 메일 열람 금지(Exploit 당할 가능성을 줄여줌) ,  뭔가 취약해보이는 의심스런 사이트 방문 금지(Exploit 당할 가능성을 줄여줌) 

등은  괜히 하는 소리가 아니고 , 모두 이유가 있어서 입니다.

마지막으로  중국발 해킹공격에 당하신분은 최근에 사용한 컴퓨터부터 의심해보는것이 우선입니다.

[아노]바닐라]

와 알고싶었던 건데 좋은 정보 감사합니다~~^__________^

[아노]바닐라]

지금 V3Lite 쓰고있는데 무료백신중 어떤게 좋은가요?

[가나]백설공주엄마]

Avast!가 좋은 백신이긴 한데, 프리웨어인 홈 버전은 업데이트를 수동으로 해줘야 됩니다. '데이타베이스가 업데이트 되었다'고는 하지만, 완벽히 동작하지 않더군요.

[[산스]제르크란츠]

1 그렇다면 뭘 추천하시는지..

[러디]

Avast도 물론 강력하긴하지만 , 오진율이 타 백신에 비해서 조금 높은지라 , 저같으면 네이버PC그린 쓰겠습니다. 최근에 SDK가 8.0으로 업데이트 되었습니다.

[[오를]마리아린츠]

네이버 PC 그린의 가장 큰 단점... 자가 보호 기능이 없어서 백신을 무용지물로 만드는 악성코드에 치명적이긴 합니다.
(추가: 예전 PC 그린의 단점이었습니다. ㅠ.ㅠ;;)

[러디]

네이버PC그린 자가보호기능 가지고 있습니다. 단지 그 대상이 되는 프로세스가 백신에 중요한 프로세스를 대상으로 하고있어서 , 일반 사용자들은 잘 못느끼고 있는겁니다. 그리고 자가보호기능이 타 백신에 비해서 조금 약하긴합니다. 알약이나 V3 , Kaspersky 같은경우는 SSDT를 후킹하지만 네이버PC그린은 안정성을 생각해서인지 SSDT후킹은 하지 않더군요. 사실 SSDT후킹을 여기저기 프로그램에서 남발하게되면 Blue Screen Of Death가 발생할 가능성이 높아서 뭐 후킹을 하느냐 하지않느냐의 여부는 개발자가 상황에 따라서 적절히 판단했을겁니다.

[[오를]마리아린츠]

예전 버전은 자가 보호 기능이 사실상 없다시피 했었는데 현재 버전은 그나마 있는 것 같군요. SSDT 경우는 후킹하지 않을 경우, 음... 경우에 따라서는 약이 될 수도, 독이 될 수도 있겠죠 =_=;; (독이 될 가능성이 더 크겠지만, 일단 SSDT 후킹 남발을 예방하려면 역시 백신 설치는 1:1 원칙을 지키면 예방이 되겠죠.)

[[오를]마리아린츠]

뭐, 그래도 국내 분들이 꽤 자주(?) 걸리시는 Bagle 이나 Parite 등에 걸릴 경우 상대적으로 취약한 PC그린 경우는 난감할 수 밖엔ㅠ_ㅠ;; 위에 열거하신 악성코드에도 약간 위험할 수도 있겠네요. (V3 경우도 요즘 들어 쉽게 먹통이 되는 상황이죠. 실시간 감시가 꺼진다든지 백신 자체가 먹통이 되든지... 외산 정규 제품들 중에서도 몇몇은 같은 경우가 발생하구요. 자가 보호 기능이 매우 우수하다는 카스퍼스키 조차도 무력화 시키는 악성코드도 존재하니...;; 참, 난감하죵... 악성코드와 백신에 대해 전문적으로 다루는 카페에서 그런 문제를 호소하는 분들이 예전보다 상당히 늘어난 상황이기도 하구요.)

[[오를]마리아린츠]

아무튼, 요즘 들어서 백신에 대한 자가 보호 기능도 중요한 화두로 떠오르고 있는 것 같습니다. (워낙 악성코드들이 진보해서...)
이를 계기로 더욱 체계적인 보호 기술이 개발되고 적용되었으면 좋겠네요. ㅠ _ㅠ 바람이 너무 큰 것일까요? ㅎㅎ;;

[[가나]覇]

헐....헤킹 당하는 이유가 다 있군요..... 난해하긴하지만 아래에 적으신대로 열심히 백신 업데이트라도 해야겠습니다^^;
감사합니다~!

[[하칸]가카]

우와 역시 러디님이네요.. 감사합니다.

[[하칸]코코유리]

하여튼 요지는 이상한파일 받지말라는뜻인듯..............근데 이거 연구하신분 좀 쩌시는듯..........

[[트라]Lite。]

다운로드함부로하면 안될듯... 혹시 비주얼키보드로 셔플하고 쳐도 저렇게 정보 새나...

[[오를]나르타샤]

` 와 완전 난감하네 ,,, 네이트 쪽지에 막 저런게 1주일에 1~2개씩 좀 오던데,, 그럼, 걔네들이 보낸것이 아니고, 걔네들의 컴퓨터는 이미 당했다고 볼수 있겠군요 ,, 하,, 이거 난감하네 정말,,,,
` 러디님께서 실행하신 파일은 무엇인가요 , ?

[[산스]소믈리에]

내용만 보고 앗 이글은 러디님꺼!

[[하칸]코코유리]

크롬플러스 쓰세염 갠찬아요

[단군]

이번에 던파 해킹 먹엇는대 이거엿군 ... 개인컴퓨터 설정해놧는대도 아이템 다뺴간 ...

[[트레]샤이니]

와.. 그냥 게임접고 공부할래 ㅡㅡ

[아노]바닐라]

굿 좋은마음가짐!

[[가나]쭉방]

와 이거 쩌내...

[[지기]심검]

인터넷 끊어버리는게 진리

[신짱아]

그렇게치면 컴퓨터를 아예 안하는게 진리 ㅋ

[[트레]샤이니]

싱글CD 게임 ㄱㄱ

[[하칸]조석현]

다들 넋 나갈 기세 ㅋㅋㅋ

[[하칸]백색고양이]

멍..

[[가나]디플폰쿼츠]

헐..............살려주세요

[트라]Loazen]

으앙 ㅋㅋ 컴맹이라서 머엉.....쩝..

[[트라]S2막군]

쭝꿔들이 이런댄 머리가 기가막히게 돌아간다니깐...

[[레코]러브민]

블로그에 출처와 함께 퍼갈게요 ;ㅅ; 삭제하라 하시면 하겠습니다...

[러디]

네 퍼가도 상관없습니다

[[아노]지올린]

역시 피칼씨짱이군
저번에 또 날라왔던데 보내드림 ㅋ

[[오를]玄月戰士]

여기서 나온 중국회사 이름은 미연(微軟)입니다.
연(軟)을 중국에서는 간자체로 쓰면 그렇게 나오는거죠

[[두르]템포꼬맹]

대단합니다.. 좋은정보 아주 잘 보고 갑니다
정말 대단하십니다.

[[트라]Lonelyrail]

허엉
좋은 정보 감사합니다.
조심해야겠군요

[[하칸]LuNa￠]

헉 ㅠㅠ 무서운해킹... 카페에좀 퍼갈께요!

[[레코]새벽의기억]

제가 위와 같은 경우를 통해 해킹을 당한것 같습니다. 회사 컴퓨터로 게임을 했는데 여태까지 제가 갖고 있는 테일즈위버 계정 4개 모두 했거든요. 그런데 비밀번호를 변경한 계정은 본캐릭이 있는 계정 딱 하나였습니다(12월 4일 변경했다고 메일 저장함에 있네요). 그러다가 12월 23일에 그 계정이 털렸던 거죠. 다른 부캐릭 계정에도 리플 등의 장비가 있었고 회사 컴퓨터로 게임도 했지만 털리지 않았던 걸 보면 비밀번호 변경이 오히려 화근을 불러왔다는 결론을 추측할 수 있습니다.

[[오를]마리아린츠]

악성코드의 유형은 저것 말고도 다른 기술들이 엄청나게 많기 때문에 종합적인 보안만이 그나마 안전하게 정보를 보호할 수 있습니다.

[러디]

자가보호도 매우 중요하죠. 카스퍼스키같은경우가 거의 궁극적인 자가보호기능을 하고있다고 보면 되겠네요. (이때까지 개인적으로 카스퍼스키 이상의 자가보호기능을 갖춘 백신을 본적이 없습니다.) User , GDI관련 서비스함수까지 후킹을 하기 때문에 , 카스퍼스키 유저 인터페이스 (창, 화면 등) 에는 오로지 컴퓨터 주인만이 접근할수있으며 , 네이트온 원격제어 등으로 카스퍼스키 화면을 제어하려고 하면 아예 접근조차 안됩니다. 백신이 작동중인 상태에서 커널을 살펴보니 대부분의 백신이 SSDT후킹을 통해서 자가보호를 시행하고있더군요. 사실 SSDT Restore를 수행하는 악성코드를 만들어버리면

[러디]

V3,알약 등 국내 백신은 손쉽게 무력화 가능하긴 하지만 , 아직까지 SSDT Restore를 수행하는 악성코드는 본적이 없어서 가능여부는 확실히 모르겠군요. (개인적으로 해본적도 없어서..) 아마도 가능은 할겁니다. 제가 따로 프로그램을 써서 Restore를 해보니 V3는 그냥 꺼지더군요.

[[오를]마리아린츠]

국내 제품에도 카스퍼스키 같은 종합적으로 우수한 백신이 개발되었으면 하지만, 아직까지는 V3를 제외하면 타 해외 백신 엔진을 빌리는 것에 급급한 상황을 보면... 아직 먼 나라 이야기 같네요. ㅎ.ㅎ

[[오를]마리아린츠]

아마 SSDT Restore 를 사용하는 대표적인 악성코드가 Bagle 일겁니다. :D 혹시라도 분석용으로 샘플 필요하시다면 연락 주세요.

[[하칸]美〃우왕굳]

우와~ 올리디버그가?! 여기서 보니 신선하네요 ㅋㅋㅋ

[러디]

그렇군요. 결국은 뭐 빼낼건 다 빼내는 악성코드네요. 걸리면 얄짤없군요