드롭박스로 유포되는 악성코드

 "어디서나 내 자료와 함께하세요." 라는 문구처럼, 드롭박스를 이용하면 클라우드에 저장해놓은 자료를 언제 어디서나 열어보고, 편집하여 저장할 수 있다. 파일의 동기화와 기기 간의 공유가 쉬워 드롭박스의 이용자는 꾸준히 증가하고 있다. 올해 드롭박스 사용자가 3억 명을 넘었으며, 드롭박스 앱은 미국의 직장인들이 가장 애용하는 앱 2위에 꼽히기도 했다. 한국에서도 많이 사용되고 있는 클라우드 서비스 중 하나다.

 

[그림 1] 드롭박스 홈페이지 메인

 

 사용자는 드롭박스에 파일을 올려놓고, 드롭박스 링크를 통해 다른 사용자에게 올려놓은 파일을 공유할 수도 있다. 블로그에 게임, 유틸리티를 다운로드 할 수 있는 드롭박스 링크가 공개됐다. 하지만 사용자가 다운로드 한 파일은 정상파일을 위장한 악성코드이다. 공유가 쉽다는 클라우드 서비스의 장점을 이용하여 다수의 사용자에게 악성코드를 유포한 셈이다.

 

[그림 2] 블로그에서 공유된 드롭박스 링크

 

 작성자는 블로그에 게임과 유틸리티를 자세히 소개하고, 해당 파일을 다운로드 할 수 있는 드롭박스 링크를 공유했다. 각각의 포스팅은 10월 17일, 11월 8일 작성되었으며, 분석 당시(11월 26일)까지도 악성코드가 유포 중이다.

 

[그림 3] 드롭박스 파일 다운로드

 

 블로그에서 스카이프 유틸이라 소개한 파일은 악성코드이다. 유명 게임이나 유틸리티로 사용자들의 관심을 끌고, 드롭박스를 이용하여 다수에게 악성코드를 유포하였다.

 

[그림 4] 스카이프 유틸.exe

 드롭박스 링크를 통해 다운로드 된 '스카이프 유틸.exe'를 압축 해제하면 '스카이프 유틸.exe'와 'Server.exe' 2개의 파일임을 알 수 있다.

 

 악성코드는 파일 생성, 레지스트리 수정, 네트워크 연결 등 악성 행위를 한다.

 

[파일 생성 정보]
Server.exe	CREATE	C:\Windows\system32\swwawo.exe

[표 1] 파일 생성 정보

 

'Server.exe'는 자기 자신과 같은 파일을 system32 경로에 생성하였다. 악성코드는 system32 경로에 존재하는 경우가 많다. 이는 system32 경로에는 다수의 파일이 있어 악성코드를 인지하기 어렵고 대부분 사용자가 정상파일 경로라고 인지하기 때문이다.

 

[레지스트리 등록]
HKLM\SYSTEM\ControlSet001\Services\Nationaliwn
"ImagePath" = "C:\WINDOWS\system32\swwawo.exe"
"DisplayName" = "Nationalaqt Instruments Domain Service"
"Description" = "Provideseis a domain server for NI security."
"ObjectName" = "LocalSystem"

[표 2] 레지스트리 등록

 생성된 악성파일이 시스템 재시작 시에도 반복 실행할 수 있도록 레지스트리 값을 수정하여 Nationaliwn 라는 이름의 서비스를 등록한다.

[그림 5] 등록된 서비스 속성

 

악성코드는 아래 IP와 네트워크 연결을 한다.

 

[네트워크 연결]
1**.**3.**3.* (8080)

[표 3] 네트워크 연결

 

 

 

 악성코드 유포자는 드롭박스로 쉽게 파일을 공유할 수 있다는 점을 악용하여 악성코드를 유포했다. 클라우드 서비스의 사용자가 늘어나고, 이를 통한 파일 공유는 더욱더 활성화될 것이다. 따라서 드롭박스 링크로 유포되는 악성코드의 사례 또한 증가할 것으로 예상된다. 사용자는 클라우드 서비스를 이용하여 파일 다운로드 시, 공유된 파일이 악성코드 일 수 있다는 경각심을 가지고 주의해야 한다.