연휴 동안 조심해야 할 보안 위협은?

연휴 동안 조심해야 할 보안 위협은? AhnLab ASEC 분석팀 ㅣ 2020-09-23     추석 연휴가 어느덧 코 앞으로 다가왔다. 그 동안의 명절은 가족, 친척들과 모여 시간을 보내는 것이 일반적이었지만, 이번 추석은 코로나19로 인해 이동이 감소하고 각자의 집에 머무는 사람들의 수가 늘어날 전망이다. 자연스럽게 긴 연휴동안 심심함을 달래기 위해 게임과 같은 오락거리를 찾는 사람들도 많아지게 된다.   다만, 웹하드, 토렌트 등 파일 공유 사이트에서 무분별하게 파일을 다운로드 받는 것은 악성코드 감염 위험에 노출될 우려가 있어 주의가 당부된다. 안랩 ASEC은 지난 8월 웹하드를 통해 유포되었던 백도어 기능의 RAT(Remote Administration Tool) 악성코드가 동일한 형태로 여전히 유행하고 있다고 밝혔다.     공격자들은 누구나 쉽게 파일을 업로드하고 다운로드 할 수 있는 파일 공유 사이트의 특성을 십분 활용하여 공격을 감행한다. 이번에 발견된 공격은 파일 공유 사이트에 정상 프로그램과 악성 프로그램을 동시에 업로드하며, 사용자가 파일을 다운로드해 악성 프로그램을 실행하면 악성코드에 감염된다. 악성코드를 포함한 자료들은 대부분 성인 게임, 온라인 게임 핵, 불법 정품 인증 프로그램 등 불법적인 프로그램들이다.   아래는 발견된 사례 중 하나로, 사용자로 하여금 성인게임으로 위장한 ZIP 압축파일 형태의 악성코드를 다운로드 받도록 유도한다. 압축파일에 포함된 ‘Reget.exe’ 실행파일이 바로 RAT 기능을 수행하는 악성코드다.     [그림 1] 압축파일에 포함된 백도어 기능 RAT 악성코드   최근 파일 공유 사이트에서 발견된 RAT 악성코드는 백신 진단을 피하기 위해 난독화 도구인 ‘Confuser’와 특정 패커를 사용한 것으로 보인다. 패커를 풀어낼 경우 확인되는 원본 코드는 잘 알려진 악성코드인 ‘NjRat’의 0.7버전 코드와 동일하다. NjRat 악성코드는 공격자의 명령을 받아 사용자의 개인 정보를 탈취하며, 디폴트 설정 시 키로그 정보를 특정 레지스트리에 [kl] 이름으로 저장해 공격자에게 유출하는 것이 특징이다.     [그림 2] 난독화된 RAT 악성코드   곧 연휴가 다가오고 파일 다운로드가 늘어날 것으로 예상되는 만큼, 파일 공유 사이트에서 유포되는 악성코드에 대한 각별한 주의가 요구된다. 위와 유사한 웹사이트에서 공유되는 파일은 다운로드 혹은 실행 전 점검이 필수적이며, 게임과 유틸리티 등의 프로그램은 공급사의 공식 홈페이지를 통해 구매하는 것을 권장한다.   현재 V3 제품에서는 관련​ 파일을 아래와 같이 진단하고 있다.   [V3 진단] Trojan/Win32.RL_Generic.C4190710 (2020.09.02.02) Backdoor/Win32.Bladabindi.R91438 (2013.12.06.01)   [관련 IOC 정보] MD5 : da38dcef6557021bb78d4ffc34129fd8 (Reget.exe) MD5 : f94c9d7f3c69b16bb05dd2a09cd170a5 (Unpack Reget.exe) C2 : ztzmszkz01.ddns[.]net:1599   파일 공유 사이트에서 유포되는 RAT 형태의 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶파일 공유 사이트 악성코드 ASEC 블로그 콘텐츠 바로가기 ▶영화 '반도' 동영상 파일로 위장하여 백도어 유포 중 (Torrent) ▶영화 '결백' 동영상 파일(*.AAC)로 위장하여 유포되는 백도어   아울러, 아래 삼평동연구소 유튜브 영상에서는 NjRat를 활용한 감염 PC 원격 조종 행위를 쉽고 직관적으로 보여준다.   ▶삼평동연구소 NjRat 영상 바로가기