내 메신저의 쪽지를 통해 전파되는 악성코드의 실체

메신저의 ‘쪽지보내기’ 기능을 통해 악성파일 다운로드 실행 유도

최근 각 메신저의 메시지전송과 파일전송 기능을 악용한 악성코드가 확산 되고 있으며 이는 대부분 국내 메신저와 온라인게임 환경에 맞추어진 국지성을 가졌다는 것이 특징이다. 이러한 메신저 악성코드의 초기단계에서는 사용자의 손에 의해 악성파일이 상대방에게 전달되거나 메신저의 아이디와 패스워드를 가로채서 제작자가 직접 악성파일을 보내었지만 근래에 와서는 메신저의 ‘쪽지보내기’ 기능을 통해 악성파일을 다운로드하도록 실행되는 것이 증가하고 있다.

인터넷의 발달로 인해 많은 인스턴트 메신저(Instant Messenger, 이하 메신저로 통칭)들이 등장했고 IT강국이라 불리는 대한민국은 메신저의 집합소라 불릴 만큼 다양한 메신저를 사용하고 있다. 현재 메신저의 주 기능으로 사용되는 메시지전송과 파일전송을 악용한 악성코드가 확산 중이며 국내 메신저와 온라인게임 환경에 맞추어진 국지성을 가진 악성코드이다. 지금도 수많은 변종을 일으키고 있어 메신저 사용자들의 각별한 주의가 필요하다.

메신저 악성코드의 초기단계에서는 사용자의 손에 의해 악성파일이 상대방에게 전달되거나 메신저의 아이디와 패스워드를 가로채어 제작자가 직접 악성파일을 보내었지만 근래에 와서는 메신저의 ‘쪽지보내기’ 기능을 통해 악성파일을 다운로드하고 실행되는 추세이다.

메신저를 이용한 악성코드 전파 방법

● 국내 메신저를 통한 전파

메신저의 ‘쪽지보내기’ 기능을 이용하여 친구목록 리스트에 악성파일의 URL과 약간의 문구가 담긴 내용의 쪽지를 보내게 된다. 타인으로의 쪽지가 아닌 신뢰할 수 있는 지인으로부터 전달되기 때문에 사용자는 큰 의심하지 않고 클릭하게 된다.

그림 1, 2와 같이 전파된 쪽지의 내용은 사용자의 궁금증을 유발시키는 문구로 되어있으며 URL의 중간부분을 ASCII Code로 변환하여 Full URL을 확인하지 못하게 한다. 클릭된 URL은 Redirection을 통해 악성파일 유포지로 이동되어 사용자에게 다운로드를 하도록 유도한다.

다운로드 된 파일이 실행되면 악성파일은 여러 유형의 그림으로 사용자의 시선을 끌며 자신을 몰래 실행한다. 예전에는 여러 사물들을 이용한 그림을 사용했지만 최근은 그림 5와 같이 여성의 그림들이 사용되고 있다.

메신저 사용자가 쪽지를 통해 악성코드에 감염되는 경로는 그림 6과 같이 요약된다.

● 이동식 디스크를 이용한 전파

윈도우에서 CD-ROM장치에 CD를 넣거나 이동식디스크를 USB포트에 연결할 시 자동실행기능이 동작한다. 사용자에게 편리함을 위해 만들어진 자동실행기능이 악용되고 있다. 대표적인 이동식 디스크인 USB(Universal Serial Bus)에 자동실행기능을 이용하기 위해 Autorun.inf와 PhysicalDrive2.com 파일을 생성시킨다. 악성파일은 CD-ROM을 제외한 모든 물리디스크(이동식디스크, 하드디스크)에 파일을 복사함으로써 악성코드 재발생의 가장 큰 원인이 된다.

자동실행 동작 후에는 MountPoints2 이하 레지스트리에 드라이브의 자동실행 정보가 담겨지며 ‘Auto’라는 문구가 마우스 우측메뉴에 포함되어 감염된 이동식디스크가 치료 되었더라도 현재 감염 되어있는 물리디스크 접속 시 재감염이 될 수 있다.

악성코드의 행동

● 특정 메신저 접속 시 아이디와 패스워드 전송

메신저 로그인을 위해 사용자가 입력한 아이디와 패스워드를 가로채기 위해서 메신저에 관련된 파일코드를 수정한다. 전송된 개인정보는 “메신저 피싱”으로 2차적인 위협에 사용 될 수 있다.

입력 된 아이디와 패스워드는 특정 URL로 name과 pass라는 Argument값을 가지고 GET방식을 통하여 전송된다. 그림 11에서 화면에 보이는 Admin과 1111은 예시로 입력 한 값이다.

● 윈도우 보안서비스 및 보안프로그램 서비스 중지

윈도우 보안관련 서비스를 중지시킴으로써 악성파일이 원활히 동작할 수 있도록 수정한다.

또한 특정 백신의 서비스를 중지시켜 자신의 파일을 보호할 수 있도록 한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc(윈도우 보안센터 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sharedAccess(윈도우 방화벽 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc(윈도우 방화벽 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend(Windefend 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice(시스템 복원 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicespkcmsvc(nProtect KeyCrypt Manager 서비스)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALYac_PZSrv(알약 서비스)

● 보안프로그램 삭제

다음 경로로 설치되는 국내 보안업체 프로그램들에 대하여 폴더를 제외하고 모든 파일을 삭제하려고 시도한다.

Program Files\AhnLab\ASP

Program Files\Virus Chaser

Program Files\KT

Program Files\HAURI

Program Files\ESTsoft\ALYac

Program Files\AhnLab

Program Files\Kaspersky Lab

Program Files\Geot

Program Files\Naver\NaverPCGreen

Program Files\Symantec AntiVirus

Program Files\Norton

Program Files\Symantec

Program Files\Common Files\Symantec Shared

Program Files\Alwil Software

Program Files\Eset

Program Files\NoAD2

Program Files\Digitalonnet

Program Files\PcdrAntiVirus

Program Files\PCClearPlus

Program Files\PC-Clean

Program Files\PC-CleanV

Program Files\INCAInternet

Program Files\PCFree

Program Files\SpyDoctorPlus

Program Files\TC-Hacking

Program Files\ViScanPro

Program Files\anticlean

Program Files\PatchUp_Plus

● 호스트 파일을 이용한 보안업체 홈페이지 접속 방해

%SYSTEM%\drivers\etc\hosts 파일을 수정하여 보안업체에 접속 하지 못하도록 한다.

(%SYSTEM%은 일반적으로 c:\windows

\system32를 뜻한다)

● 사용자의 정보를 가로채는 키로깅

개인정보를 가져가기 위한 키로거 활동을 하며 사용자가 입력 된 키값을 특정파일을 생성하여 저장한다. 확장자는 다르지만 모두 TXT(텍스트) 파일이다.

%APPDATA%\Microsoft\SystemCertificates\tmg.e1sex

%APPDATA%\Microsoft\SystemCertificates\v9.e1sex2y

%APPDATA%\Microsoft\SystemCertificates\ico.fg2sex

(%APPDATA%은 일반적으로 C:\Documents and Settings\user name\Application Data를 뜻한다)

사용자의 키값이 저장되어 있는 파일은 ASCII Code로 변환되어 악성코드 제작자에게 전달 되며 ASCII Code를 변환시켜 해당 내용을 확인 할 수 있다.

● 숨겨져 있는 자신의 프로세스를 보호하기 위한 안전모드 삭제 및 레지스트리 삭제

일반모드에서는 사용자가 숨겨진 자신의 프로세스를 확인 및 종료하기 어렵다. 따라서 악성파일이 동작하기 어려운 안전모드 관련 레지스트리를 삭제하여 손상된 시스템이 안전모드로 시작하는 것을 막는다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run (하위값만 삭제)

메신저 악성코드의 예방방법

국내 메신저 사용자의 수는 점점 증가할 것이며 메신저를 악용하여 악성코드를 전파하는 방식도 점차 발전되어 다양해 질 것으로 예상된다. 메신저로 전파되는 악성코드는 사용자의 온라인게임과 인터넷에 접속 시 사용되는 개인정보를 가로채는 것이 목적이므로 메신저를 사용하는 사용자에게 다음과 같은 사항을 권고한다.

● 보안프로그램의 업데이트를 최신 버전으로 유지

● 보안프로그램의 실시간 감시는 1차적인 방어막이 되므로 항상 활성화

● 친구목록의 계정으로 악성코드 URL이 포함되어 쪽지가 오는 경우에는 즉시 쪽지를 보내온 사용자에게 메신저 사용을 중지시키고 최신버전의 보안제품으로 검사 후 메신저의 비밀번호를 변경하도록 조치

<글 : 김종철 이스트소프트 알툴즈사업본부 DB분석팀(kjcc2@estsoft.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)