AhnLab SEcurity intelligence Center(ASEC) 에서는 이전에 “MS 오피스 크랙을 위장하여 유포 중인 악성코드 (XMRig, OurcusRAT 등)” 포스팅을 통해 크랙 프로그램을 위장한 악성코드의 위험성을 소개한 바 있다. [1]

크랙 프로그램을 위장한 악성코드는 주로 웹 하드나 블로그, 토렌트를 통해 유포되어 다수의 시스템이 감염되는 경향이 있으며, 주기적인 업데이트를 통해 감염된 시스템이 공격자로부터 지속적으로 관리되는 특징이 있다.

해당 사례에서 공격자는 V3 설치 여부에 따라 악성코드를 다르게 설치하며, 작업 스케줄러 등록을 통해 악성코드를 업데이트하면서 지속성을 유지하는 것을 확인할 수 있다. 이러한 지속성 관리 기법은 작업 스케줄러를 치료하는 V3가 설치된 환경에서는 유효하지 않지만, 작업 스케줄러를 치료하지 않는 환경에서는 시스템 내에 존재하는 악성코드를 제거하더라도 추가 악성코드 감염을 가능하게 한다.

이에 따라, 공격자는 V3 설치 자체를 방해하려는 시도를 꾸준히 하고 있다. 아래의 예시는 크랙 프로그램을 위장한 악성코드가 최종적으로 XMRig이 설치하는 과정에서 “kill-targets” 옵션에 V3 Lite 설치 프로세스를 지정한 예시이다. 이와 같이 공격자는 지속성 유지를 위해 보안 제품을 직접 우회하는 방법이 아닌, 이미 V3 Lite가 설치되어 있지 않은 환경에 V3 Lite가 설치되는 것을 방해하는 방법을 선택한 것을 확인할 수 있다.

[그림 1] 파일명 변경을 통한 V3 Lite 설치
(원본 파일명 : V3Lite_Setup.exe, 테스트 수정 파일명 : V3Lite_Setup_Temp.exe)

하지만 XMRig의 “kill-targets” 옵션은 프로세스명 기반으로 동작하므로 V3 설치가 되어있지 않은 감염 시스템에서는 설치 파일명 변경을 통해서 V3 설치가 가능하다.(‘V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe‘ 파일명이 아니라면 모두 가능) [그림 1]은 코인마이너 악성코드가 감염되어 있는 상황에서 설치 파일 이름을 바꿔 V3를 설치하는 모습이며, 동일 감염 환경에서 원래 설치 파일명인 “V3Lite_Setup.exe”로 설치를 시도할 경우 프로세스가 바로 종료되어 사용자는 어떠한 UI나 설치 결과도 확인할 수 없다. 따라서 V3 Lite 설치 시도 시 별다른 반응이 없다면 해당 악성코드 감염을 의심해야 하며, 파일명 변경하여 V3 Lite 설치가 필요하다.

사용자는 V3 제품 설치를 통해 악성코드 삭제와 더불어 작업 스케줄러 치료로 지속적인 감염을 차단하는 것이 가장 중요하며, 제품의 최신 버전을 꾸준히 업데이트하여 악성코드 감염을 사전에 차단하는 것이 효과적이다. 크랙 프로그램을 위장한 악성코드는 백신 프로그램 제거를 유도하는 경우도 다수 존재하기에 자료 공유 사이트나 블로그와 같은 경로에서 다운로드 받은 프로그램 실행은 주의해야 한다.

[그림 2] 꾸준히 확인되는 크랙을 위장한 악성코드

현재 V3 제품에서는 크랙 프로그램을 위장한 악성코드 유포 과정을 아래와 같이 다양한 관점을 통해 진단하고 있으며, 확인 결과 최근까지도 한컴 설치 파일, KMS Auto 크랙을 위장하여 유포되는 것이 확인되어 사용자의 각별한 주의를 필요로 한다.

파일진단
Dropper/Win.Agent.R637637 (2024.03.26.01)
Downloader/Win.Agent.C5436284 (2023.06.03.00)
PUP/Win.NirCmd.C5649266 (2024.07.12.02)

행위진단
Execution/MDP.NirCMD.M4883
Execution/MDP.NirCMD.M4621

IoC
MD5
– ba269f032410c284b0b369b045a9fb9b
– 77a5bd4e03fc9a653b4e8c33996d19a0