금융정보 탈취하는 KRBanker 분석 보고서 



1. 개요 


최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

adinstall.exe

파일크기

478,208 byte

진단명

Banker/W32.Agent.478208.B

악성동작

파밍, 금융정보 탈취

네트워크

103.***.***.86 – 공격자 서버

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.




2-3. 실행 과정

악성코드는 hosts 파일 등을 수정하지 않고 자동 구성 프록시(PAC)를 통해 사용자를 파밍 사이트로 유도한다. 실행 시 아래와 같이 UAC 경고창이 나타나는 것을 확인할 수 있다. 그 다음 인터넷 브라우저의 시작 페이지를 국내 N 포털 사이트로 변경하고, 특정 페이지 접속 시 파밍 사이트로 유도한다.

[그림] Windows 방화벽 보안 경고[그림] Windows 방화벽 보안 경고





3. 악성 동작


3-1. 자동 실행 등록 및 인증서 유출

해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.


[그림] 자동 실행 등록[그림] 자동 실행 등록




감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.


[그림] 복사된 인증서와 압축 파일[그림] 복사된 인증서와 압축 파일




3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)

악성코드가 동작하면 자동 구성 프록시(PAC) 를 설정한다. PAC 란 별도의 프록시 서버 설정 없이 특정 URL 에 대해 자동으로 프록시 서버 설정을 해주는 스크립트다. 아래 그림과 같이 PAC 가 ‘127.0.0.1:1171’ 로 설정되어 있는 것을 확인할 수 있다. 이는 URL 정보에 대해 사용자 PC 의 1171번 포트로 질의하게 된다.

[그림] 자동 구성 프록시 설정[그림] 자동 구성 프록시 설정



1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.


[그림] 프록시 포트와 연결[그림] 프록시 포트와 연결





3-3. 시작 페이지 변경 및 파밍 사이트 연결

인터넷 브라우저의 시작 페이지가 N 포털 사이트로 변경된 것을 확인할 수 있다.

[그림] 시작 페이지 변경[그림] 시작 페이지 변경



현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.





4. 결론


해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.


만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect