<30302D302E20C5F5B0EDB1D4C1A42E687770>

Transcription

1 서론 * 1361 Journal of The Korea Institute of Information Security & Cryptology ISSN (Print) VOL.25, NO.6, Dec ISSN (Online) 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 허건일, 1 허청일, 2 김휘강 1 1 고려대학교정보호호대학원, 2 한국산업기술보호협회 A Study on Mobile Game Security Threats by Analyzing Malicious Behavior of Auto Program of Clash of Clans Geon Il Heo, 1 Cheong Il Heo, 2 Huy Kang Kim 1 1 Graduate School of Information Security, Korea University 2 Korean Association for Industrial Technology Security 요 약 모바일게임시장규모와인구가증가하고동시에모바일게임의생명주기가크게길어지면서 PC 기반온라인게임에서나타났던오토프로그램문제가모바일게임에서그대로재현되고있다. 사용자들은오토프로그램실행을위해안티바이러스프로그램의경고를무시하거나심지어안티바이러스프로그램을삭제하기때문에, 오토프로그램이게임관련기능외에악성행위를수행할경우게임이용자들은위협에무방비로노출될수있다. 본논문에서는장기간대규모의사용자를확보하고있는대표적인모바일게임인클래시오브클랜의오토프로그램 7종을대상으로악성행위유무를분석하고, 이를바탕으로향후발생가능한보안위협과대응방안을제시하였다. 높은인기를가진특정모바일게임의오토프로그램들을일괄분석함으로써개발플랫폼, 동작방식등오토프로그램의최신동향을파악하였고, 향후오토프로그램의변화양상예측및잠재적위협을사전에차단할수있는방안을제시하였다. ABSTRACT Recently, the size of the mobile game market and the number of mobile game users are growing. Also, as the mobile game s life cycle is increasing at the same time, auto program issue reappears which has been appeared in PC online games. Gamers usually tend to ignore warning messages from antivirus programs and even worse they delete antivirus program to execute auto programs. Therefore, mobile game users are easily compromised if the auto program performs malicious behaviors not only for the original features. In this paper, we analyze whether seven auto programs of "clash of clans" which has a lot more users for a long time perform malicious behaviors or not. We forecast the possible security threats in near future and proposed countermeasures based on this analysis. By analyzing auto programs of highly popular mobile game of today, we can acquire the knowledge on auto program s recent trend such as their development platform, operating mode, etc. This analysis will help security analysts predict auto program s evolving trends and block potential threats in advance. Keywords: auto program, macro, mobile game, malicious behavior Received( ), Modified(1st: nd: ), Accepted( ) 주저자, aza837@korea.ac.kr 교신저자, cenda@korea.ac.kr(corresponding author)

2 1362 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 I. 서론스마트기기의보급확대와하드웨어성능이향상됨에따라모바일게임시장규모및게임인구도가파르게증가하고있다. 한국콘텐츠진흥원의 2014 대한민국게임백서에따르면, 2013 년모바일게임시장규모는 2012 년대비 190.6% 증가하였고, 2013 년모바일게임인구는 2012 년대비 107.7% 증가하였다 [1]. 아울러모바일게임의생명주기도매우길어졌다. Table 1. 은 2015년 6월 18일기준구글플레이와애플앱스토어를종합한매출순위를나타낸다. 1위레이븐을제외한모든게임이출시된지최소 1년이경과되었고, 클래시오브클랜의경우출시된지무려약 3년가까이되었다. 모바일게임흥행이장기화되고게임이용자수가과거에비해크게증가했다 [2]. 의보안문제의경우클라이언트사이드보다서버사이드에서의방법론이주로연구되어왔고 [9,10], 모바일게임의보안문제의경우주로앱리패키징방지에관한다양한기법들이연구되어왔다 [11]. 그러나최근증가하고있는모바일게임의오토프로그램에대한연구는많이부족한상황이고그에따라관련된위협여부또한거의알려져있지않다. 하지만사용자들이모바일게임관련오토프로그램, 핵, 크랙버전의앱등을접하는것은매우쉬운상황이다. Fig. 1. 에서볼수있듯이포털사이트에서모바일게임매크로라는문자열로검색한결과, 연관검색어와함께관련게시물이검색결과상단에노출된다. Table 1. Sales Ranking of Mobile Game Sales Ranking Game Title Registration Date 1st Raven nd Clash of Clans rd Seven Knights th Modoo Marble th Training Monster th Anipang th Hero th Summoner s War th Hearth Stone th Blade Fig. 1. Search Result of Mobile Game Macro 게임크랙이라는문자열로검색했을때에도 Fig. 2. 와같이유명모바일게임들의크랙관련게시물이검색결과상단에노출된다. 이러한인프라형성으로인해 PC 기반온라인게임에서나타났던보안문제가모바일게임에서도재현되고있다. 전통적인 PC 기반온라인게임의경우오토프로그램, 핵, 사설서버, 그리고아이템현금거래, 계정도용등의보안문제가나타났고 [3,4,5], 모바일게임에서도이와유사하게계정도용, 앱리패키징, 결제부정등의보안문제가나타나고있다 [6]. 그리고모바일게임의생명주기가길어진시점부터는안드로이드에뮬레이터와오토프로그램등을이용한소위개인단위의작업장운영이가능해지고, 클래시오브클랜의경우모바일게임최초의사설서버가등장하는등점점그심각성이커져가고있다 [7,8]. 이에대한대응방안으로서 PC 기반온라인게임 Fig. 2. Search Result of Game Crack Fig. 3. 은 android hack 이라는문자열의이미지검색결과이다. 특정게임이름을지칭하여검색할경우, 더욱다양한불법프로그램이검색된다.

3 정보보호학회논문지 ( ) 안드로이드게임부정행위관련프로그램현황 안드로이드에뮬레이터 Fig. 3. Image Search Result of android hack 공격자들은이러한높은접근성을악용하여모바일게임의오토프로그램, 핵, 크랙버전의앱에악성코드를은닉시켜유포할수있다. 해당프로그램을다운받은사용자는대개이런프로그램들이안티바이러스프로그램에서진단될수있다고생각하는경향이있기때문에, 설치및사용과정에서안티바이러스프로그램이제대로된진단을하더라도이를무시하거나심지어프로그램을삭제할수있다. 표면적으로는프로그램의기능이정상적으로동작하고백그라운드에서악성행위를수행하기때문에사용자는이를인지하기어렵고동시에감염이지속되는기간이증가하면서피해수준도커진다. 현재대표적인인기모바일게임중의하나는클래시오브클랜이다. 일반적으로생명주기가몇개월에불과한여타모바일게임과달리최초출시일인 2012 년 8월을시작으로현재까지약 3년동안인기차트상위순위에장기집권하고있는게임이다. 오랜기간높은인기를누린만큼많은게임이용자수를보유하고있고그에따라다양한오토프로그램이인터넷을통해거래되고있다. 대부분유료형태이나체험판제공을통해사용자의구매를유도하고있고관련포럼도매우활성화되어있다. 이에따라본논문에서는클래시오브클랜오토프로그램을대상으로악성행위유무를분석하고, 이를바탕으로잠재적으로향후발생가능한모바일게임보안위협과대응방안을제시한다. II. 관련연구본장에서는안드로이드게임부정행위관련프로그램의현황과오토프로그램의악성행위유무분석시점검항목선정을위한선행연구를수행한다. Fig. 4. Attempt to Connect to Certain Game with Multiple Accounts by Executing Multiple Emulators Table 2. List of Android Emulators Application Name AMIDuOS Andy BlueStacks Genymotion Windroy Cost Non- Non- Fig. 5. BlueStacks User Interface Latest Version (Release Date) ( ) 43.1 (2015) (2015) ( ) 2.8.0b (2015) 안드로이드에뮬레이터는 PC에서안드로이드앱을구동해줄수있는소프트웨어로서원래는안드로이드운영환경에서의개발자들의디버깅을용이하게하기위한목적이컸다. 그러나일부이용자들이이를악용하여디버깅을통해게임앱의취약점을찾거

4 1364 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 나, Fig. 4. 와같이복수의에뮬레이터를동시에실행하여여러개의계정으로접속, 그리고매크로를이용하여자동으로게임을수행함으로써 PC 기반온라인게임에서의작업장과같은문제를발생시키고있다 [7]. Table 2. 는안드로이드에뮬레이터의현황을나타내고 [12,13,14,15,16], Fig. 5. 는이중하나인 BlueStacks 의 User Interface 를나타낸다. Fig. 4. 와같이복수의에뮬레이터를통한다중접속을차단하기위한방안으로서기기인증방법이사용될수있으나게임이용자의반발및게임이탈이발생할확률이높기때문에조심스러운접근이필요하다 메모리변조앱 메모리변조앱은게임내특정값을메모리상에서검색및변조하는프로그램을말한다. 그종류를정확히모두파악할수는없지만대표적인것은 Table 3. 과같다 [17,18,19,20]. 해당앱이실행되기위해서는반드시루팅이선행되어야하고, 4개모두조작법이아주간단하다. 게임앱을실행한후골드, 특정아이템개수등변조하고자하는항목의현재값을메모리변조앱에입력하고, 이후해당값을계속변경시키면서검색결과를좁혀나가는방식이다. Fig. 6. 은 GameCIH 를이용한메모리변조과정의예시이다 [17]. 메모리변조앱을통해게임상의수치를변경할경우대개값의전후차이가극명하기때문에이에대한탐지는상대적으로쉬운편이다. Table 3. List of Memory Modification Apps. Application Name Game CIH Game Guardian Game Killer SB Game Hacker Country Taiwan China Cost Latest Version (Release Date) ( ) ( ) China - China 3.1 ( ) Fig. 6. Attempt to Modify Memory using Game CIH 매크로 매크로는게임내사용자의특정행위를녹화하고원할때마다반복적으로수행하는프로그램을말하며, 크게스마트기기에서작동하는것과 PC에서작동하는것으로나뉜다 에서소개한에뮬레이터를이용하여 PC에서모바일게임을하는이용자가많기때문에 PC용매크로도많이사용되고있다. Table 4. 는모바일게임에서사용되는대표적인매크로의현황을나타내고 [21,22,23,24,25], Fig. 7. 은이중하나인 FRep 의 User Interface 를나타낸다 [23]. Table 4. List of Macro Applications Application Name AutoHot key Platform PC Cost AutoIt PC FRep Smart Device G Macro PC Hiro Macro Smart Device Latest Version (Release Date) ( ) ( ) 3.8 ( ) 2.0 ( ) ( ) 매크로의사용이무조건불법이라고판단하기에애매모호한측면이존재하고, 매크로사용시게임사에서는이것이사용자의행위인지, 매크로로인한반복적인행위인지판단하기쉽지않다. 따라서게임앱실행전에매크로실행여부를검사하여, 매크로가

5 정보보호학회논문지 ( ) 1365 실행되어있을경우게임이실행되지않도록조치를취하는것이효율적인대응방법이다. 게임에특화시켜제작된전용오토프로그램이다. 이러한전용오토프로그램은대부분윈도우운영체제에서작동되고 2,1.1 에서소개한안드로이드에뮬레이터인 BlueStacks 의실행을요구한다. Fig. 9. 는클래시오브클랜의전용오토프로그램중하나인 Lazy Pressing 의사용자인터페이스를나타낸다. 대부분의프로그램들이모두유료형태를띠고있지만일정기능이제한된데모버전을동시에제공하고, 과금방식은월 / 분기 / 반기 / 연간등으로다양하며결제방식또한페이팔, 비트코인등으로다양하다 [27]. Fig. 7. FRep s User Interface 게임앱크랙버전 게임앱크랙버전은기본적으로마켓구매인증과정을우회하고게임내골드, 아이템개수등특정항목의수치를고정시키거나인앱결제시무료로아이템을구매하게하는등제작자에따라다양한형태를가질수있다. Fig. 8. 은국내의대표적인안드로이드앱커뮤니티 앱짱닷컴 (appzzang.ca) 의크랙게시판이다 년 10월 8일기준 761 개의크랙버전게임앱이등록되어있고누구나무료로다운받을수있다 [26]. Fig. 8. Sharing Bulletin Board of Android Game Crack Version 특정게임전용오토프로그램 앞서설명했던 의메모리변조앱과 의매크로는임의의모바일게임에범용적으로사용가능한프로그램이고, 본절에서설명할것은특정 Fig. 9. LazyPressing s User Interface 2.2 오토프로그램의악성행위유무분석시점검항목선정을위한선행연구본논문에서는오토프로그램이트로이목마형태의악성코드일것이라전제하고있기때문에이에대한분석방법은기존의악성코드분석방법과매우유사한관점을가진다. 이에따라이절에서는정보보호관련정부기관및전문기업에서발간된악성코드분석지침또는분석보고서를일차적으로검토하여기존점검항목의당위성을판단하고, 최근악성코드의특징을이차적으로분석하여추가적으로반영해야할점검항목을검토한다. 이를통해다음 3 장에서오토프로그램의악성행위유무분석시점검항목을최종도출한다 정보보호관련정부기관및전문기업의악성코드분석지침, 분석보고서검토악성코드분석시기존점검항목의적절성을검

6 1366 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 토하기위해정보보호관련정부기관 2개, 전문기업 2개에서발간된악성코드분석지침또는분석보고서를검토했다. 선정된정부기관및전문기업과관련문헌은 Table 5. 와같다 [28,29,30,31]. KISA(Korea Internet & Security Agency) 는한국의정보보호진흥기관로서인터넷침해대응센터 ( 를운영하고있다. SEI(Software Engineering Institute) 는미국국방부에의해설립된비영리연구개발센터로서 CERT( 를운영하고있다. Lastline의 Anubis 와 Google의 VirusTotal은온라인상에서샌드박스를통한악성코드분석서비스를제공한다 [28,29,30,31]. Table 5. Literature List Name KISA SEI Anubis VirusTotal Literature Handbook of Incident Analysis Procedure A New Approach to Prioritizing Malware Analysis Fiesta EK(CVE ) Analysis Report Fiesta EK(CVE ) Analysis Report 각각의지침과분석보고서를검토한결과세부점검항목은약간의차이가존재했지만모든문헌에서 File, Registry, Process/Service, 이 3개의항목을큰축으로하여해당항목들의변화를중점적으로분석했다. 일반적으로악성코드가파일형태로존재하고실행시프로세스로서메모리에상주하는점, 지속적인실행을위한레지스트리에관련키를생성하거나서비스에등록하는점등을고려했을때기존 3개의항목은적절한점검항목이라판단된다 최근악성코드행위의특징분석 정보유출형악성코드의득세 공격자의호기심이나실력과시를위해해킹을하던과거와달리최근에는금전적목적을가지고개인의민감한정보를노린해킹이대부분이다. Table 6. 의 2015 년 7월월간악성코드은닉사이트탐지동향보고서의악성코드유형별비율을살펴보면, 정보유출형 53%, 키로깅 7%, 파밍 3%, 총 63% 의 악성코드가직간접적으로정보유출을목적으로하고 있다 [32]. 이에따라동적 / 정적분석을통해악성코 드내 IP 주소또는 URL의존재유무를파악하고 직접접근하여이것들의유해성을점검해야할필요 가있다. Table 6. Classification of Malware by Percent Malware s Type Percent Financial Information Leakage 42% Dropper 16% PC Information Leakage 11% Key-logging 7% Downloader 7% Remote Control 4% Adware 4% Abnormal Files 4% Pharming 3% Etc. 2% Total 100% 정상프로그램의업데이트를악용한악성코드 배포 감염대상시스템에악성코드를설치하는것이점 점어려워짐에따라공격자들은정상적인프로그램의 업데이트체계를악용하여악성코드를배포하기시작 했다 년 KISA 에서발간한 최근피싱, 파밍 기법을이용한금융정보탈취동향 에따르면공격자 들은웹하드업데이트서버내파일자체를변조하거 나감염대상시스템의업데이트설정파일을변조하 였고 [33], 동년안랩에서발간한 ASEC(AhnLab Security Emergency Response Center) Report 에따르면프리웨어등의소프트웨어설치 시부가적으로설치될수있는 PUP(Potentially Unwanted Program) 의업데이트를통해시스템 을감염시켰다 [34]. 최초설치된프로그램은정상일 지라도향후업데이트를통해악성코드에감염될가 능성이존재하므로자체업데이트기능의존재유무 와업데이트메커니즘에대한점검이필요하다 분석지연을위한코드난독화및패킹기법 사용 악성코드의제작의도를달성하고분석가가악성

7 정보보호학회논문지 ( ) 1367 코드의동작방식을파악하는데걸리는시간을최대한지연시키기위해, 일반적으로공격자들은악성코드제작시코드난독화및패킹등의보호기법을적용한다 [35]. 고 [36], Table 8. 은 Shadowserver Founda tion에서제공된 7월 17일부터 8월 16일사이에유입된악성코드에적용된패커들의현황을나타낸다 [37]. Table 7. Classification of Obfuscation Obfuscation Layout Control-Flow Data Contents Scrambling The Program around at The Source-Level Twisting The Typical Downward-Flow of A Program into Spaghetti Code Masking Data in Program by Any Means Table 8. Monthly Packer Statistics Packer Count Percent Allaple_Polymorphic_Pa cker vna 1,870, % UPX All_Versions 452, % NullSoft_PiMP_SFX vna 203, % Inno_Setup v , % FSG V , % NullSoft_NSIS Generic 33, % UPX V2.9-3.X 32, % Unknown_33 10, % InstallShield v2000 6, % ASPack vna 5, % 불특정다수가아닌특정그룹이나개인을지속적으로공격하는 APT(Advanced Persistent Threat) 가현재사이버공격트렌드의주류로떠오르는가운데, 다단계로존재하는보안솔루션을최대한우회하고악성코드의활동시간을최대한지속하기위해서이러한보호기법은악성코드제작시더더욱필수불가결한요소가되어가고있다. 코드난독화및패킹기법이적용되었다고해서무조건악성코드라고단정할순없지만그확률이매우높으므로의심파일에대한코드난독화및패킹기법적용유무의점검이필요하다. Table 7. 은대표적인코드난독화기법을나타내 III. 분석방법 3.1 점검항목 2.2의결과에근거하여총 5개점검항목으로구성하며상세내용은 Table 9. 와같다. Table 9. Inspection Checklist Division Item 1 Item 2 Contents File Creation/Modification/Deletion 1-a File Creation/Modification/ Deletion by Execute Files 1-b File Download by Connecting Network Registry Key Creation /Modification/Deletion Item 3 Malicious Activity Related to Process/Service 3-a Antivirus Process Pause/Kill 3-b Backdoor Process Execution 3-c Etc. Item 4 Analysis of Possibility of Potential Threat 4-a Existence of Update Function 4-b Existence of Malicious IP Address/Domain Item 5 Code Protection 5-a Code Obfuscation 5-b Packing 3.2 점검도구 점검도구는에뮬레이터, 동적분석, 정적분석, 이력조회서비스와같이크게 4개로구분되며상세내용은 Table 10. 과같다. 3.3 점검방법 점검항목과관계없이기본적인분석절차는오토프로그램의 import 함수의목록, 문자열및패킹

8 1368 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 적용유무분석, 모니터링도구를이용한시스템변화분석등과같은비교적간단한정적 / 동적분석을수행하고, 해당결과를바탕으로상세분석이필요한부분을도출한다. 그리고해당부분에한해디스어셈블링및디버깅을함으로써상세분석을수행한다. 다음은점검항목별주요내용을서술한다. Table 10. Inspection Tools Division Emulator Dynamic Analysis Static Analysis History Inquiry Service Inspection Tools VMware Workstation v10 BlueStacks v 파일생성 / 변경 / 삭제 Reference Process Monitor v Process Explorer v Regshot v Wireshark v OllyDbg v PE Explorer v PEBrowse Professional v Dependency Walker v NET Reflector v BinText v Stud_PE v Exeinfo PE v HxD v Google s Safe Browsing 54 KISA s WHOIS 55 본항목에서는 Process Monitor 및 Wireshark 와같은도구를이용해시스템내파일들의가시적인변화를분석하고, CreateFile, ReadFile, WriteFile, DeleteFile, Create FileMapping, MapViewOfFile 과같은관련함수의존재유무및해당함수에전달되는파라미터를분석한다 레지스트리키생성 / 변경 / 삭제본항목에서는 Process Monitor 및 Regshot 과같은도구를이용해레지스트리의가시적인변화를분석하고 RegCreateKey, RegDeleteKey, RegOpenKey, RegSetValue, RegGetValue와같은관련함수의존재유무및해당함수에전달되는파라미터를분석한다 프로세스및서비스와관련된악성행위본항목에서는 Process Monitor 및 Process Explorer 와같은도구를이용해프로세스및서비스의가시적인변화를분석하고, CreateProcess, CreateThread 와같은관련함수의존재유무및해당함수에전달되는파라미터를분석한다 잠재적위협발생가능성분석본항목에서는업데이트기능의존재유무와소스코드내악성 IP 주소및도메인주소의존재유무를분석한다. 업데이트기능의존재유무분석의경우, 우선오토프로그램의 User Interface 상에업데이트메뉴존재유무를확인하고해당메뉴가존재할경우업데이트관련설정파일등의분석을통해업데이트시접속하는원격지서버주소의변조가능성을확인한다. 그리고 socket, bind, listen, accept, connect, recv, send 와같은관련함수의존재유무및해당함수에전달되는파라미터를분석하여사용자동의없이백그라운드에서업데이트가수행될가능성을확인한다. 소스코드내악성 IP 주소및도메인주소분석의경우문자열분석및위에서언급한함수들의파라미터분석을수행하고, 추출된 IP 주소및도메인주소에직접접속하거나이력조회서비스를이용하여유해성유무를분석한다 코드보호기법존재유무분석본항목에서는코드난독화및패킹기법의적용유무를분석한다. Exeinfo PE, PEBrowse와같은도구를이용하여패킹적용유무및적용된패커의종류를파악하고그종류에따라언패킹도구를

9 정보보호학회논문지 ( ) 1369 이용하거나매뉴얼언패킹을시도한다. 코드난독화여부는디스어셈블링및언패킹의결과물을통해확인한다. IV. 실험 4.1 실험대상 실험대상은총 7종의클래시오브클랜전용오토프로그램으로서각각의공식사이트를통해확보했다. BlueStacks 에서의실행을요구하며총 7종중 5종이유료, 2종이무료로배포되고있다. 이를요약한것이 Table 11. 이다. Table 11. List of Auto Program of Clash of Clans Program Name Cost Source Code Disclosure A free X B free O C 6$/M X D 10$/M X E 11$/M X F 20$/M X G 10$/M X 4.2 실험환경 실험은변수통제및반복적인실험의용이성을확보하기위해가상환경에서실시한다. VMware Workstation v10에서 guest OS를 Windows 7 로구성하고 guest OS 내 BlueStacks 를설치한다. 4.3 실험결과 그러나프로그램 A에자동업데이트기능이존재하고, 프로그램 D, E, F에서악성 IP 주소또는 URL이검출되었다. 그리고프로그램 D에소스코드난독화가적용되었고, 프로그램 A, C, F, G에패킹이적용된것이확인됨에따라이러한요소들이향후잠재적보안위협이될수있음을추정할수있었다. 이를요약한것은 Table 12. 이다. Table 12. Inspection Result Division A B C D E F G Item 1 1-a b Item Item 3 3-a b c Item 4 4-a O b O - O O Item 5 5-a O b O - O - - O O Table 13. Script Language used and Packer applied by Program Program Name Script Language Packer Name A AutoIt UPX B AutoIt - C AutoIt NSIS D AutoIt - E - - F Quick Macro Themida G Quick Macro Themida 요약 실험결과 7개프로그램모두, 악성행위를직접적으로수행하는부분은존재하지않았다. 파일및레지스트리키를생성 / 변경 / 삭제하는행위는존재하지않았고, 안티바이러스프로그램을중지하거나백도어프로세스를생성하는등프로세스및서비스와관련된악성행위도존재하지않았다. 그리고 7개프로그램중 6개가 AutoIt 또는 Quick Macro 라는스크립트언어로개발된것임이드러났다. 우선스크립트언어로개발하고코드보호및배포를위해 exe 형식으로변환한것으로추정된다. 나머지 1개는.NET Framework 를이용해개발되었다. 이를요약한것은 Table 13. 이다.

10 1370 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 상세내용 자동업데이트존재유무 A 프로그램의경우, 자동업데이트기능이존재했다. 기본적으로는해당기능이비활성화되어있으나, 활성화시키고신규업데이트가존재할경우 OOO.zip 파일을다운로드한다. 이후해당파일의압축을해제하면 XXX.bat 파일이생성되고, 이를실행함으로써본격적인업데이트가시작된다. XXX.bat 실행이전에업데이트관련파일이포함된디렉터리에대한삭제명령을추가함으로써업데이트가종료된이후에는관련된모든파일이삭제된다. 현재작성된코드에서는이상이없으나, 최초 OOO.zip 파일을받기위해접근하는 URL을악성코드유포서버로변경하여임의의악성코드를유포할수있으므로향후보안위협으로작용할수있다 악성 IP 주소 / 도메인존재유무프로그램 D에서 이라는도메인주소가발견되었다. 해당도메인으로직접접속을시도하였고이후 ww2.neemedia.com/?folio =9POR7JU99 로 request 를보내는과정에서 Fig. 10. 과같이안티바이러스프로그램으로인해접근이차단되었다. 안티바이러스프로그램해제후재접속을시도하였으나 This domain has recently been listed in the marketplace 메시지가확인되었고, user-agent 를다양하게변경하여접속을시도해도동일한메시지가확인됨에따라악성코드유포지가변경되었음을추정할수있었다. 프로그램 F, G의경우동일한이메일주소 (hi@vrbrothers.com) 및도메인주소 ( 가확인되었는데이것모두 Quick Macro 개발사를나타냈다. 악성코드유포 / 경유이력을조회한결과, 개인사용자가제작한스크립트를공유하는게시판때문에탐지된것으로추정되는일부를제외하고특이사항이없었다 코드난독화적용유무 AutoIt 으로제작된오토프로그램은일반적으로 Exe2Aut 라는도구를통해소스코드를복원하여분석이가능하다 [56]. 그러나그중프로그램 D는복원된소스코드를확인한결과 Fig. 11. 과같이변수명과변수값, 사용자정의함수명에의미를알수없는임의의문자열이할당되어있었다. Win32API Wrapper 함수명은그대로나타나기때문에대략의행위만짐작할수있었으나정확한것은알수없었다. 사용되는파라미터에따라동일한함수가악성행위를수행할수도있고정상행위를수행할수도있으므로, signature 기반의정적분석을이용한탐지는정확한결과를보장할수없다. 동적분석을수행한다하더라도특정조건을만족시키지않을경우악성행위가발생하지않을수있기때문에이또한우회가능성이존재하므로이러한난독화기법은잠재적보안위협요소가될수있다. Fig. 11. Obfuscated Source Code 패킹유무 Fig. 10. Block to connect to ww2.neemedia.com/?folio=9por7ju99 프로그램 C의경우 Fig. 12. 와같이 ExtraDat 라는별도의섹션이존재했고다른섹션에비해상대적으로그크기가매우컸다. 해당섹션을추출하여확인한결과 NSIS(Nullsoft Scriptable Install System) 를이용해생성된것임을알수있었고 [57], 7-zip 으로압축해제시다시 exe 파일이추출되었다. 해당 exe 파일은 resource 분석결과 AutoIt 으로개발된것임이드러났고 Exe2Aut 도

11 정보보호학회논문지 ( ) 1371 구를이용하여소스코드를복원, 결과적으로악성행위가존재하지않음을확인했다. 패킹이적용된파일은내부파일이정상적인코드임에도불구하고안티바이러스프로그램의종류에따라악성코드로진단하는경우도있고아닌경우도있기때문에신뢰성있는진단결과를기대하기어렵다. 즉, 악성코드를은닉한뒤패킹할경우미탐이발생할가능성이존재하므로이러한패킹기법은잠재적보안위협요소가될수있다. Fig. 12. Section Information of Program C 프로그램 A는 AutoIt 에서기본적으로제공하는무료패커 UPX, 프로그램 F, G는상용패커 Themida 로패킹되었다 [58,59]. Themida 는악성코드의분석을지연시키기위해악성코드제작자들이많이사용하기때문에해당프로그램이악성행위를할것으로예상되었으나분석결과악성행위는존재하지않았다. V. 평가 5.1 스크립트언어의보안위협확인총 7개의오토프로그램중 6개의오토프로그램이스크립트언어를이용하여개발한뒤배포를위해 exe 형식으로변환되었고, 코드보호를위해필요에따라코드난독화및패킹기법이적용된것으로확인되었다. 스크립트언어를이용해개발된총 6개의오토프로그램중 4개가 AutoIt, 나머지 2개가 Quick Macro가사용되었는데이스크립트언어들은본연의단순반복작업이아닌시스템에영향을미치는다양한작업을수행할수있다. 다음 Table 14. 는악성행위시사용될수있는 AutoIt 의주요함수를나타낸다 [60]. 직접적으로파일을생성하는것을제외하고, 외부네트워크접속을통한파일다운로드, 프로세스삭 제, DLL 내함수호출, 레지스트리키생성등악성코드제작에필요한기본적인행위가거의가능하다. Quick Macro 와 AutoHotkey 에서도비슷한역할을수행하는함수들이제공된다 [61,62]. 해외의경우 AutoIt 을이용한악성코드이슈가몇몇존재하는데, 이중대표적인것은 Table 15. 와같다 [63,64]. Table 14. AutoIt s Main Function Division File Directory Registry Process DLL Network Year Function ShellExecute, Run, RunAs, FileDelete, FileCopy, FileRead, FileMove DirCreate, DirRemove RegRead, RegWrite, RegDelete ProcessClose, ProcessList, ProcessExists, Shutdown DllOpen, DllCall, DllClose Ping, InetGet, TCPSend, TCPAccept, TCPCloseSocket, TCPListen, TCPRecv, TCPStartup, TCPTimeout Table 15. Foreign Cases of AutoIt Malware Contents MITB attck using Malware Named Boleto in Brazil - Injection of binary code into a system process that will search for browser processes in order to inject malicious code inside of them Sending spam mail of Ebola virus fashioned in those days with impersonate WHO - Concealment of obfuscated Dark Comet Remote Access Trojan in attached file using AutoIt script 이번에분석한오토프로그램에서도악성행위를위한목적으로사용되지는않았지만 Table 14. 의함수들중일부가사용되었고이러한부분은향후얼마든지위험요소로작용할수있다. 그리고 AutoIt 으로개발된프로그램은 Exe2Aut 도구를이용하여쉽게디컴파일할수있기때문에소소코드복원이아주용이하다. 정상프로그램에악성코드를추가할수도있고기존악성코드의다양한변

12 1372 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 종제작도가능하다. 이러한점은안티바이러스프로그램의즉각적인대응을어렵게한다 [65]. 5.2 대응방안고찰가장효율적인대응방안은 BlueStacks 에서게임구동자체를차단하거나, BlueStacks 에서의게임구동을허용하되상용오토프로그램의실행유무를사전에검사하고오토프로그램이실행되어있을경우게임실행을차단하는것이다. 하지만이러한극단적인정책은정상적인게임이용자의반발및이탈을발생시킬확률이높으므로게임회사입장에서는감수해야할위험이크다. 게다가국내의경우오토프로그램의제작및배포에관한법적제재근거는존재하지만 [66,67] 사용행위에대한적법성여부는게임계정복구소송등과같이여전히논란의불씨가남아있기때문에이러한정책을적용하기쉽지않다 [68]. 이에따라 BlueStacks 에서의게임실행및오토프로그램실행을허용한상황에서가능한대응방안을고려해야한다. Fig. 13. 에서볼수있듯이스크립트언어사용여부는패킹여부와상관없이확인할수있다. 하지만어떠한 Win32API Wrapper 함수를사용하고그함수에어떠한값을전달하는지는확인할수없다. 패킹하지않은경우 Fig. 14. 와같이함수명이평문으로노출되는것을확인할수있지만, 이것은호출된함수가아닌 AutoIt 에서사용가능한모든함수를가리키므로무의미한정보이다. 즉, 파일을실행하지않고오직정적분석을통한 signature 기반의탐지기법만으로는스크립트언어를악용한악성코드를탐지하기어렵다. 실행하는과정을지속적으로관찰하여악성행위발생시탐지하는동적분석이반드시요구된다. 따라서개인사용자입장에서는안티바이러스프로그램이유일한대안이다. 하지만기업에서업무용목적으로스크립트언어를이용해프로그램을개발하는경우가많고이로인해오탐발생시사용자불만이크게제기되기때문에안티바이러스개발사마다다소차이는있지만기본적으로스크립트언어로개발된프로그램에대해서다소느슨한탐지정책을적용하는경향이있다 [69,70]. Table 16. 은이번에분석한오토프로그램중스크립트언어로개발된 6개의오토프로그램을 VirusTotal 에서분석한결과로서, 평균적으로 약 28% 의안티바이러스프로그램만이 trojan 또는 possible threat, unclassified malware 등으로진단하는등전반적으로진단율이매우낮음을알수있다. 스크립트언어로개발된프로그램에대한탐지정책의민감도제고가고려되어야한다. Fig. 13. Script Language s Name Exposed Fig. 14. AutoIt s Win32API Wrapper Function List Exposed Table 16. Antivirus Software s Ratio which Detects Auto Program Developed by Script Language Program Name Ratio(%) A 3.6 B 32.7 C 38.2 D 52.7 F 25.5 G 12.7 Major Diagnosis Trojan Possible Threat Unclassified Malware Average VI. 결론 PC 기반의온라인게임에서나타났던오토프로그램문제가모바일게임에서재현되고이를이용한악성행위수행가능성이높아짐에따라, 본논문에서는모바일계의장수게임인클래시오브클랜의오토프로그램을대상으로악성행위유무를분석하고이를바탕으로향후발생가능한모바일게임보안위협을예측및분석하였다.

13 정보보호학회논문지 ( ) 1373 분석한모든오토프로그램은자체공식홈페이지를통해확보하였고. 해당게임이 BlueStacks 에뮬레이터상에서작동하는경우를가정하여개발되었다. 총 7개의오토프로그램을대상으로파일 / 레지스트리키의생성 / 변경 / 삭제, 프로세스 / 서비스의실행 / 중지, 자동업데이트실행, 악성 URL/IP 주소접근, 소스코드난독화및패킹적용유무등총 10 개항목을기준으로분석을진행했고결과적으로직접적인악성행위는존재하지않는것으로확인되었다. 하지만자동업데이트기능이존재하거나소스코드난독화, 패킹기법이적용된프로그램의경우개발자의의도에따라악성행위가가능할수있음을확인했다. 그리고총 7개의프로그램중 6개가 AutoIt, Quick Macro와같은스크립트언어를이용하여제작된후컴파일된것으로확인되었다. 이스크립트언어들은단순한반복적인작업만구현할수있는것이아니라외부네트워크에서의파일다운로드, 파일실행및삭제, 외부 DLL 내함수호출등악성행위에필요한대부분의행위를구현할수있고, 특히 AutoIt 로컴파일된프로그램의경우 Exe2Aut 도구를이용하여소스코드를쉽게복원할수있기때문에정상프로그램에악성코드를삽입하거나기존악성코드의새로운변종을제작하는것이매우쉽다. 즉, 현존하는모바일게임오토프로그램에악성코드를추가하는것은아주쉬운작업이고, 현재많은게임이용자들이오토프로그램을사용하기때문에, 오토프로그램에악성코드를은닉시켜재유포할경우많은감염자를양산할수있다. 가장이상적인대응방안은 BlueStacks 에서의게임실행차단또는게임실행까지는허용하되오토프로그램의실행을차단하는것이다. 하지만이것은게임이용자의반발및이탈이우려되므로현실적으로적용하기쉽지않다. 현실적인대응방안은안티바이러스프로그램을중지하거나삭제하지않은채계속상주시키는것이다. 하지만기업에서업무용목적으로스크립트언어를이용해프로그램을개발하는경우가많고오탐발생시사용자의불만이높기때문에안티바이러스프로그램개발사에서는스크립트언어로개발된프로그램에대한탐지정책을상대적으로느슨하게적용하는경향이있다. 그러므로스크립트언어로개발된프로그램에대한탐지정책의민감도를높이면서오탐률을최소화하기위해 AutoIt 과같은스크립트언어기반의악성코드에대한지속 적인연구가필요할것이라판단된다. References [1] Korea Creative Content Agency, 2014 White paper on Korean games, Korea Creative Content Agency, 35, Gyoyukgil, Naju-si, Jeollanam-do, Korea, [2] Google Play, ore/apps/category/game/collection/to pselling_free [3] Woo, Jiyoung and Huy Kang Kim. Survey and research direction on online game security, Proceeding WASA '12 Proceedings of the Workshop at SIGGRAPH Asia, pp , Nov, [4] Woo, Jiyoung, Hwa Jae Choi, and Huy Kang Kim. An automatic and proactive identity theft detection model in MMORPGs. Applied Mathematics & Information Sciences, Vol. 6, No. 1S, pp. 291S-302S, Jan, [5] Hana Kim, Byung Il Kwak, and Huy Kang Kim, A study on the identity theft detection model in MMORPGs. Journal of The Korea Institute of Information Security & Cryptology, vol.25, no.3, pp , Jun [6] Huy Kang Kim and Young Jun Kum, Mobile game security issue in android. Review of The Korea Institute of Information Security & Cryptology, vol.23, no.2, pp , Apr [7] Il-bum Ahn, Shock! mobile games mouse auto prevalent fake ranked advisory, htt p://news.heraldcorp.com/view.php?ud = &md= _BL, Herald, Jun [8] Seung-Jin Choi, Clash of clans, the server pre-emergence shock, o.kr/read/economy/ htm, THE F ACT, Jan [9] Kang, A. R., Woo, J. Y., and Kim, H. K., Data and text mining of communication

14 1374 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 patterns for game bot detection, Proceedings of the 3th international conference on Internet, pp , Dec [10] Kang, A. R., Kim, H. K., and Woo, J.. Chatting pattern based game BOT detection: do they talk like us?, KSII Transactions on Internet and Information Systems (TIIS), Vol.6, No.11, pp , Nov, [11] Lee, Gi Seong and Huy Kang Kim. Android game repackaging detection technique using shortened instruction sequence, Journal of Korea Game Society, Vol. 13, No. 6, pp , Dec, [12] AMIDuOS, [13] Andy, [14] BlueStacks, m/local/kor/home-kor.html [15] Genymotion, com/#!/ [16] Windroy, [17] GameCIH, ecih.html [18] Game Guardian, net/forum/ [19] GameKiller, [20] SB Game Hacker, com/ [21] AutoHotkey, m/ [22] AutoIt, ite/autoit/ [23] FRep, [24] G Macro, [25] Hiro Macro, [26] Appzzang.com, /board.php?bo_table=game [27] Lazypressing, g.com/ [28] Hacking Response Team, Handbook of incident analysis procedure, Korea Internet & Security Agency, 135, Jungdae-ro, Songpa-gu, Seoul, Korea, [29] Jose Morales, A new approach to prioritizing malware analysis. mu.edu/sei_blog/2014/04/a-new-approa ch-to-prioritizing-malware-analysis.ht ml, Apr [30] Fiesta EK(CVE ) Analysis Rep ort, result&task_id=125ae9e1cdf b649e954117&format=pdf [31] Fiesta EK(CVE ) Analysis Report, /file/f7ea bed0b24f771da5b1b d438dab2a1bfc7c7e4f6a1abec/a nalysis/ [32] Incident Response Corps, Monthly report on detecting sites concealing malware, Korea Internet & Security Agency, 135, Jungdae-ro, Songpa-gu, Seoul, Korea, [33] Kim Moo Yeol, Ryu So Joon, Financial information leakage by the latest phishing and pharming technique, Korea Internet & Security Agency, 135, Jungdae-ro, Songpa-gu, Seoul, Korea, [34] AhnLab Security Emergency Response Center, ASEC report vol. 56, AhnLab, 220, Pangyoyeok-ro, Bundang-gu, Seong nam-si, Gyeonggi-do, Korea, [35] Joshua Cannell, Obfuscation: malware s best friend, Malwarebytes, malwarebytes.org/, 2014 [36] Sean Taylor, Binary obfuscation from the top down, DEF CON 17, con.org/html/defcon-17/dc-17-speaker s.html#taylor, 2009 [37] Shadowserver Foundation, Packer Statis tics, ki/pmwiki.php/stats/packerstatistics [38] VMware Workstation, ware.com/kr/products/workstation [39] Process Monitor, oft.com/ko-kr/sysinternals/bb896645

15 정보보호학회논문지 ( ) 1375 [40] Process Explorer, soft.com/en-us/sysinternals/bb aspx [41] Regshot, s/regshot/ [42] Wireshark, /download.html [43] OllyDbg, [44] PE Explorer, om/ [45] PEBrowse Professinal, smidgeonsoft.prohosting.com/pebrowse-pro-file-viewer.html [46] Dependency Walker, dencywalker.com/ [47].NET Reflector, m/products/dotnet-development/reflect or/ [48] BinText, wnloads/free-tools/bintext.aspx [49] Stud_PE, dpe.html [50] Exeinfo PE, get/programming/packers-crypters-pr otectors/exeinfo-pe.shtml [51] HxD, [52] Virustotal, [53] Malwares.com, com/ [54] Google Safe Browsing, le.com/safebrowsing/diagnostic?site=g oogle.com [55] Korea Internet & Security Agency WHOIS, [56] Exe2Aut, [57] NSIS, nload [58] UPX, [59] Themida, ida.php [60] AutoIt functions, ipt.com/autoit3/docs/functions/ [61] Quick Macro, om/help/qm_help/idh_function.ht ml [62] AutoHotkey, om/docs/functions.htm [63] Violet Blue, RSA: Brazil s Boleto Malwar e stole nearly $4 billion in two years, http: // oleto-malware-stole-nearly-4-billion-in -two-years/, ZDNet, July [64] Lee Bell, Hackers use Ebola outbreak to trick users into downloading malware, ht tp:// s/ /hackers-use-ebola-outbreak -to-trick-users-into-downloading-malw are, the INQUIRER, Oct [65] Vinoo Thomas and Prashanth Ramagop al, and Rahul Mohandas, The rise of autor un-based malware, McAfee, mcafee.com/us/, [66] Prohibiting distribution of illegal game, Paragraph 8 of Article 32 of Act on Game Industry Promotion, Nov [67] Lee Kang Kook, Verification of constitutional violation of clause 2 paragraph 3 of article 46 of Act on Game Industry Promotion, Heonjae Heonma288, Jun [68] Yang Chang Soo, Withdraw of blocking game account, Supreme Court Sentence 2010Da 9153 Judgement, Oct [69] AutoIt and malware, script.com/wiki/autoit_and_malware, J un, [70] Kyle Wilhoit, AutoIt used to spread malw are and toolsets, com/trendlabs-security-intelligence/au toit-used-to-spread-malware-and-tools ets/, May, 2013.

16 1376 클래시오브클랜오토프로그램의악성행위분석을통한모바일게임보안위협에관한연구 < 저자소개 > 허건일 (Geon Il Heo) 정회원 2012 년 2 월 : 서울과학기술대학교산업정보시스템공학과학사 2013 년 9 월 ~ 현재 : 고려대학교정보보호학과석사과정 2011 년 10 월 ~2012 년 11 월 : SK 인포섹침해사고대응팀 2012 년 12 월 ~2014 년 9 월 : ETRI 부설연구소 2014 년 10 월 ~ 현재 : 안랩보안관제팀 < 관심분야 > 온라인게임보안, 네트워크포렌식, 데이터시각화 허청일 (Cheong Il Heo) 정회원 2013 년 2 월 : 한국산업기술대학교컴퓨터공학과학사 2015 년 2 월 : 한국산업기술대학교기술정보보호학과석사 2013 년 2 월 ~ 현재 : 한국산업기술보호협회중소기업기술지킴센터관제운영팀 < 관심분야 > 네트워크포렌식, 빅데이터분석, 리버스엔지니어링 김휘강 (Huy Kang Kim) 종신회원 1998 년 2 월 : KAIST 산업경영학과학사 2000 년 2 월 : KAIST 산업공학과석사 2009 년 2 월 : KAIST 산업및시스템공학과박사 2004 년 5 월 ~2010 년 2 월 : 엔씨소프트정보보안실장, Technical Director 2010 년 3 월 ~2014 년 12 월 : 고려대학교정보보호대학원조교수 2015 년 1 월 ~ 현재 : 고려대학교정보보호대학원부교수 < 관심분야 > 온라인게임보안, 네트워크보안, 네트워크포렌식