[악성코드 분석] 최신 영화 파일로 위장한 악성코드 분석

최신 영화 파일로 위장한 악성코드 분석

1. 개요 

토렌트는 P2P 프로토콜로 데이터를 주고 받게 해주는 프로그램으로, 사용자들이 인터넷상에서 파일을 직접 공유할 수 있어 콘텐츠, 소프트웨어 등의 불법 유포 경로로 사용되고 있다. 최근 들어 이러한 토렌트를 악용하는 사례가 꾸준히 나타나고 있어 사용자들의 주의를 요하고 있다. 이번 보고서에서는 토렌트 사이트에서 국내 영화 ‘마스터’로 위장해 유포된 악성코드에 대해 분석하였다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4
파일크기	955,519,487 byte
악성동작	백도어
네트워크	59.***.***.46

 

2-2. 유포 경로

해당 악성코드는 유명 토렌트 사이트에서 국내 영화 ‘마스터’로 위장 유포되었다. 해당 파일명은 “마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4” 이며, 파일 확장자가 .mp4라서 동영상 파일로 보이지만 실행 시 악성 동작을 수행한다.

2-3. 실행 과정

파일 실행 시 동영상은 출력되지 않고 사용자 모르게 악성코드가 동작하게 된다. 실행된 악성코드는 Program Files 폴더에 win32 라는 폴더를 생성 후 자기 자신을 ‘win32.exe’라는 이름으로 복사 후 실행한다. ‘win32.exe’는 원격지 서버와 연결을 시도하며, 연결에 성공할 경우 명령에 따른 동작을 수행하게 된다.

3. 악성 동작

3-1. 파일 확장자 변조

아래 그림과 같이 파일 확장자가 .mp4 로 되어있는 것을 확인할 수 있다. 이는 실행 파일이 아닌 동영상 파일인 것처럼 보여주지만, 사실을 그렇지 않다. 해당 파일의 확장자는 .exe 로 파일의 유형이 응용 프로그램으로 나타난다.

[그림 1] 파일 이름과 유형

이는 유니코드 문자인 RLO(Right to Left Override)를 이용한 것이다. 유니코드란 전 세계의 모든 문자를 컴퓨터에서 일관되게 표현할 수 있도록 설계된 표준으로 많은 문자 집합을 포함하고 있다. 대부분의 언어의 경우 좌측부터 우측으로 글을 읽지만, 일부의 경우 우측에서 좌측으로 읽어야 하는 경우가 있다. 이런 경우를 위한 문자가 바로 RLO이다.

바로 이 RLO를 악용하면 사용자들로부터 파일명을 속이는데 사용될 수 있다. 해당 악성코드의 경우 RLO 문자를 제외하면 파일의 이름이 “마스터.2016.720p.BRRip.AVC.AAC IHS4pm.Exe”가 되는 것이다. 하지만 파일의 이름 “S” 와 “4” 사이에 RLO를 넣으므로 “4”부터는 역순으로 출력되어 “4pm.Exe”가 “exE.mp4”로 보이게 된다. 이와 같은 방식으로 ‘.exe’ 와 ‘.scr’ 등 실행 파일의 확장자를 감출 수 있는 것이다.

[그림 2] 실제 파일 확장자

3-2. 자동 실행 등록

실행된 악성코드는 Program Files 폴더에 win32 폴더를 생성 후 그 안에 자기 자신을 win32.exe 라는 이름으로 복사한다. 그리고 사용자가 PC를 재부팅 하면 자동 실행되도록 작업 스케줄러에 등록한다.

[그림 3] 작업 스케줄러 등록

3-3. 원격지 서버 연결

해당 악성코드는 원격지 서버 ’59.10.197.46 ’ 와 연결을 지속적으로 시도한다.

[그림 4] 원격지 서버 연결

현재 정상적으로 연결이 이루어지지 않지만, 연결이 정상적으로 이루어질 경우 명령에 따른 동작을 수행하게 된다. 명령에 따른 동작 중 몇 가지는 다음과 같다.

우선 사용자 PC 정보를 수집하기 위한 명령어가 있고 해당 명령을 받으면 사용자 PC의 운영체제, 하드웨어, 네트워크, BIOS 등의 정보를 수집한 뒤 원격지 서버로 전송한다.

그리고 각 브라우저를 통해 저장된 쿠키나 패스워드 정보를 수집하여 원격지 서버로 전송한다.

[그림 6] 패스워드 정보 탈취

키로깅과 관련된 동작도 존재하고 있으며, 이를 통해 공격자는 사용자가 키보드에 어떠한 문자를 입력하는지 확인한다.

[그림 7] 키로깅

이외에도 사용자 PC의 웹 캠을 조작하거나 원격에서 접속하는 등의 동작을 수행할 수 있어 추가 피해의 소지가 있다.

4. 결론

이번 악성코드는 해외에서 제작된 RAT 프로그램을 통해 생성된 파일이다. 해당 사이트에서는 자신들이 제작한 프로그램이 악성코드가 아니라 언급하고 있지만, 해외에서는 이미 악용 사례가 여럿 발생하고 있다. 이번 악성코드의 경우에도 사용자에겐 최신 영화 파일로 위장했다는 점을 비롯하여 악의적인 의도를 가지고 있다고 볼 수 있다.

토렌트의 경우 영화, 드라마, 게임 등 불법적인 다운로드의 한 수단으로 많이 사용되고 있다. 악성코드 유포자 또한 이러한 점을 이용하여 악성코드 유포의 수단으로 사용하고 있다. 특히 유포 시 잘 알려진 ‘.exe’ 나 ‘.scr’ 등의 실행 파일 확장자가 아닌 미디어 파일이나 문서 파일 등의 이름으로 위장하여 사용자가 의심하기 어렵게 한다.

만약 다운로드 한 파일의 이름에 ‘exe.’나 ‘rcs.’ 등의 문자가 포함되어 있다면 RLO 문자 등에 의해 공격자가 파일 이름을 조작한 것일 수도 있으므로 필히 주의하여야 한다. 동영상이나 사진이 있는 폴더의 경우 아래와 같은 아이콘 모양으로 나타나는 경우가 많아 파일 확장자를 착각하기 쉽다.

이러한 파일 확장자 위장을 방지하기 위해서는 다음과 같은 설정을 할 수가 있다.

아래와 같이 폴더 보기를 [자세히]로 설정할 경우 아래와 같이 파일의 유형을 나타내준다. 파일 이름이 ‘.mp4’로 끝나지만 파일의 유형이 ‘응용 프로그램’ 인 것을 확인할 수 있다. 이러한 경우 정상 미디어 파일이 아닌 악성코드 일 수도 있으므로 함부로 실행해서는 안된다.

[그림 9] 폴더 보기 변경

[그림 10] 파일 유형 보기

무엇보다 무분별한 토렌트 사용은 사용자를 악성코드에 쉽게 노출시키므로 사용을 자제해야 한다. 사용자는 토렌트 이용 시 신뢰되지 않는 프로그램을 함부로 다운로드 하지 않아야 하며, 다운로드 한 프로그램을 실행 할 때 파일 이름과 유형을 확인하는 등 보안에 각별한 주의를 기울여야 한다.

관련 글: 

토렌트를 통한 유포방식의 악성코드 분석 보고서 (링크)

인기 게임으로 위장한 악성 토렌트 (링크)

HashCop_Bypass.exe 토렌트를 통한 악성코드 유포 (링크)