자격증과 세미나, 프로그램 이야기를 주저없이 써봅니다.

Since 2008. 10.

해킹, 보안

QQGamePass 악성코드 분석 보고서

럭키맨 운수 2014. 4. 10. 17:18

 

4월 2일 NSHC(대표 허영일) Red Alert팀은 Tencent Games에서 퍼블리싱 중인 게임의 사용자 정보를 탈취하는 악성코드에 대해 상세 분석 보고서를 발표했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

Tencent Games에서 퍼블리싱 중인 게임의 사용자 정보를 탈취하는 악성코드가 국내 서버를 사용하여 배포되고 있습니다.

상세 리포트를 발표한 Red Alert팀은 “‘League of Legend’, ‘Crossfire’, ‘DJ2’등의 게임이 공격대상이며, 악성코드는 Dll 인젝션과 후킹을 통해 공격이 이루어진다”며 “또한 WFP를 무력화시켜 윈도우 시스템 Dll을 변조하는 바이러스 형태로 동작해 시스템을 감염시킨다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 전했습니다.

 

보고서에 따르면, 악성코드에 감염되면 숨김 속성을 가진 파일들이 생성됩니다. 이후 악성코드는 감염 시스템의 맥 어드레스, OS버전 등의 정보를 중국에 위치한 서버로 전송합니다. 시스템 Dll의 변조를 위해 WFP(윈도우 파일 프로텍션) 무력화를 시도합니다. 변조된 시스템 Dll은 시스템에 상주하게 되며 시스템 재 시작 이후에는 관련 Dll은 시스템에 상주하게 되며 시스템 지 시작 이후에는 관련 Dll을 사용하는 모든 프로세스에서 동작하게 됩니다. 변조된 시스템 Dll은 실행 프로세스 이름과 로딩 모듈 이름을 비교해 조건이 맞을 경우 후킹 모듈을 로딩합니다.

이후 게임 런처에 의해 게임이 실행된는 프로세스 이름을 구분해 공격 대상 프로세스를 구분하고 공격 대상 프로세스가 선정되면 후킹 함수를 설치해 사용자 정보 탈취를 시도합니다.

 

Red Alert팀 관계자는 “악성코드는 Tencent Games에서 퍼블리싱 중인 명 종의 게임에 대해 타깃 공격이 이루어지고 있다. 공격 대상의 게임들은 국내에서도 높은 점유율을 가지고 있기 때문에 국내를 대상으로 변종 악성코드가 제작될 가능성이 있다”며 “시스템 폴더에 대한 감시는 대부분의 백신에 포함된 기능이므로 주기적인 시스템 정밀 검사와 실시간 감시를 활성화 시켜야 한다”고 주의를 당부했습니다.

 

출처: Red Alert팀 페이스북(https://www.facebook.com/nshc.redalert)

20140402_QQGamePass_Ver_1.0_External.pdf
1.62MB