CDSpace 업데이트 서버를 통해 유포된 악성코드 



1. 개요 


금융 기관을 사칭한 가짜 웹 사이트로 사용자의 접속을 유도하여 계좌번호, 비밀번호, 보안카드와 같은 금융 정보를 빼앗아 악용하는 파밍(Pharming)은 과거 hosts 파일을 직접 변조하는 방식이 대다수였다. 이에따라 파밍을 막기위해 hosts 파일을 보호하는 제품이 계속해서 출시됐고, 공격자들은 최근 이를 우회하기 위해 프록시 자동 구성(Proxy auto-config, PAC) 스크립트를 이용한 파밍 악성코드를 사용하고 있다. PAC는 hosts 파일을 변조하지 않고 스크립트를 작성하여 특정 URL을 자동으로 다른 웹 서버에 연결 시켜줄 수 있다.


본 보고서는 2016년 9월 10일 시디 스페이스(CDSpace) 프로그램의 업데이트 서버를 통해 유포되어 금융정보를 탈취하는 파밍 악성코드를 분석하여 최근 유포되고 있는 파밍 악성코드의 특징을 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CDSpace8.exe

파일크기

454,144 byte

진단명

Banker/W32.Agent.454144

악성동작

파밍, 공인 인증서 탈취

 




2-2. 유포 경로

해당 악성코드는 시디 스페이스 프로그램의 업데이트 서버가 공격당하여 업데이트 서버를 통해 유포된것으로 알려졌다. 또한, 정상적인 시디 스페이스 프로그램이 설치된 위치에 원본 시디 스페이스 파일과 같은 이름으로 악성코드가 다운로드되기 때문에 사용자가 의심없이 악성코드의 작동을 허용할 가능성이 있다. 

(기본 경로 - %ProgramFiles%\CDSpace\CDSpace8\)





2-3. 실행 과정

악성코드 실행 시 특성상 Windows 방화벽 설정을 변경하기 때문에 아래 그림과 같은 UAC 경고창이 발생한다. 하지만 사용자가 직접 다운받은 프로그램이 아닌 프로그램 업데이트 서버를 통해 다운받아진 점과 프로그램의 이름, 경로 등이 정상 시디 스페이스 프로그램과 유사하여 사용자가 무심코 허용할 가능성이 크다.

[그림 1] Windows 방화벽 보안 경고[그림 1] Windows 방화벽 보안 경고




그 다음 레지스트리 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 키를 등록하여 악성코드가 부팅 시 자동으로 실행되게 설정하고, HKCU\Software\Microsoft\Internet Explorer\Main의 Start Page 키를 이용하여 Internet Explorer의 시작 페이지를 포털 사이트 네이버로 위장한 파밍 사이트로 변경한다.






3. 악성 동작


3-1. 프록시 자동 구성(Proxy Auto-Config, PAC) 설정

해당 악성코드는 정상적인 은행 웹 서버 URL을 공격자가 준비한 파밍용 가짜 웹 서버로 연결시키기 위해 아래 그림과 같이 PAC를 설정한다.


[그림 2] 자동 구성 스크립트 설정[그림 2] 자동 구성 스크립트 설정




스크립트에는 PAC 구성에 필요한 함수와 해시 값들이 난독화 되어있으며 국민은행, 농협, 신한은행, 우리은행, 씨티은행, 우체국 은행, 기업은행, 하나은행, 새마을금고, SC제일은행, 수협, 신협, 부산은행, 광주은행, 경남은행 총 15개의 은행 URL이 포함되어있다.


[그림 3] 난독화 해제된 PAC 스크립트[그림 3] 난독화 해제된 PAC 스크립트






3-2. 공인 인증서 수집

감염된 사용자 컴퓨터 내의 모든 드라이브에서 공인 인증서 폴더 NPKI를 검색하여 %TEMP% 디렉토리에 복사한 후 공격자의 서버로 전송한다.

[그림 4] 복사된 공인인증서[그림 4] 복사된 공인인증서






4. 결론


해당 악성코드와 같은 금융정보 파밍 악성코드는 공인인증서, 보안카드 정보와 같이 인터넷 뱅킹에 필요한 정보를 탈취하기 때문에 사용자에게 직접적인 피해를 준다. 또한, 실제 포털 사이트와 은행 웹 사이트 소스를 이용하여 만든 파밍 사이트에 접속을 유도하고, PAC를 이용하여 파밍 사이트의 URL을 속이기 때문에 사용자의 각별한 주의가 필요하다. 무엇보다 은행, 공공기관에서 운영하는 웹 사이트가 과도하게 개인 정보나 금융 정보를 요구하는 경우, 정보를 입력하지 말고 파밍인지 의심해볼 필요가 있다.


[그림 5] 변조된 시작 페이지[그림 5] 변조된 시작 페이지



해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect