Games/플라이트 시뮬레이터

FSLabs에서 불법복제와 싸우려고 프로그램에 바이러스를 넣어

la Nube 2018. 4. 12. 14:04
반응형

FSLABS FLIGHT SIMULATION LABS DROPPING MALWARE TO COMBAT PIRACY? IS THIS DRM GONE MAD?


이 글은 2018년 2월 19일에 Fidus Information Security에 올라온 FSLABS FLIGHT SIMULATION LABS  DROPPING MALWARE TO COMBAT PIRACY? IS THIS DRM GONE MAD?를 해석한 글입니다.


※ 원문 작성자의 의도와 다르거나 오역 또는 잘못된 부분이 있을 수 있습니다.


원문 및 이미지 출처는 다음과 같습니다.

https://www.fidusinfosec.com/fslabs-flight-simulation-labs-dropping-malware-to-combat-piracy/


-


<서론>


FSLabs는 플라이트 시뮬레이터에서 쓰는 에어버스 320과 콩코드 등의 상용기 애드온 제품을 판매하는 회사입니다.


그런데, 이 FSLabs의 플라이트 시뮬레이터 애드온 제품에서 "불법복제와 싸우기 위하여" 구글 크롬의 사용자 비밀번호를 탈취할 수 있는 악성코드(바이러스)가 나왔다는 의혹이 Reddit 커뮤니티에서 제기되었습니다.


https://www.reddit.com/r/flightsim/comments/7yihev/official_fslabs_fslabs_intentionally_distributing/


이 문제와 관련하여 다음과 같은 질문에 먼저 답을 하고 넘어가야 합니다.


1. 이 사건의 합법적인 경계는 어디까지인가? 직접적으로 법을 위반하지는 않았나?

2. 어떤 방법으로 FSLabs에 데이터가 송출되었나?

3. 그 데이터는 안전한가? 그리고 누가 접근할 수 있는가?

4. 정확히 누구의 사용자 이름과 비밀번호들이 사용되었나?

5. 이 사건에 대해 도대체 무슨 생각을 하고 있나?


-


FSLabs에서는 먼저 다음과 같은 코멘트를 남겼습니다.


1) 먼저, 합법적으로 당사의 제품을 구매한 고객의 민감한 정보를 공개하는 도구는 없습니다. 당사는 여러분들이 당사의 제품에 많은 신뢰를 두고 있음을 알고 있고, 이것은 당사가 믿는 것과 다를 것입니다. (this would be contrary to what we believe.)


2) 불법복제로 확인된 특정한 일련번호에 대해 특정한 방법이 사용되며, 이 방법은 ThePiratebay, Rutracker 및 기타 악성 사이트에서 사용됩니다.


3) 불법적으로 소프트웨어를 받은 사람이 해당 일련번호를 사용하고, 설치 프로그램이 서버 데이터베이스에 저장된 불법복제 일련번호와 대조하여 확인이 되면, 당사에 알려주는 조치를 취하게 됩니다. "Test.exe"는 DRM의 일부이며 불법적으로 받은 저작권 있는 소프트웨어만을 대상으로 합니다. 이 프로그램은 일시적으로만 추출된 것이며 어떤 경우에도 합법적인 제품에서 사용되지 않습니다. 설치가 완료된 후 이 파일이 검색되는 이유는 해당 파일이 불법복제 일련번호가 사용된 경우에 해당되기 때문입니다.


-


Reddit 커뮤니티에서의 격렬한 항의 이후에 FSLabs에서는 다음과 같은 내용을 게시하였습니다.


안녕하세요, 여러분!

오늘 저녁에 발생한 몇 가지 논란에 대해 더 말씀 드리고자 합니다.


당사는 당사와 플시머들이 당사 제품을 구입하는 것뿐만 아니라 그 제품들과 FlightSimLabs를 지원하는 것으로써 여러분이 당사에 주는 신뢰를 고의적으로 훼손하는 일이 결코 없다는 점을 재확인하고 싶습니다.


고객 대다수가 불법복제와의 전쟁이 때로는 과감한 조치가 필요한만큼 어렵고 지속적인 싸움이라는 점을 이해하고 있지만, 당사는 이 방법이 다소 강압적일 수 있어 여러분들이 불편하게 느낄 수 있다는 점을 알게 되었습니다. 이 때문에 문제가 된 DRM 검사 파일이 포함되지 않은 설치 파일을 업데이트하여 업로드했습니다.


포럼과 다른 곳에서 우려의 목소리를 표명해 주신 것에 대해 감사드립니다. 당사는 여러분들이 없다면 FlightSimLabs도 없음을 알기에 언제나 고객의 의견에 귀 기울이고 있습니다.


-


<기술적인 분석>


해당 프로그램을 설치하면 많은 파일이 임시 디렉터리로 추출됩니다.





그 중 가장 흥미로운 파일은 Test.exe 파일입니다. 이 파일을 추가로 조사해 보면 이 파일이 SecurityXploded에 의해 구글 크롬의 비밀번호 덤프 도구로 되어 있는 것을 알 수 있습니다. 명령줄 기반 도구를 사용하여 저장된 사용자 이름과 비밀번호를 구글 크롬 브라우저에서 추출하여 읽기 쉬운 형식으로 표시할 수 있습니다.





바이러스토탈(VirusTotal)의 검사 결과, 이 파일은 다음과 같이 위험한 악성코드(바이러스)로 나옵니다.

https://www.virustotal.com/#/file/60641eef00a7498a62ac7686e656dad6e8f700cb4803a8a149707b2c4a3a09c9/detection





이 파일과 관련하여 2017년 10월에 FSLabs 팀에서는 매우 흥미로운 코멘트를 남겼습니다.

그것은 바로 백신을 끄고 설치하라는 것이죠.(정상적인 프로그램의 설치 과정인데 백신을 꺼야 한다?)





임시 디렉토리에 있는 또 다른 파일인 Base64.exe도 매우 흥미로운 모습을 보입니다. 한 가지 가정은 자격 증명이 FSLabs으로 보내지기 전에 구글 크롬 비밀번호 덤프 도구와 base64를 사용하여 덤프된다는 것입니다.


디컴파일링이 되면 설치 프로그램에 사용되는 55MB짜리 .bin 파일을 받습니다. .bin 파일의 문자열을 실행하면 다음과 같은 결과가 나타납니다.


1. Test.exe(비밀번호 덤퍼)를 호출합니다.

2. 그 결과가 Log.txt로 출력됩니다.

3. Log.txt 파일을 인코딩하기 위해 Base64.exe를 호출합니다.

4. Base64로 인코딩된 로그 파일이 HTTP를 통해 전송됩니다.

   맞아요. HTTP네요. LogHandler3.ashx에 주목하세요.


다음은 올바르지 않은 일련번호가 감지된 경우의 프로그램 흐름입니다.





그리고 다음은 올바른 일련번호가 감지된 경우의 프로그램 흐름입니다.



많은 정보가 제공되지만 비밀번호 덤프 도구에 대한 참조는 포함되지 않습니다. 따라서 비밀번호 덤프 도구(Test.exe)는 올바르지 않은 일련번호가 사용되는 경우에만 호출된다는 결론을 내릴 수 있습니다.


-


<심각한 문제>


몇 가지 심각한 문제가 있습니다.


1. 이것의 합법성은 어떻게 되는가?

2. 왜 데이터가 HTTP를 통해 전송되고 단지 Base64로만 인코딩되는가?

3. 저장되는 데이터의 보안 수준은 어떻게 되는가?

   – 로그 수집 도메인을 실행하는 서버에도 인터넷에 대한 RDP가 있습니다.



우리는 DRM과 저작권 침해에 맞서 싸우는 것의 중요성을 온전히 이해하고 있지만, 일부 회사들이 이에 대한 법적, 정보적 함의와 함께 얼마나 윤리적으로 하는가에 대한 의문을 제기하게 됩니다.


결론은 프로그램을 만드는 회사가 불법복제를 막기 위하여 정상적인 프로그램 안에 일부러 구글 크롬의 사용자 비밀번호를 탈취하는 악성코드(바이러스)를 넣어도 되느냐의 문제입니다.


반응형