세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[보안칼럼] 웹하드 포인트핵의 함정과 좀비PC
  |  입력 : 2011-01-26 08:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비정상적인 프로그램 다운로드하지 말아야

국내 웹하드 업체에서 회원 유치 목적으로 추천인 아이디 제도를 운영하고 있으며 이를 통해 금전적 수익을 목적으로 한 일부 사용자들은 블로그 등 인터넷 게시판을 통해 웹하드 포인트핵이라는 자극적 게시물을 작성하여 추천인 아이디가 포함된 단축 URL 등과 같은 링크를 통해 웹하드 회원으로 가입을 유도하여 금전적 수익을 얻는 것으로 알려져 있다.

그런데 링크 방식이 아닌 인터넷 상에 공공연하게 공개된 파일로 제작된 포인트핵은 사실상 단순 추천인 아이디 가입을 유도하기 위해 사용자 눈을 회피할 목적으로 다양하게 제작되어 회원 가입을 유도하며 일부 파일의 경우 사용자가 어떤 웹하드에 가입하는지조차 쉽게 확인이 불가능하게 구성된 경우도 발견되고 있다.

최근 KBS 신년 다큐를 통해 DDoS의 위험성과 좀비PC 감염에 대한 방송이 이루어지면서 많은 인터넷 사용자들이 자신의 PC가 감염되지 않았을까라는 걱정을 하는데 최근 발견한 웹하드 포인트핵을 통해 좀비PC 감염을 유발하는 사례를 살펴보도록 하겠다.


     

     그림 1. 블로그 유포 모습

참고로 이번 사례에 사용된 포인트핵 첨부 파일은 배포 당시에 국내외 유명 보안 제품에서 트로이목마(Trojan), 백도어(Backdoor) 진단명으로 진단되는 악성 파일이지만 보안 제품의 실시간 감시 미사용 또는 불법적인 파일은 보안 제품에서 진단한다고 생각하는 잘못된 인식을 가진 사용자들은 포인트핵 사용을 목적으로 보안 제품의 진단을 무시할 수 있다.

사용자가 압축 파일 내부에 있는 포인트핵 관련 실행 파일을 해제하여 실행할 경우 설치와 동시에 자가 삭제(Self Delete)하는 일이 발생하며 일반 사용자는 사라진 실행 파일로 인하여 아무런 동작이 없는 파일로 오해를 할 수 있지만 실제로는 다음과 같은 동작이 이루어지고 있다.


      

      그림 2 프로세스 생성 및 통신연결

파일은 시스템 폴더 내에 랜덤(Random)한 6자리 영문으로 구성된 실행 파일(예, rsoksq.exe)을 생성하여 svchost.exe 프로세스의 하위 프로세스로 실행되며 추가적으로 서비스 항목에 등록되어 시스템 시작시마다 자동 실행되어 국내 특정 원격 아이피(IP)와 통신을 시도하고 있다.

서비스에 등록된 rsoksq.exe 파일은 people Command Service 항목(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aszjh)으로 등록되어 접속시마다 연결 IP가 수시로 변경되는 것을 확인할 수 있었다.


       

       그림 3 통신 세부 정보

해당 IP가 연결하는 DNS 정보를 확인해보면 국내에서 제공하는 웹기반 무료 DNS 네임서버로 특정 개인이 원하는 장소(가정집, PC방 등)와 시간대에 손쉽게 감염된 PC를 원격 제어를 통한 악의적 동작 및 개인정보 탈취가 가능하리라 판단된다.

특히 일부 유포자의 경우에는 보안 제품 진단을 우회할 목적으로 배포 파일을 암호화를 통해 국내외 보안 제품에서 진단되지 않도록 하여 배포하는 사례도 있는 것으로 알려져 있으므로 단순히 보안 제품에서 진단하지 않는다는 이유로 함부로 실행하는 일이 없도록 해야 할 것이다.

위와 같은 악성 파일로 사용자 PC가 감염되면 사용자 몰래 PC 사용을 실시간으로 확인하여 민감한 사생활이 노출될 수 있으므로 인터넷 상에서 (비)정상적인 프로그램을 블로그 등과 같은 비정상적인 경로로 다운로드하는 일이 없도록 하는 것이 보안의 중요한 수칙이다.

또한 특정 웹하드 업체에서는 이런 포인트핵과 관련된 문제에 대해 정보를 공개하면 오히려 명예훼손 신고를 통해 글을 차단하고 있으며 웹하드 업체에 실제적인 피해를 주는 포인트핵이 아닌 경우에는 회원 유치에 도움을 준다고 판단하는 현실로 인해 피해자들은 앞으로도 계속 생길 수 있다고 생각한다. 

[글 _ 보안컬럼니스트 울지않는 벌새(haslian@naver.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)