Embed Size (px)
DESCRIPTION
온라인 게임 핵 악성코드 분석 ws2help.dll 정상 시스템 파일 변조
Citation preview
온라인 게임 핵 악성코드 분석
10703 김남준10715 박상규
악성코드 정보 악성코드명 : Win-Trojan/Patcher.79357 악성코드 종류 : 트로이목마 (Trojan Horse) 악성코드 감염경로 : 불특정 악성코드 형태 : 동적 연결 라이브러리 (.dll) 악성코드 타깃 운영체제 : Windows OS 악성코드 타깃 취약점 : (MS10-018),(MS11-050),(MS12-004)
트로이목마 (Trojan Horse) : 다른 프로그램이나 문서로 위장하거나 숨어서 들어가는 악성 프로그램동적 연결 라이브러리 (Dynamic Link Library) : 소프트웨어의 루틴을 몇 개의 파일로 나누어 필요한 것만을 실행 메모리에 실어서 사용하기 위한 파일
악성코드 감염 경로
악성코드 자동 다운로드
악성코드 감염 경로 온라인 게임 핵 숨김 파일 인터넷 위치에서 다운받은 첨부파일 스테가노그래피를 이용하여 파일을 숨긴 파일
스테가노그래피 (Steganography) : 특정 파일 ( 이미지 , 음악 , 프로그램 ) 을 다른 파일로 숨기는 기술 . 헥싱 프로그램을 이용하지 않으면 숨김 파일의 존재 조차 알 수 없다 .
악성코드 감염 후 행동
윈도우 시스템 파일 변조 시스템 파일 (ws2help.dll) -> ws3help.dll 으로 백업 백업으로 인해 생긴 공백을 악성코드로 대체
악성코드 (Malicious Code) : 악의적인 목적으로 제작된 프로그램
악성코드 감염 후 행동
정상파일
악성파일
악성코드 감염 후 행동
블루스크린 현상 (BSOD) 발생 정상적인 부팅이 불가하여 작동 불능
블루스크린 (BSOD) : 컴퓨터에 특정 이상이 발생할 경우 컴퓨터가 피해가 입기 전에 운영체제가 자동으로 스크린을 통해 이상을 알리고 모든 프로세스를 종료하는 운영체제가 제공하는 기능이다 . Windows Vista Beta 버전이 빨간색인 것을 제외하고는 모두 파란색이다 .
악성코드 감염 후 행동
각종 백신 프로그램 무력화 무력화 백신 프로그램 : 알약 제품 , 네이버 백신 제품 , V3-
Light, V3 사이트가드
악성코드 감염 후 행동
온라인 게임 접속 프로세스 감시 게임 키로그 보안 프로그램 무력화
키로거 (Keylogger) : 키보드의 입력을 모두 저장하고 전송하는 프로그램 .
악성코드 감염 후 행동
감시 프로세스 : PC OTP.exe, lin.bin, FF2Client.exe, Maplestory.exe, dnf.exe, iexplore.exe(IE)
악성코드 감염 후 행동 중 계정정보 탈취 과정
계정정보 관련 함수
DLL Injec-tion
메모리에서 ID/Pass-word 검색
ID/PW 전송
계정정보 수집서버
DLL Injection : 자신이 제작한 DLL (Dynamic Link Library) 을 다른 프로세스에 강제로 주입하는 행위 .
악성코드 감염 후 행동
계정 탈취 대상 사이트 1. 피망 (pmang.com) 포커 2. 한게임 (hangame.com) 3. 넷마블 (netmarble.net) 4. 넥슨 (nexon.com) 5. 메이플스토리 (maplesto-
ry.nexon.com) 6. 던전앤파이터 (df.nexon.-
com) 7. 리니지 (lin.bin) 8. 피파온라인 2 (FF2Clien-
t.exe)
1. 해피머니 문화상품권 (www.happymoney.co.kr)
2. 컬쳐랜드 (www.cultureland.co.kr)
3. 북앤라이프 (www.booknlife.com)
4. 아이템매니아 (www.itemmaniakorea.net)
악성코드 감염 후 피해 1. 온라인 게임 사이트의 사이버머니가 탈취된다 . 2. 동일한 아이디와 비밀번호를 사용하는 사람들의 특성상 다른
사이트의 계정을 연계하여 다른 게임 사이트의 사이버머니도 탈취한다 .
3. 백신이 무력화되어 백신 자체를 사용이 불가하다 . 4. 프로세스 감시로 인해 과도한 컴퓨터 자원을 사용한다 . 5. 인터넷 연결이 정상적으로 되지 않는다 . 6. 블루스크린이 발생하여 부팅이 정상적으로 되지 않는다 .(
일부 ) 7. WFP(Windows File Protection) 이 해제되어서 운영체제
시스템이 취약해질 수 있다 .WFP(Windows File Protection) : 윈도우 파일 보호 기능으로 외부의 변경으로 인해 시스템이 파괴되는 것을 방지하기 위한 기능
악성코드 치료법 1. ws2help.dll 의 백업파일인 ws3help.dll 을 ws2help.dll_
으로 이름을 변경한다 . 2. 악성파일인 ws2help.dll 을 강제삭제프로그램을 이용하여
삭제한다 .(IceSword) 3. ws2help.dll_ 의 이름을 ws2help.dll 로 이름을 변경한다 . 4. OnlineGameHack 전용 백신 프로그램을 실행시킨다 .
참고 안랩 ( 안철수연구소 ) ASEC 블로그 (asec.ahnlab.com/780) 보안뉴스 2012.07.04 자 “ 2012 년 상반기 10 대 보안 뉴스” 악성코드 변종제공 : 오타해커 ( 김동완 )
