노트패드 패키지 설치 파일에 포함된 기본 플러그인 MIME Tools 악용

[보안뉴스 박은주 기자] ‘Notepad++(이하 노트패드)’ 기본 플러그인 ‘MIME Tools’를 악용해 악성코드를 유포하는 정황이 드러났다. 다양한 언어 지원과 강력한 플러그인 기능이 포함돼 많은 사람이 사용하는 무료 텍스트 편집기인 만큼 악성코드 감염 피해가 우려되는 상황이다.


▲Notepad++의 플러그인 MIME Tools[자료=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 악성 파일은 특정 버전 노트패드 패키지 설치 파일에 포함돼 있었다. 노트패드를 실행하면 자동으로 로드되는 점을 악용해 DLL Hijacking 기법을 사용한 것이다. 공격자는 MIME Tools에 암호화된 악성 셸 코드(Shell Code)와 악성코드를 복호화해 실행하는 코드를 추가했다. 또한 MIME Tools 기능을 그대로 구현했다.


▲위키로더 악성코드 흐름 도식도[자료=ASEC]

악성코드가 셸 코드로 복호화해 실행된 이후, BingMaps.dll→GetBingMapsFactory() 함수 내부 코드를 악성 ShellCode로 덮게 된다. 덮어진 셸 코드는 explorer.exe에 침입해 악성행위를 수행한다. 최종적으로 C&C 서버에서 추가 셸 코드를 내려받아 실행하는 방식이다.


▲C2의 외형과 내부 코드[자료=ASEC]

악성코드는 안티바이러스 제품을 우회하기 위해 시스템을 간접적으로 호출하는 Indirect Syscall 기법을 사용했다. 접속되는 C&C 서버는 ASEC 분석 시점에서 워드프레스(WordPress) 로그인 페이지로 확인됐다. 악성코드가 최초 유포됐을 때는 C&C 외형이 위키 사이트로 확인돼 ‘WikiLoader(위키로더)’라는 이름이 지어졌다.

특정 프로그램 플러그인을 통한 악성코드 유포가 빈번하게 발생하고 있다. 특히 크랙 버전을 받거나 출처를 할 수 없는 소프트웨어를 내려받을 때 더욱 위험하다. 이를 예방하기 위해서는 불법 프로그램이나 출처가 불분명한 소프트웨어 등을 설치하는 행위를 지양해야 한다. 또한, 소프트웨어 공식 배포 사이트를 생활화하는 것이 권장된다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>