사용자 계정정보 탈취, DDoS 공격 등 공격자 명령 원격 수행
WebHook API 이용 시 특정 디스코드 서버에 데이터와 알림 전달 가능
[보안뉴스 김영명 기자] LG유플러스가 서비스하는 웹하드(Webhard)는 국내 사용자를 대상으로 공격하는 해커들이 악성코드 유포 플랫폼으로 종종 악용되고 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다.
웹하드를 유포 경로로 사용하는 공격자들은 주로 △국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 △웹하드를 통해 유포 중인 UDP Rat 악성코드 △웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드(GoLang) 등과 같은 RAT(원격 접근 도구) 유형의 악성코드를 설치한다.
▲해킹 포럼에서 공유된 HH IRC Bot[이미지=ASEC분석팀]
이렇듯 공격자들은 주기적으로 다양한 유형의 악성코드를 사용하고 있다. 이러한 가운데 안랩 ASEC 분석팀에서는 최근 ‘HH IRC Bot’이라고 하는 DDoS 봇 악성코드가 웹하드를 통해 유포되고 있는 것을 확인했다. 악성코드에서 사용되는 문자열 및 기능들을 통해 찾아봤을 때 과거 2012년경 해킹 포럼에서 공유된 악성코드인 것으로 추정된다. ‘HH’는 HackHound를 의미하며 Hackhound 포럼의 공식 IRC Bot으로 소개되고 있다.
1988년 개발된 실시간 인터넷 채팅 프로토콜인 IRC(Internet Relay Chat)는 사용자들이 특정 IRC 서버의 특정 채널에 접속해 같은 채널에 접속한 다른 사용자들과 실시간으로 채팅을 할 수 있다. IRC Bot은 이러한 IRC를 악용해 C&C 서버와의 통신에 사용하는 봇 악성코드다. 감염 시스템에 설치된 IRC 봇은 IRC 프로토콜에 따라 공격자가 지정한 IRC 서버의 채널에 접속하며, 그 이후 탈취한 정보를 해당 채널에 전달하거나 공격자가 특정 문자열을 입력할 경우 이를 명령으로 전달받아 이에 상응하는 악성 행위를 수행할 수 있다.
IRC 봇 악성코드는 추가적인 명령제어(C&C) 서버 및 프로토콜을 개발할 필요 없이 이미 존재하는 IRC 프로토콜을 이용하고 기존 IRC 서버를 활용할 수 있다는 점에서 과거부터 꾸준히 사용됐다. 현재 웹하드에서 공격자가 업로드한 파일은 확인되지 않지만, △\시간정지 참교육 (2)\d4work.dll △\얀데레_여동생의_사랑을_듬뿍_받는_아이_만들기_생활_04_10 (2)\d3dcompiler_46.dll △\샌드위치는 안돼 (2)\d3dcompiler_46.dll △\실비 키우기\save.dll 등의 경로명을 통해 과거 사례처럼 성인 게임을 위장해 유포된 것으로 추정된다.
이렇게 웹하드에 업로드된 게임 압축 파일에 포함된 파일들은 모두 njRAT 악성코드이며, 특히 ‘d4work.dll’이나 ‘d3dcompiler_46.dll’와 같은 유포 파일명은 과거부터 njRAT 유포에 자주 사용되고 있는 이름들이다.
▲njRAT 설정 데이터[이미지=ASEC분석팀]
웹하드를 주요 유포 경로로 사용했다는 점이나 유포에 사용된 파일명이 과거 공격들에서 사용된 것과 동일하다는 점, 과거 Golang DDoS IRC Bot 악성코드를 사용한 사례처럼 IRC 악성코드를 사용했다는 점, 공격에 njRAT, HackHound IRC Bot 외에도 UDP Rat이 사용됐다는 점 등으로 봤을 때 기존과 동일한 공격자의 소행으로 추정되고 있다. 유포되는 njRAT들은 여러 방식으로 패킹과 함께 난독화돼 있으며, 구분자로 “|’|’|”를 사용하는 버전을 이용했다.
njRAT은 감염 시스템에 상주하면서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 공격자는 njRAT을 이용해 추가 악성코드를 생성했으며 대표적으로 UDP Rat,이 설치된 다양한 웹 브라우저에 저장된 계정 정보들을 수집해 보여주는 WebBrowserPassView와 크롬 웹 브라우저 계정 정보 탈취형 악성코드가 있다. UDP Rat은 UDP Flooding 공격을 지원하는 DDoS 봇이다.
▲Simple-UDP-Rat[이미지=ASEC분석팀]
공격에 사용된 UDP Rat 악성코드들은 PDB 정보에 따라 △D:\wkfy\Machos Sharing2\Machos Sharing2[자료] 특수\희귀소스[USER] UDP botnet src\layer4botnet ourse\Client\x64\Debug\Client.pdb △C:\Users\jk\Desktop[USER] UDP botnet src\layer4botnet sourse\Client\x64\Debug\Client.pdb 등 두 종류로 나뉜다.
WebBrowserPassView는 최신 버전 대신 ‘/stext’ 인자를 지원하는 과거 버전이 사용됐다. 추출한 계정 정보를 보여줄 때 GUI 버전만 지원하는 최신 버전과 달리 ‘/stext’ 인자를 지원하는 과거 버전의 WebBrowserPassView는 사용자가 인지하지 못하게 커맨드 라인으로 실행돼 수집한 계정 정보를 파일 형태로 생성할 수 있다. 이렇게 생성된 계정 정보가 담긴 파일은 공격자가 RAT 악성코드들을 활용해 탈취가 가능해진다. 이에 따라 과거 버전의 WebBrowserPassView는 HawkEye를 포함한 다양한 악성코드들에 의해 사용되고 있다.
▲stext 인자를 지원하는 과거 버전의 WebBrowserPassView[이미지=ASEC분석팀]
공격자는 WebBrowserPassView를 사용하는 것 이외에도 추가적인 계정 탈취형 악성코드도 유포했다. 해당 악성코드는 크롬 웹 브라우저만을 대상으로 계정 정보를 수집하며, 이후 디스코드를 이용해 수집한 정보를 탈취한다.
현재 크롬 웹 브라우저가 실행 중일 경우 강제로 종료하고 설정 파일에 저장된 계정 정보를 구해와 복호화한다. 그리고 디스코드 WebHook을 이용해 해당 정보를 탈취한다. WebHook API를 이용하면 특정한 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉, 악성코드는 WebHook URL을 통해 탈취한 정보가 포함된 압축 파일을 첨부해 POST를 요청하며, 공격자는 디스코드 서버에서 알림과 함께 탈취한 정보를 전달받을 수 있다.
▲크롬 브라우저 계정정보 탈취형 악성코드(좌)와 디스코드 WebHook을 이용해 정보를 탈취하는 모습[이미지=ASEC분석팀]
njRAT이 생성하는 악성코드로는 마지막으로 HackHound IRC Bot이 있다. HackHound IRC Bot은 IRC 프로토콜을 C&C 서버로 이용해 공격자로부터 전달받은 명령을 수행할 수 있으며, 지원하는 기능으로는 추가 악성코드 다운로드나 업데이트와 같은 기본적인 기능 외에 대부분이 DDoS 공격들이다. HackHound IRC Bot은 △파일 다운로드 △업데이트 △DDoS 공격(UDP Flood, HTTP Get Flood, HTTP POST Flood, ConDis Flood, HTTP Torhammer Flood, HTTP Hulk Flood) 등의 기능을 지원하고 있다.
HH IRC Bot이 처음 실행되면 리소스에 저장돼 있는 설정 데이터를 읽어와 초기화를 진행한다. 첫 번째 항목은 C&C 서버인 IRC 서버의 주소이며 다음 항목은 C&C 서버의 포트 번호, 채널 이름이다. 그리고 설정에 포함된 ‘test’ 문자열은 재부팅 이후에 실행될 수 있도록 설정하는 Run 키의 이름, ‘test.exe’ 문자열은 최초 실행 시 자신을 %APPDATA% 경로에 복사할 때 변경할 이름을 의미한다.
▲HH IRC Bot 초기화 루틴[이미지=ASEC분석팀]
현재는 접속이 불가능하지만, C&C 서버와의 접속 이후에는 ‘IRC 명령이 구현된 루틴’과 같이 다운로드, 업데이트, DDoS 공격 등 공격자로부터 전달받은 명령을 수행할 수 있다. 구현된 DDoS 공격 루틴들도 해킹 포럼에서 소개한 내용과 동일하다. 참고로 Tor′s Hammer, Hulk 등을 포함해 사용되는 대부분의 DDoS 공격들 대부분은 이름이 알려진 것들이며, ConDis 공격은 Connection/Disconnection을 의미하는 것으로 추정된다. 즉, 공격 대상에 연결과 연결 끊기를 반복적으로 수행하는 DDoS 공격이다.
▲IRC 명령이 구현된 루틴(좌)과 DDoS 공격이 구현된 루틴(우)[이미지=ASEC분석팀]
안랩 ASEC 분석팀은 “악성코드는 웹하드 등 자료 공유 사이트를 통해 활발하게 유포되고 있다”며 “자료 공유 사이트에서 내려받은 실행 파일은 실행하는 데 있어 주의하고 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”고 당부했다.
[김영명 기자(boan@boannews.com)]
WebHook API 이용 시 특정 디스코드 서버에 데이터와 알림 전달 가능
[보안뉴스 김영명 기자] LG유플러스가 서비스하는 웹하드(Webhard)는 국내 사용자를 대상으로 공격하는 해커들이 악성코드 유포 플랫폼으로 종종 악용되고 있다. 일반적으로 공격자들은 성인 게임이나 사용 게임의 크랙 버전과 같은 불법 프로그램과 함께 악성코드를 유포한다.
웹하드를 유포 경로로 사용하는 공격자들은 주로 △국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 △웹하드를 통해 유포 중인 UDP Rat 악성코드 △웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드(GoLang) 등과 같은 RAT(원격 접근 도구) 유형의 악성코드를 설치한다.
▲해킹 포럼에서 공유된 HH IRC Bot[이미지=ASEC분석팀]
이렇듯 공격자들은 주기적으로 다양한 유형의 악성코드를 사용하고 있다. 이러한 가운데 안랩 ASEC 분석팀에서는 최근 ‘HH IRC Bot’이라고 하는 DDoS 봇 악성코드가 웹하드를 통해 유포되고 있는 것을 확인했다. 악성코드에서 사용되는 문자열 및 기능들을 통해 찾아봤을 때 과거 2012년경 해킹 포럼에서 공유된 악성코드인 것으로 추정된다. ‘HH’는 HackHound를 의미하며 Hackhound 포럼의 공식 IRC Bot으로 소개되고 있다.
1988년 개발된 실시간 인터넷 채팅 프로토콜인 IRC(Internet Relay Chat)는 사용자들이 특정 IRC 서버의 특정 채널에 접속해 같은 채널에 접속한 다른 사용자들과 실시간으로 채팅을 할 수 있다. IRC Bot은 이러한 IRC를 악용해 C&C 서버와의 통신에 사용하는 봇 악성코드다. 감염 시스템에 설치된 IRC 봇은 IRC 프로토콜에 따라 공격자가 지정한 IRC 서버의 채널에 접속하며, 그 이후 탈취한 정보를 해당 채널에 전달하거나 공격자가 특정 문자열을 입력할 경우 이를 명령으로 전달받아 이에 상응하는 악성 행위를 수행할 수 있다.
IRC 봇 악성코드는 추가적인 명령제어(C&C) 서버 및 프로토콜을 개발할 필요 없이 이미 존재하는 IRC 프로토콜을 이용하고 기존 IRC 서버를 활용할 수 있다는 점에서 과거부터 꾸준히 사용됐다. 현재 웹하드에서 공격자가 업로드한 파일은 확인되지 않지만, △\시간정지 참교육 (2)\d4work.dll △\얀데레_여동생의_사랑을_듬뿍_받는_아이_만들기_생활_04_10 (2)\d3dcompiler_46.dll △\샌드위치는 안돼 (2)\d3dcompiler_46.dll △\실비 키우기\save.dll 등의 경로명을 통해 과거 사례처럼 성인 게임을 위장해 유포된 것으로 추정된다.
이렇게 웹하드에 업로드된 게임 압축 파일에 포함된 파일들은 모두 njRAT 악성코드이며, 특히 ‘d4work.dll’이나 ‘d3dcompiler_46.dll’와 같은 유포 파일명은 과거부터 njRAT 유포에 자주 사용되고 있는 이름들이다.
▲njRAT 설정 데이터[이미지=ASEC분석팀]
웹하드를 주요 유포 경로로 사용했다는 점이나 유포에 사용된 파일명이 과거 공격들에서 사용된 것과 동일하다는 점, 과거 Golang DDoS IRC Bot 악성코드를 사용한 사례처럼 IRC 악성코드를 사용했다는 점, 공격에 njRAT, HackHound IRC Bot 외에도 UDP Rat이 사용됐다는 점 등으로 봤을 때 기존과 동일한 공격자의 소행으로 추정되고 있다. 유포되는 njRAT들은 여러 방식으로 패킹과 함께 난독화돼 있으며, 구분자로 “|’|’|”를 사용하는 버전을 이용했다.
njRAT은 감염 시스템에 상주하면서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 공격자는 njRAT을 이용해 추가 악성코드를 생성했으며 대표적으로 UDP Rat,이 설치된 다양한 웹 브라우저에 저장된 계정 정보들을 수집해 보여주는 WebBrowserPassView와 크롬 웹 브라우저 계정 정보 탈취형 악성코드가 있다. UDP Rat은 UDP Flooding 공격을 지원하는 DDoS 봇이다.
▲Simple-UDP-Rat[이미지=ASEC분석팀]
공격에 사용된 UDP Rat 악성코드들은 PDB 정보에 따라 △D:\wkfy\Machos Sharing2\Machos Sharing2[자료] 특수\희귀소스[USER] UDP botnet src\layer4botnet ourse\Client\x64\Debug\Client.pdb △C:\Users\jk\Desktop[USER] UDP botnet src\layer4botnet sourse\Client\x64\Debug\Client.pdb 등 두 종류로 나뉜다.
WebBrowserPassView는 최신 버전 대신 ‘/stext’ 인자를 지원하는 과거 버전이 사용됐다. 추출한 계정 정보를 보여줄 때 GUI 버전만 지원하는 최신 버전과 달리 ‘/stext’ 인자를 지원하는 과거 버전의 WebBrowserPassView는 사용자가 인지하지 못하게 커맨드 라인으로 실행돼 수집한 계정 정보를 파일 형태로 생성할 수 있다. 이렇게 생성된 계정 정보가 담긴 파일은 공격자가 RAT 악성코드들을 활용해 탈취가 가능해진다. 이에 따라 과거 버전의 WebBrowserPassView는 HawkEye를 포함한 다양한 악성코드들에 의해 사용되고 있다.
▲stext 인자를 지원하는 과거 버전의 WebBrowserPassView[이미지=ASEC분석팀]
공격자는 WebBrowserPassView를 사용하는 것 이외에도 추가적인 계정 탈취형 악성코드도 유포했다. 해당 악성코드는 크롬 웹 브라우저만을 대상으로 계정 정보를 수집하며, 이후 디스코드를 이용해 수집한 정보를 탈취한다.
현재 크롬 웹 브라우저가 실행 중일 경우 강제로 종료하고 설정 파일에 저장된 계정 정보를 구해와 복호화한다. 그리고 디스코드 WebHook을 이용해 해당 정보를 탈취한다. WebHook API를 이용하면 특정한 디스코드 서버에 데이터와 함께 알림을 전달할 수 있다. 즉, 악성코드는 WebHook URL을 통해 탈취한 정보가 포함된 압축 파일을 첨부해 POST를 요청하며, 공격자는 디스코드 서버에서 알림과 함께 탈취한 정보를 전달받을 수 있다.
▲크롬 브라우저 계정정보 탈취형 악성코드(좌)와 디스코드 WebHook을 이용해 정보를 탈취하는 모습[이미지=ASEC분석팀]
njRAT이 생성하는 악성코드로는 마지막으로 HackHound IRC Bot이 있다. HackHound IRC Bot은 IRC 프로토콜을 C&C 서버로 이용해 공격자로부터 전달받은 명령을 수행할 수 있으며, 지원하는 기능으로는 추가 악성코드 다운로드나 업데이트와 같은 기본적인 기능 외에 대부분이 DDoS 공격들이다. HackHound IRC Bot은 △파일 다운로드 △업데이트 △DDoS 공격(UDP Flood, HTTP Get Flood, HTTP POST Flood, ConDis Flood, HTTP Torhammer Flood, HTTP Hulk Flood) 등의 기능을 지원하고 있다.
HH IRC Bot이 처음 실행되면 리소스에 저장돼 있는 설정 데이터를 읽어와 초기화를 진행한다. 첫 번째 항목은 C&C 서버인 IRC 서버의 주소이며 다음 항목은 C&C 서버의 포트 번호, 채널 이름이다. 그리고 설정에 포함된 ‘test’ 문자열은 재부팅 이후에 실행될 수 있도록 설정하는 Run 키의 이름, ‘test.exe’ 문자열은 최초 실행 시 자신을 %APPDATA% 경로에 복사할 때 변경할 이름을 의미한다.
▲HH IRC Bot 초기화 루틴[이미지=ASEC분석팀]
현재는 접속이 불가능하지만, C&C 서버와의 접속 이후에는 ‘IRC 명령이 구현된 루틴’과 같이 다운로드, 업데이트, DDoS 공격 등 공격자로부터 전달받은 명령을 수행할 수 있다. 구현된 DDoS 공격 루틴들도 해킹 포럼에서 소개한 내용과 동일하다. 참고로 Tor′s Hammer, Hulk 등을 포함해 사용되는 대부분의 DDoS 공격들 대부분은 이름이 알려진 것들이며, ConDis 공격은 Connection/Disconnection을 의미하는 것으로 추정된다. 즉, 공격 대상에 연결과 연결 끊기를 반복적으로 수행하는 DDoS 공격이다.
▲IRC 명령이 구현된 루틴(좌)과 DDoS 공격이 구현된 루틴(우)[이미지=ASEC분석팀]
안랩 ASEC 분석팀은 “악성코드는 웹하드 등 자료 공유 사이트를 통해 활발하게 유포되고 있다”며 “자료 공유 사이트에서 내려받은 실행 파일은 실행하는 데 있어 주의하고 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_TH.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
