‘미스리(Mi3)’는 주식 투자자 및 전문가가 정보교류를 목적으로 증권사에서 사용하는 그룹 메신저로  ‘MS사의 엠에스엔(MSN)’, ‘SK커뮤니케이션즈의 네이트온(NateON)’등과 함께 사용자가 증가하고 있는 메신저 프로그램이다. 이 악성코드에 감염되면, 다량의 악성코드가 함께 다운로드 된 후 증권사 프로그램 미 동작 문제가 발생하는 동시에 일부 응용프로그램의 사용이 불가능해진다.

지난 2월 19일 화요일 아침, 국내 증권사에서 사용하는 메신저 프로그램인 미스리(Mi3) 프로그램이 정상적인 동작이 되지 않거나 인터넷 연결이 어렵다는 증상이 여러 고객사로부터 동시다발적으로 접수됐다.

긴급하게 문제의 시스템을 분석한 결과, 문제의 시스템이 동일한 악성코드를 내포하고 있었고 이는 IE-Zero day(cve 2010-0249) 취약점을 이용한 것으로 밝혀졌다. IE-Zero day(cve 2010-0249) 취약점은 일명 ‘오로라’ 취약점으로 불리기도 한다.

이 악성코드의 전파 경로를 살펴보면 다음과 같다.

교묘한 악성코드에는 보다 안전한 방법으로 대응

감염된 웹사이트는 악성 아이프레임(iframe)이 잠복하고 있다가 접속한 사용자의 시스템에 악성코드를 다운로드 하기 시작한다.

이 때 다운로드 된 악성코드는 ‘d.exe(Trojan.Win32. KillAV.24554)’로 실행될 때, 상주하는 주요 프로세스를 오류 메시지와 함께 강제로 종료시키고, 또 다른 악성코드(하기 참조)를 다운받고 자신은 삭제된다.

- (시스템 폴더)\mswsock32.dll

- (시스템 폴더)\IMEDLLHOST09.IME

이 악성코드의 첫 번째 특징인 ‘mswsock32.dll(Trojan. Win32.KillAV.36864)’ 파일은 MS(MicroSoft Windows)의 인터넷 소켓 통신을 위한 정상 파일인 mswsock.dll 파일로 위장하고 인터넷 관련 레지스트리 항목인 LSP(Layered Service Provider) 영역을 변조해 일반적인 백신프로그램으로는 완벽한 치료가 어려웠다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries

해당 악성코드는 다음과 같이 또 다른 악성코드를 추가적으로 다운로드 받아 시스템에 설치한다.

- (윈도우 폴더)\(시스템 폴더명):npck(Spyware.Agent. ADS.25088)

- (윈도우 폴더)\(시스템 폴더명):npck.exe(Trojan. Win32.S.KeyLogger.13328)

- (인터넷 임시 폴더)\n.exe(Backdoor.Win32. Agent.80896.D)

긴급한 상황일수록 보다 안전한 방법이 우선시 돼야 한다.

단순히 mswsock32. dll 파일만을 삭제할 경우, 인터넷이 되지 않는 증상이 발생하기 때문에 레지스트리 영역을 함께 치료할 수 있는 로직을 추가했다.

또 메모리에 후킹된 악성코드를 강제적으로 내릴 때 발생하는 위험 상황을 최소화하기 위해 보다 안전한 이중 재부팅 방법을 선택했다. 이 방법으로 제작된 전용백신은 긴급히 고객사로 제공됐다. 결과는 성공적이었다.

키보드 입력에 따른 개인 정보 유출 위험

이 악성코드의 두 번째 특징은 NTFS 시스템에서 동작하는 ADS(Alternate Data Streams) 기능을 악용하여 그림 3과 같이 윈도우 폴더에 system32:npck / system32:npck.exe 이름으로 자신을 숨기며 이는 사용자가 키보드로 입력하는 내용, 이메일, 주민등록번호, 온라인 계정, 비밀번호 등 사용자의 시스템 내 모든 개인 정보 및 자료가 유출됐을 가능성이 높다.

함께 설치된 n.exe(Backdoor.Win32.Agnet.80896.D) 파일은 시스템 폴더에 악성코드를 드롭한다.

- (시스템 폴더)\랜덤한 7자리영문.dll (Backdoor.Win32. S.PcClient.68968)

감염된 악성코드는 네트웍 트래픽을 증가시키고 특정 웹사이트에 주기적으로 접속을 시도한다.

이는 감염된 사용자 시스템을 제어하거나 제 2의 악의적인 목적으로 사용하기 위함이다. 전용백신과 바이로봇 백신 프로그램의 업데이트를 통해 해당 악성코드는 진단겺》?했으나 제로데이 공격인 만큼 보안패치가 나오기 전에는 근본적으로 원인을 해결할 수 없었다. 취약점을 통한 변종이 지속적으로 발생할 우려가 있어 긴장을 늦출 수 없었다.

그러던 중, 설상가상으로 중국 특정 웹사이트에서 MS10-002 취약점을 이용한 스크립트 악성코드를 자동으로 생성하는 해킹 공격툴이 제작겧婉宕풔?것이 발견됐다. 이 툴은 해당 사이트 주소만 입력하면 취약점 여부를 확인하고 즉시 악성 스크립트를 삽입한다.

22일 새벽 MS 긴급 보안패치가 발표됨에 따라 하우리도 고객들에게 보안패치를 권고하며 이번 미스리(Mi3) 메신저 공격은 마무리됐다.

<MS 긴급 보안패치>

Microsoft Security Bulletin MS10-002 - Critical

http://www.microsoft.com/technet/security/bulletin/MS10-002.mspx

<글 : 김정수 센터장 하우리 보안대응센터(jskim@hauri.co.kr)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>