PUP(Potentially Unwanted Program) 분석 - 1

PUP은 공개용 프로그램의 번들이나 블로그, 카페 등에서 S/W 설치 시 약관의 동의 없이 광고를 노출하거나 브라우저의 시작 페이지를 특정 사이트로 변경하는 역할의 악성코드이다. 교묘하게 사용자의 동의를 얻어 내고 설치되기 때문에 악성코드로 분류하는데 어려움이 있다. 따라서 불필요한 프로그램으로 별도로 분류된다. 이러한 PUP 악성코드의 주된 목적과 다르게 변조되어 PC에 저장된 공인인증서를 외부로 전송하는 악성코드가 발견되었다고 한다. 기존 PUP의 감염 방식과 변경된 신종 PUP 감염 방식은 다음과 같다.

 

 

기존 PUP 악성코드는 S/W 설치 시 광고나 시작 페이지 변경을 위한 별도의 프로세스를 몰래 생성하여 사용자 PC의 인터넷 브라우저나 레지스트리 변조를 통하여 광고를 노출했다. 그러나 변경된 PUP는 기존 생성하던 광고조작 프로세스와 공인인증서 탈취를 위한 프로세스 두 가지 전부 생성하게 된다. 인증서 탈취를 위한 프로세스는 우선 시작 프로그램과 Windows 방화벽에 자신이 실행될 수 있도록 등록하여 PC를 재시작할 때마다 자동으로 실행이 가능하게 만들며 네트워크 연결을 가능하게 만든다. 해당 작업 완료 후 이 프로세스는 공인증서를 검색(NPKI 폴더)하여 폴더 채 복사 후 인증서를 압축한다. 해당 압축파일은 유동적이고 불특정한 서버로 전송하게 된다. 악성코드는 공인인증서를 전송할 뿐만 아니라 금융권 유사 사이트를 띄워 공인인증서의 비밀번호를 입력하게 유도하여 공인인증서의 비밀번호까지 유출시킨다.

이는 PUP 업데이트 서버가 외부 공격을 받아 PUP 업데이트 파일이 악성코드로 변조되었고 사용자의 PC에 이미 설치된 PUP가 업데이트 서버로부터 업데이트 파일을 다운로드한 후 실행한다. 이때 다운로드한 파일은 악성코드로 변조되어 사용자의 PC는 악성코드에 감염된다. 위와 같은 방법은 오래 전부터 사용되어왔다. 지난해 한창 이슈가 되었던 금융권을 대상으로 한 메모리 해킹 악성코드는 변조된 PUP로 사용자의 PC를 감염시켜 금융 정보 유출과 금전적인 피해가 컸다. 이는 사용자들이 다양한 경로를 통해 프로그램을 다운로드하고 설치하는 과정에서 설치 약관 등을 꼼꼼하게 읽지 않기 때문이다. 이로 인해 다수의 PUP가 설치되고 설치된 PUP는 자신의 업데이트 서버로부터 업데이트를 다운로드하고 설치하는 과정에서 악성코드에 감염된다.

아래 사례 역시 위에서 언급한 내용과 동일하다. 상당수의 고객이 동일한 악성코드에 감염되었고 수집된 정보를 분석하는 과정에서 해당 PC에 동일한 PUP가 설치되어 실행 중임이 발견되었다.

 

q****ge.exe파일이 실행되면 아래의 그림과 같이 주기적으로 업데이트 서버와 통신하여 버전 정보를 획득한다. 이후 사용자의 PC에 설치된 PUP의 버전보다 상위 버전일 경우 다운로드하도록 되어 있다.

 

이 때 사용자의 PC에 다운로드된 버전의 PUP에 악성코드가 포함되었다. 악성코드가 포함된 PUP의 파일 구조는 PUP + 악성코드가 하나의 파일에 묶여 있다.

 

위의 사진은 “PUP”와 “악성코드”로 표시된 영역이다. 악성코드 영역은 실제 악성코드가 있는 영역으로 암호화되어 있다. 암호화된 영역은 아래의 그림과 같이 복호화 코드를 통해 실행 가능한 파일로 변환된다. 당시 유포했던 q****ge.exe파일을 실행하면 복호화를 거친 후 %TEMP%에 악성코드를 생성하고 실행한다.

 

 

아래의 사진과 같이 %TEMP%에 생성된 악성코드는 자신의 감염, 유포 경로 등을 추적할 수 없도록 인터넷 접속 기록, 레지스트리 흔적 등을 삭제한다.

 

 

또한 악성코드 실행 시 자신의 흔적을 지우는 기능 때문에 악성코드 파일의 다운로드 기록을 수집하기 어렵다.

 

 

아래의 사진은 %TEMP%에 생성된 악성코드가 실행되면서 생성한 또 다른 악성코드 내에 있는 문자열이다. 지난해 이슈가 되었던 메모리 해킹에서 특정 은행의 인터넷 뱅킹 접속 시 사용자의 금융 정보를 탈취하기 위해 사용한 자바스크립트 패턴과 유사하다. 지난 해에는 동일한 기능을 가진 악성코드의 목적은 사용자의 금융 정보 탈취였다. 그러나 은행권에서 보안을 강화하면서 사용자의 금융 정보 탈취가 어려워지자 유사한 기능을 이용하여 특정 온라인게임 사용자의 계정 정보 추출을 시도한 것으로 보인다.

 

 

아래의 사진과 같이 인터넷 익스플로러가 실행될 때마다 특정 사이트로 접속하여 변종 악성코드를 다운로드하도록 시도한다.

 

 

위와 같은 방식의 윈도우 OS PUP 말고도 맥 OS에서도 PUP가 존재하는데 이는 ExInstall, InstallCore 등으로도 불리는 Installmiez가 있는데 2015년 초 처음 발견되었다. 2015년 최소 4084개, 2016년 최소 59,125개, 2017년 2월까지 최소 17,473 개가 발견되어 2017년 2월 현재 8 만개 이상의 변형이 확인되었다.

 

 

초기에는 가짜 플래시 플레이어 설치 파일 등으로 가장했지만 최근에는 실제 플래시 플레이어, 동영상 플레이어, 자바 등을 다운로드 해 설치하는 DMG 파일로 배포된다. 그리고 추가로 사용자에게 겁을 줘 과금을 유도하는 스케어웨어(Scareware)를 추가 설치하도록 유도한다. 제작자는 이런 프로그램 설치를 통해 돈을 벌고 있는 것으로 보인다. 

해당 프로그램 설치만으로는 악성코드가 설치되지 않아 트로이목마로 분류하지 않고 잠재적으로 원하지 않는 프로그램 (PUP)로 분류 된다. V3 제품군에서 해당 파일을 진단하기 위해서는 PUP 진단 기능을 활성화해야 한다.

 

맥OS(macOS) 설치 파일인 DMG 파일로 배포되고 있다. 사용자가 DMG 파일을 연결하면 설치 파일 화면에 나타난다.

 

Installer.app을 더블클릭하면 변형에 따라 Flash Video Player, HD Video Player, Java 등 중에 하나를 설치하는 화면이 나타난다.

 

 

실제 동영상 플레이어 등이 설치된 후 웹 브라우저로 특정 사이트 (예 : http://ic-dc.present***conecpt.com 등)로 접속해 시스템에 문제가 있을 수 있으니 점검을 위해 추가 프로그램 다운로드를 권한다. 설치하려는 프로그램에 따라 화면이 조금 다르다.

설치되는 프로그램은 크게 어드벤스드 맥 클리너(Advanced Mac Cleaner), 맥키퍼(MacKeeper), 맥 메카닉(Mac Mechanic), 맥 퓨리파이어(Mac Purifier) 등이다. 이들 프로그램은 맥을 최적화 한다고 하지만 사소한 문제를 큰 문제처럼 과장해 사용자에게 겁을 주고 과금을 요구하는 프로그램으로 스케어웨어(Scareware)에 해당하는 PUP(Potential Unwanted Program)로 볼 수 있다. 특히 맥키퍼 제작사는 피해를 입은 사람들이 제기한 소송에 200만 달러의 합의금을 내기도 했다.

사용자가 문제를 해결하려고 앱 내 기능을 사용하면 과금을 요구한다.

 

이런 문제를 해결하기 위해서는 기본적으로 예방을 하면 되는데, 방법은 다음과 같다.

 

1. 최신 맥 OS 버전을 사용하고 앱 스토어(App Store) 업데이트 기능으로 최신 업데이트를 유지한다.
2. 다운로드 해서 앱을 설치하지 않는다면 앱스토어(APP Store)에서 다운로드 한 앱 허용을 선택한다. ([시스템 환경설정] -> [보안 및 개인 정보 보호]에서 설정 가능)
3. 백신 프로그램의 엔진 버전을 최신으로 유지하고 주기적으로 시스템 검사를 실시한다.
4. 백신 프로그램의 PUP 진단 기능을 활성화한다.
5. 메일 첨부 파일 또는 다운로드 한 파일이 실행 파일일 경우 의도한 파일이 맞는지 확인한 후 실행한다.
6. 프로그램을 설치 할 때 최종 사용자 사용권 계약(EULA)를 유심히 읽거나 설치 화면에서 불필요한 추가 프로그램 설치가 이뤄지는지 유심히 확인한다.
7. 프로그램을 설치하기 전에 해당 프로그램의 평판에 대해 알아본다.

 

그리고 윈도우 OS에서 PUP을 제거하는 방법이 있는데 자세한 내용을 참고하기 위해서는 아래의 링크를 통해서 볼 수 있다.

(http://www.ezday.co.kr/bbs/view_board.html?q_sq_board=6829919)

참고 링크 :

https://company.ahnlab.com/company/site/pr/comSecuNews/comSecuNewsView.do?seq=22895 (프로그램(PUP) 변조를 통한 악성코드 유포)

http://ahnlabasec.tistory.com/category/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20%EC%A0%95%EB%B3%B4 (맥 PUP 설치로 금전적 이득 노리는 Installmiez)

http://www.ezday.co.kr/bbs/view_board.html?q_sq_board=6829919 (악성코드보다 더 불편한 PUP, 확실한 제거 방법)