[ASEC리포트 7월호]스파이웨어 유포, 국산은 주춤 해외는 증가

2008.08.12

 

2008년 들어 국내 샘플 접수는 점차 감소하고 국외 샘플 접수량이 증가하는 추세를 보이고 있다.
특히 최근에 접수된 해외 샘플 중 허위 안티-스파이웨어인 안티바이러스2008(Win-Adware/Rogue.AntiVirusXP20008)의 경우 여러 감염경로를 가지고 있다. 그 중 젤라틴 웜(Win32/Zhelatin.worm)을 이용하여 악의적인 웹 페이지 경로를 통하여 배포하고 있어 그 피해가 점차 증가되고 있는 상황이다.

최근 스파이웨어 유포 방식과 피해

악성코드가 유포되는 다양한 경로를 아래 [그림 1]과 같이 종합적으로 도식화하였다

 

[그림 1] 악성코드 유포 경로

1. 악의적인 웹 페이지 게시
악성코드 배포자는 정상적인 웹사이트를 해킹하여 정상적인 웹 페이지를 조작하거나, 악의적인 웹 페이지를 숨겨 놓거나, 특정 사이트 게시판에 악의적인 글을 작성한다. 이는 마치 신뢰된 사이트에서 제공하는 링크인 것처럼 보이게 하며, 일반 사용자들이 무의식적으로 클릭을 하게 되면 공격자가 의도한 웹 페이지로 접속하게 된다

스파이웨어 배포를 위하여, 동영상을 보기 위한 코덱 설치 유도와 같은 방식 등 다양한 사회 공학적 기법이 많이 사용되고 있는데, 점차 사용자의 보안 인식이 높아지고 보안 패치가 적용되는 PC가 증가함으로써 스파이웨어 배포를 위한 새로운 방법으로 기존의 악성코드 유포 방식이 사용되고 있다.

2. 웜 배포
1번에서 스파이웨어 배포자가 작성한 웹 페이지 경로를 이메일 내용에 포함시켜서 이메일 웜을 통하여 일반 사용자가 해당 웜 이메일을 클릭하여 스파이웨어가 배포되도록 한다.

 

[그림 2] 악의적인 이메일 전송 화면

위 [그림 2]는 특정 메일이 APF(Ahnlab Personal Firewall) 2004에 의해 전송 실패된 로그 화면으로 메일 내용은 [그림 3]과 같다.

 

[그림 3] 유명 뉴스관련 메일로 위장한 악의적인 이메일

3. 사용자가 악의적인 웹 페이지에 접속
[그림 3]과 같이 유명 뉴스 사이트에서 보내온 것처럼 꾸며진 이메일을 받고 사용자는 아무런 의심 없이 메일내용을 확인하게 된다.
메일 내용 중에 관심 있는 글을 자세히 보기 위해 글 제목을 클릭하게 되면 사용자가 원하는 페이지는 보이지 않고 1번에서 작성한 악의적인 웹 페이지가 나타나게 된다.

4. 취약점을 이용한 악성코드 유포
이렇게 악의적인 웹 페이지까지 접근한 사용자가 의심하고 프로그램 설치를 하지 않을 경우를 대비하여 취약점을 이용한 스파이웨어 설치 기능이 포함되어 있다. 아래 [그림 4]와 같은 코드로 인해 윈도우 시스템이 패치되지 않은 사용자에 한해서 사용자의 클릭여부와는 상관없이 자동으로 스파이웨어가 다운로드 되고 실행된다.

 

[그림 4] 취약점을 이용한 악성코드 배포 스크립트

[그림 4]를 자세히 살펴보면 하나의 취약점을 이용하는 것이 아니라 다양한 취약점들을 각각의 함수로 작성하여 순차적으로 실행되도록 하였다. 더욱이 사용된 취약점들을 살펴보면 윈도우 취약점인 MS06-014 뿐만 아니라 국내 인기 프로그램인 "곰플레이어"의 취약점 을 이용한 코드도 존재하였다.

5. 사회공학 기법을 이용한 악성코드 유포
위에서도 간략히 언급한 바와 같이 최근에는 윈도우의 보안이 보다 강화되었고 보안에 대한 사용자 인식이 높아져 보안패치 및 안티-스파이웨어 제품을 설치하여 사용하는 사용자들이 증가되어 취약점 등을 이용한 웬만한 기술로는 사용자 PC에 접근하기가 어려워졌기 때문에 스파이웨어 배포자들은 사회 공학적 기법을 사용한다.

스파이웨어 배포를 위하여 주로 사용되는 사회 공학적 기법으로는 특정 동영상을 보기 위하여 추가적인 프로그램 설치를 유도하거나, 검색 포털 인기 검색어 TOP10에 해당하는 키워드로 악의적인 게시물을 작성하거나, 사용자 동의를 받기 위해 제공하는 약관을 읽기 어려운 형태로 제공하거나, 불공정 약관을 제공하는 등의 방법이 악용되고 있다.

6. 결제 유도
지금까지 살펴본 방법으로 악의적인 웹 페이지에 접속했을 때, 사용자 PC에는 여러 스파이웨어가 설치된다. 설치된 스파이웨어 중 스파이웨어 즐롭(Win-Spyware/Zlob)은 사용자 시스템 설정을 변경하여 사용자에게 공포심을 유발한다. 자세한 감염증상은 뒷부분에서 살펴보겠다.
스파이웨어 즐롭에 의해서 사용자가 시스템이 이상한 것을 느끼고 있을 때, 스파이웨어 즐롭에 의하여 설치된 허위 안티-스파이웨어인 "안티바이러스XP2008"이 동작하여 시스템 검사 결과 많은 스파이웨어가 발견되었다고 [그림 5]와 같이 메시지를 출력한다.

 

[그림 5] "안티바이러스XP2008"의 허위 시스템 검사 결과 출력

결국 불안감을 느낀 사용자는 "안티바이러스XP2008" 허위 안티-스파이웨어로 치료를 하려고 할 것이고, 치료를 위해서는 아래 [그림 6]과 같은 결재 페이지가 나타난다.

 

[그림 6] "안티바이러스XP2008"으로 치료하기 위해 결제를 요구하는 화면

7. 또 다른 악성코드 유포
위에서 살펴본 봐와 같이 결국 스파이웨어는 사용자로부터 금전적 이득을 취하기 위해 다양한 방법을 사용하고 있는 것을 살펴 보았다. 그러나 스파이웨어 배포자는 여기서 더 나아가 허위 안티-스파이웨어인 "안티바이러스XP2008"을 불법으로 사용하기 위해 크랙을 찾는 사용자들을 위해 크랙을 가장한 스파이웨어도 미리 배포해 놓은 상태이다.

 

[그림 7] "안티바이러스XP2008" 크랙을 다운로드 받는 웹 페이지

따라서 사용자는 "안티바이러스XP2008" 크랙 파일을 다운로드 받아 실행할 경우 또 다른 스파이웨어에 감염된다.

스파이웨어의 증상

사용자 PC에 설치된 스파이웨어가 사용자 시스템 설정을 변경하여 사용자의 불편함을 초래하거나 공포심을 유발하는 대표적인 증상들을 살펴보면 다음과 같다.

"안티바이러스XP2008"은 윈도우 시스템 복원 기능을 변경함으로써 일반 사용자가 시스템을 복원하지 못하도록 방해하는 기능이 포함되어 있다. 이러한 기능으로 기존에 저장된 시스템 복원 시점을 모두 잃을 수 있어 높은 위험도를 가지고 있다.

 

[그림 8] 윈도우 시스템 복원 데이터 조작 결과

"안티바이러스XP2008"은 바탕화면과 화면보호기를 변경한다. 사용자가 변경된 설정을 바꾸기 위해 디스플레이 등록 정보를 실행시켰을 때, 스파이웨어에 의해서 변경할 수 있는 인터페이스를 숨겨놓은 상태이다.

 

[그림 9] 디스플레이 설정 변경

드랍퍼 즐롭(Win-Dropper/Zlob.376068)은 사용자의 불안감을 유발시키기 위해 "내 컴퓨터"에 등록된 하드 드라이브를 숨기고, 시스템 날자 표기방법을 변경하여 파일 모니터링 도구에서 시간이 표기되는 부분에 "VIRUS_ALERT!" 라는 문구를 삽입하는 등 여러 시스템 설정을 변경한다.

 

[그림 10] "내 컴퓨터"에 등록된 하드 드라이브 숨김

 

[그림 11] 시스템 날짜가 변경된 화면

 

국외 스파이웨어가 증가하면서 국내에서는 좀처럼 접하기 힘들었던 일본 허위 안티-스파이웨어인 세이그요(Win-Adware/Rogue.VirusSeigyo)가 ALJ(AhnLab Japan)으로부터 접수되어 진단 추가되었다.

 

[그림 12] 일본판 허위 안티스파이웨어인 세이그요 메인 화면