악성코드 포함한 불법 음란물 유포, 다운로드 자제!

악성코드 포함한 불법 음란물 유포, 다운로드 자제! AhnLab ASEC 분석팀 l 2020-12-23     ASEC 분석팀은 최근 디스코드 메신저를 통해 RAT(Remote Administration Tool) 악성코드가 활발하게 유포 중인 것을 확인했다. 현재 해당 악성코드들을 다운로드하는 다운로더 악성코드가 “야동 링크.exe”라는 이름으로 유포 중이며, 이 악성코드가 실행될 경우 외부에서 RAT 악성코드들을 다운로드하고 설치할 수 있어 각별한 주의가 당부된다.     디스코드(Discord)는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트 메신저 중 하나이다. 음성 채팅과 같은 기능을 지원하기 때문에 주로 게임에 많이 사용되며, 친목 도모 등 다양한 목적으로 많은 사용자들이 이용하고 있다.   문제는 비공개적인 인스턴트 메신저의 특성 상 불법적인 목적으로, 즉 다음과 같이 불법 음란물들을 공유하는데 사용될 수 있다는 것이다. ASEC 분석팀이 확인한 “야동 링크.exe”라는 이름의 악성코드를 유포하는 디스코드 채팅방은 아래와 같다.     [그림 1] 악성코드 및 불법 성인물 유포에 사용되는 디스코드 채팅방   불법 영상 및 악성코드 유포자는 다음과 같은 글을 통해 사용자로 하여금 “야동 링크.exe”라는 툴을 다운로드 받고 실행하도록 유도한다. 또한 백신에 의해 진단되는 것을 회피하기 위해 백신 제거 또는 실시간 검사를 해제하도록 유도한다.     [그림 2] 야동 링크.exe 파일 다운로드를 유도하는 글   [그림 2]의 다운로드 링크를 클릭하면 “link.zip” 압축 파일이 다운로드 된다. 해당 파일의 압축을 풀면 “야동 링크.exe”라는 이름의 다운로더 악성코드가 있고, 이 프로그램을 실행하면 다음과 같은 GUI(Graphic User Interface)를 확인할 수 있다.      [그림 3] 야동 링크.exe 프로그램의 GUI   각각의 버튼을 클릭하면 다음과 같이 mega.nz 공유 사이트를 이용해 불법 성적 촬영물을 유포하고 있는 것을 확인할 수 있다.      [그림 4] 성인물 유포에 사용되는 mega.nz 사이트   각각의 버튼마다 mega.nz를 이용해 유포되는 수많은 불법 음란물들이 저장되어 있다. 그리고, 30여 개의 버튼이 있다는 것은 이와 같은 공유 사이트가 최소 30여 개 혹은 그 이상임을 의미한다. 현재, 몇몇 링크는 접속이 불가능하지만 대부분의 링크가 접속 가능하며 하나의 사이트에 무수히 많은 용량의 불법 동영상들이 포함되어 있다.      [그림 5] 수 많은 불법 성인물 공유 페이지   또한, 이 “야동 링크.exe” 프로그램이 단지 불법 영상 유포에만 사용되는 것이 아니라 악성코드 유포에도 사용된다는 점을 주목해야 한다. 즉 “야동 링크.exe”는 실행 시 위와 같은 GUI를 보여주기 이전에, 다음 주소에서 두 개의 악성코드들을 다운로드 받는다.      [그림 6] 추가 악성코드 다운로드   처음 접속하는 vs.txt에는 버전 정보가 들어가 있으며 이는 공격자가 버전 관리를 위해 최신 버전에 추가한 것이다. 해당 웹페이지에 접속하면, 다음과 같이 악성코드들이 업로드되어 있는 것을 확인할 수 있다.      [그림 7] 악성코드 유포에 사용되는 사이트   다음은 현재까지 확인된 “야동 링크.exe” 파일 관련 정보들이다.   a. 야동 링크.exe – md5 d7e9544a8c8df86f738e4898025bf207 – 추가 악성코드 다운로드 url http[:]//websh.p-e[.]kr/reg.exe   b. 야동 링크.exe – md5 40621e3e9b68469697262e5766e596d9 – 추가 악성코드 다운로드 url http[:]//websh.p-e[.]kr/Server.exe http[:]//websh.p-e[.]kr/reg.exe   c. 야동 링크.exe v0.0 – md5 521dd96ef9565777c5c388b00146c3eb – 추가 악성코드 다운로드 url http[:]//websh.p-e[.]kr/Update.exe http[:]//websh.p-e[.]kr/reg.exe   d. 야동 링크.exe v0.1 – md5 2116181929f8eaf1e28990e6ba56bf11 – 추가 악성코드 다운로드 url http[:]//websh.p-e[.]kr/Update.exe http[:]//websh.p-e[.]kr/reg.exe   추가 다운로드되는 악성코드는 njRAT과 AsyncRAT이다. 모두 RAT 악성코드로 C&C 서버로부터 공격자의 명령을 받아 악성 행위를 수행한다. ASEC이 지난 8월 블로그를 통해 업데이트한 바와 같이 njRAT 악성코드는 국내에서 주로 웹하드 및 토렌트를 통해 유포되고 있다.   ▶njRAT 악성코드 관련 ASEC 블로그 게시글 바로가기   AsyncRAT은 닷넷으로 개발된 오픈 소스 RAT 툴이며, njRAT나 다른 RAT 악성코드처럼 키로깅, 스크린샷 로깅, 계정 정보 추출 등의 악성 행위를 수행할 수 있다.      [그림 8] AsyncRAT 오픈 소스 페이지   이번에 발견된 악성코드들은 C:\Program Files (x86)\Windows File\ 경로에 다운로드된 후 reg.exe, Update.exe, Server.exe로 실행된다. 또한 AsyncRAT은 정상 프로세스인 InstallUtil.exe에 인젝션되기 때문에 프로세스 이름을 검사하는 것만으로는 충분하지 않다.   공격자는 진단을 회피하기 위해 주기적으로 다운로더 및 추가 다운로드 악성코드들을 변경하고 있다. 이를 위해 버전을 검사하는 루틴을 추가해 최신 버전만 실행되도록 했으며, 최근 확인되고 있는 AsyncRAT과 njRAT는 더미다(Themida)를 이용해 패킹하여 진단 및 분석을 우회하고 있다.   사용자들은 먼저 이러한 불법 동영상을 공유하는 행위가 불법이라는 것을 필히 숙지해야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 지양해야 한다. 또한 V3를 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 주의를 기울여야 한다.   현재 안랩 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지 및 차단하고 있다.   [파일 진단] Trojan/Win32.MSILKrypt.C4265600 (2020.12.18.04) Trojan/Win32.MSILKrypt.C4266357 (2020.12.19.09) Trojan/Win32.MSILKrypt.C4266361 (2020.12.19.09) Trojan/Win32.AsyncRAT.C4265591 (2020.12.18.04) Trojan/Win32.AsyncRAT.C4265605 (2020.12.18.04) Trojan/Win32.AsyncRAT.C4265840 (2020.12.18.07) Trojan/Win32.Korat.R207428 (2017.08.25.03) Malware/Win32.RL_Generic.C4265239 (2020.12.18.01) Backdoor/Win32.LimeRAT.C4266728 (2020.12.20.08) Backdoor/Win32.LimeRat.R359305 (2020.12.21.05)   [행위 진단] Malware/MDP.Inject.M3034 Malware/MDP.Behavior.M3108   [IoC] – 다운로드 URL http[:]//websh.p-e[.]kr/Update.exe http[:]//websh.p-e[.]kr/Server.exe http[:]//websh.p-e[.]kr/reg.exe   – MD5 다운로더 악성코드 2116181929f8eaf1e28990e6ba56bf11 521dd96ef9565777c5c388b00146c3eb 40621e3e9b68469697262e5766e596d9 d7e9544a8c8df86f738e4898025bf207 AsyncRAT ec48a1a19969f1703022212e5e681bab bc282ef8aecb7b9fb8ebf2703d11e4ee 076ac88a3316f668b5de5d76a279f835 a61de9af8dae6d601067dec8ae5783fb 6116558014180951c10428c2491e97dc 77393e0212e2090a5ab04a290c79a913 njRAT 808e1ade2dea30a742f120a5a26d6a32 6bc71222c8004fe42572c948e90629cf 144de52e7ecc73be34d350401ef814ed 47f99fb35cb7bd2e54e35695d9f5db4e   – C&C 주소 AsyncRAT daue.kro[.]kr:1324 njRAT gore.p-e[.]kr:5555 gore.r-e[.]kr:5552   디스코드를 통해 유포되는 RAT 악성코드에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.   ▶ASEC 블로그 바로가기