토렌트를 통한 보안위협 사례 분석 (가위바위보.zip)

토렌트를 통한 보안위협 사례 분석 (가위바위보.zip)

2015년 3월 2일 방송통신심의위원회에서는 보도자료 배포를 통해 '인터넷 음란물 근절 TF'를 공식 출범한다고 밝혔습니다. 방통심의위는 더욱 심각해지는 인터넷상의 음란물을 보다 신속하고 효율적으로 차단하기 위해 5개의 실무반으로 구성된 '음란물 근절 TF'를 2015년 3월 2일부터 8월 31일까지 6개월간 운영하기로 했습니다.

이번에 출범한 음란물 근절 TF는 대용량 음란물의 주된 유통경로가 되고 있는 웹 하드 · P2P, 토렌트, SNS, 실시간 개인방송, 카페 · 블로그 및 해외 음란사이트에 대한 중점 모니터링을 통해 음란물 심의의 효율성을 높일 계획이라고 합니다. 이런 가운데 국내 다수의 토렌트(Torrent) 사이트들에서 음란 게임으로 위장해 악성코드를 은밀하게 배포하는 정황이 포착되었습니다.

2015년 3월 4일 국내 특정 토렌트 사이트에 '가위바위보.zip.torrent' 파일이 게시되었습니다. 등록된 게시 글은 '19禁 가위바위보 옷벗기기 토렌트'라는 제목을 담고 있으며, 실제 일본에서 만들어진 음란한 플래시 기반의 게임파일이 포함되어 있습니다.

노출수위가 높은 유해성 게임이 미성년자를 포함해 불특정 다수에게 무차별 배포된 점과 함께 더욱 큰 문제점은 이 게임파일 내부에 원격제어를 통해 미상의 악의적인 해커가 감염된 이용자 컴퓨터에 몰래 접속할 수 있는 악성코드까지 몰래 숨겨져 있었다는 사실입니다.

공격자는 주도 면밀하게 악성코드를 제작했습니다. 처음 토렌트에 등록할 때부터 관심유발을 높이기 위해 음란한 자료에 악성코드를 추가시켰습니다.

토렌트 음란게임과 악성코드 유포절차

악성코드는 마치 정상적인 게임 파일로 공유되고 있으며, 여러 토렌트 사이트를 통해 전파가 지속되고 있는 상황입니다. 토렌트 사이트들의 특성상 이미 여러 곳에서 동시다발적으로 배포가 되고 있습니다.

토렌트 보안위협 사례 분석

1. 유포과정

공격자는 이용자들이 많은 특정 토렌트 사이트에 성인용을 뜻하는 '19금'이라는 특정 키워드와 노출수위가 높은 음란성 이미지를 포함시켜, 정상적인 게임파일처럼 위장한 악의적인 토렌트 파일을 등록했습니다. 이후 이 토렌트 파일은 여러 사이트를 통해 지속적으로 공유되기 시작해 현재 다수의 토렌트 사이트에서 배포되고 있습니다.

국내에서 운영중인 일부 토렌트 사이트를 살펴보면 도메인이 달라도 하위 주소들이 비슷하다는 점을 알 수 있습니다. 현재 이 토렌트 사이트들은 공통적으로 동일한 악성코드를 배포하는데 악용되고 있습니다.

여러 토렌트 사이트에 공통 등록된 주소 / 부분 모자이크 처리

아래는 2015년 3월 4일 오후 1시 33분 국내 특정 토렌트 사이트에 올려진 실제 화면입니다.

토렌트에 등록된 게시 글 화면 / 부분 모자이크 처리

토렌트 이용자가 '가위바위보.zip.torrent' 이름의 파일을 받아 파일을 실행할 경우 다음과 같이 '가위바위보.zip' 파일이 받아지게 됩니다.

토렌트를 통해서 배포 중인 화면

'가위바위보.zip' 압축파일 내부에는 '가위바위보옷벗기기.exe' 실행파일과 '새 텍스트 문서.txt' 문서파일이 포함되어 있습니다.

압축된 날짜를 확인해 보면 2015년 3월 4일 오후 2시 35분경이라는 점을 알 수 있습니다. 공격자는 토렌트 파일을 먼저 배포하고, 이후에 압축된 파일을 제작했던 것으로 추정할 수 있습니다.

가위바위보.zip 압축파일 내부 화면

압축 내부에 있는 파일 화면

'가위바위보옷벗기기.exe' 파일이 실행되면 먼저 시스템 드라이브 루트경로(C:\)에 'qwe.exe', 'game.exe' 파일을 생성하고 실행합니다. 여기서 'qwe.exe' 파일이 악성코드이며, 'game.exe' 파일이 플래시 기반의 음란 게임파일입니다.

악성코드는 이후 시스템 폴더 경로에 랜덤한 파일명으로 복사본을 만들어 작동하고, 루트 드라이브에 존재하던 원본은 삭제합니다.

루트드라이브 경로에 생성된 게임파일

시스템 폴더 경로에 생성된 악성코드

2. 분석정보

'game.exe' 플래시 게임파일이 실행되면 다음과 같이 일본에서 제작된 음란 게임이 시작됩니다.

플래시 게임이 실행된 화면 중 일부

악성코드는 분석을 방해하기 위해서 'Themida' 프로그램으로 실행 압축되어 있습니다. 또한 코드 내부적으로 사용된 언어가 중국어(zh-cn)로 설정된 것을 알 수 있습니다.

악성코드 내부에서 포함된 언어설정

악성코드에 감염된 경우 호스트 23.102.65.159 주소로 접속하여 공격자의 추가 명령을 대기합니다.

미국의 C&C로 접속한 화면

악성코드 분석 결과

다수의 토렌트 사이트를 통해 원격제어와 개인정보 유출 피해를 입을 수 있는 악성코드가 은밀하게 유포되고 있습니다. 특히, 음란한 내용으로 이용자들을 현혹시키고 있어 보다 각별한 주의가 필요합니다.

원격제어 기능이 탑재된 악성코드의 경우 이용자 컴퓨터에 미상의 해커가 몰래 접속해 내부 자료를 훔쳐보거나 탈취할 수 있어 매우 위험할 수 있습니다.

해당 악성코드는 현재 알약에서 'Trojan.GenericKD.2198432'로 탐지하고 있습니다.