kaulj.exe 악성코드 분석 보고서  

 

1. 개요


1.1. 파일정보

 

 파일명

 kaulj.exe

 파일크기

 96,710 byte

 진단명

 Trojan/W32.KRBanker.96710

 악성동작

 인터넷 뱅킹 파밍인증서 탈취

 특징

 hosts hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취

 자동실행으로 지속적인 악성동작 유지

 파일 드랍



1.2. 분석환경


 운영체제

 Windows XP SP3 32bit (한글)

 분석도

 IDA, PEview, OllyDbg, ProcExp


 

 

2. 분석정보

2.1. 파일 유포 경로

이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다*******wire.com 외에 아래 표에 나열된 최초 경유사이트들은 공통적으로 www.k****.co.kr/cd1.html 를 중간 경유사이트로 사용하였고, 최종 경유사이트 180.**.***.131/Us******sc*****x.html를 거쳐 www.t*****a*s.com/kaulj.exe에서 다운로드 되었다.



www.e****.co.kr

p*****.ar*****e.com

www.bo****nd****a.co.kr

www.b***.co.kr

www.s****.co.k******ain.asp

www.r****.co.kr

www.s****w**.biz

www.t*****a**.com

www.m*******im.pe.kr

www.e***b.co.kr

www.y***.com

www.b*****y.com

www.h****b.co.kr

www.c***u.com

www.n******en.or.kr

t****erc******ing.co.kr

www.vi*******rl.kr

***.**s.or.kr

www.i******t.co.kr

www.a***d.com

www.s****n.pe.kr

www.r***a.co.kr

www.a****op.co.kr

이하생략

[표]최초 경유 사이트 목록


2.2. 샘플 분석

Kaulj.exe는 KRBanker 진단명을 갖고 있으며 인터넷뱅킹 사용자를 위조 인터넷뱅킹 사이트 접속을 유도(파밍)한다. 본 보고서는 샘플 내부 상세 동작에 중점을 두고 분석을 진행했다.

 

2.2.1. kaulj.exe 상세 분석


악성동작은 다운로드된 실행파일이 아닌 kaulj.exe에서 드랍된 dllrundll32.exe를 통해 실행되어 동작한다. 이 때 실행파일은 드랍퍼 역할만 수행하는 것이다. 파일 드랍 과정에서 각종 안티 디버깅 기법이 존재하기에 분석 시간이 오래 걸리며 진단이 늦춰지고, 악성동작 생명주기를 연장시킨다. 결과적으로 샘플 실행 시, D:\5자리 랜덤 문자열의 폴더가 숨김 속성으로 생성되고, 그 안에 확장자가 6자리 랜덤 문자열인 dll파일이 드랍된다. D드라이브가 존재하지 않을 경우엔 C:\에 생성한다.



 


[그림]드랍된 파일




이후 rundll32.exe를 실행시켜 드랍한 dll파일의 export함수 Dialer를 실행하고, 재부팅해도 이 과정이 실행되도록 레지스트리를 수정한다. 모든 악성동작은 드랍한 dll파일의 Dialer함수 안에 구현되며, 자동실행등록을 마친 실행파일은 자신을 삭제한 후 종료된다.

 



[그림]자동실행 설정된 레지스트리





2.2.2. Dialer 함수 상세분석

Dialer함수는 C:\경로에 wiseman.exe의 유무를 확인 후, 있다면 실행시킨다하지만 이 파일은 테스트 환경에서 드랍되거나 다운로드 되지 않기 때문에 실제 동작하지는 않는다여기서 wiseman.exe는 유명 애드웨어의 파일명으로 다른 KRBanker의 변종 중 이 파일을 드랍하고 실행하는 샘플이 존재도 한다.

 

 


[그림]wiseman.exe stov.exe 실행




이후 174.***.65.**2으로 접속을 시도한다. 이 주소로부터 전송 받은 데이터를 기반으로 C:\lang.ini파일을 기록하거나, 파일을 다운로드 하는 등의 동작을 수행하지만 현재 174.***.65.**2에 접속되지 않아 실제 데이터는 확인되지 않는다.


C:\lang.ini
에 기록하는 내용은 인증서파일 전송지 주소이다. 지금처럼 서버와 통신이 되지 않는 경우에는 전송지 주소를 기본 174.***.35.**3/u.php로 설정한다.


다운받는 새로운 모듈은
“5자리랜덤문자.mp3”로 저장하여 서비스나 프로세스를 생성하는데 사용된다. 특히 서비스 생성에 사용될 땐 레지스트리 …\CurrentControlSet\Services\RemoteAccess\RouterManagers\IP Dllpath의 값을 수정하는데, 정상적인 Dllpath의 값은 “%WIDDIR%\system32\iprtrmgr.dll”이다.
이 레지스트리는 “Routing and Remote Access” 서비스에 필요한 dll을 명시한 것으로, 정상 dllPC가 라우터 기능을 하는데 필요한 함수를 export하고 있다. 레지스트리 수정 후에는 동일 모듈을 사용해 랜덤한 31자리 문자열을 이름으로 서비스를 생성하는 루틴이 있다.



[그림]다운로드 및 서비스/프로세스 생성



[그림]서비스 생성의 경우



[그림]프로세스 생성의 경우




다운로더 및 인증서 탈취 동작 이후에는 hosts파일 변조를 수행한다. 특이사항으론 가상환경이 탐지되었을 루틴이 추가된다는 점이다.



샘플은 아래의 레지스트리를 확인하여 VMwareHostOpen.exe키의 존재로 가상 환경을 식별한다. HKCR\Applications\ 하위에는 해당 PC에서 실행되는 각종 실행파일명과 그 실행에 관련된 옵션들이 명시되어 있다. 따라서 이 레지스트리 하위에 가상환경에서 주로 사용되는 VMwareHostOpen.exe가 존재한다면 가상PC임을 식별할 수 있다.




 [HKCR\Applications\cmd.exe]

  [HKCR\Applications\access.exe]

[HKCR\Applications\VMwareHostOpen.exe]

[표]레지스트리 예시




가상 PC로 식별된다면 샘플은 다른 악성 주소 http://b***.s***.com.**/u/5*****98** 로 접속을 시도하고 위의 루틴과 마찬가지로 파일을 다운로드 해 서비스 혹은 프로세스로 실행시키는 추가동작을 수행한다.






[그림]가상PC에서의 추가동작






3. 결론


kaulj.exe는 인터넷뱅킹 파밍 이라는 수행한다는 점에서 KRBanker로 진단된 다른 샘플들과 큰 차이는 없으나 상세분석 결과 내부적으로 동작하지 않는 여러 악성 루틴이 존재하는 것으로 확인되었다. 이는 악성샘플들도 다른 프로그램들과 마찬가지로 계속 개발 및 기능추가가 되고 있고 새로 배포되는 악성샘플들은 언제라도 추가적인 악성동작을 수행할 가능성이 있음을 시사한다. 또한 40여개에 이르는 최초 경유사이트의 숫자에서 해커가 악성코드 배포에 더욱 공격적으로 임하고 있음을 알 수 있다.



현재 nProtect AVS에선 드랍퍼 kaulj.exe와 드랍된 dll파일도 진단하고 있다

 


 

[그림]진단 및 치료 가능

 

 

 

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
잉카인터넷 대응팀에서는 국외에서 유포된 수십만종 이상의 안드로이드 악성앱을 수집하여 대응 중에 있으며, 동시에 국내 이용자만을 특수하게 겨냥한 소액결제사기 목적의 안드로이드 기반 스마트폰 보안위협에 대한 원천차단 방지 기술을 이미 2012년에 확보한 상태이다.  잉카인터넷 대응팀은 이 기술을 적용한 스미싱(Smishing) 전용 차단솔루션을 개발완료하여 일반에 무료로 제공하며, 이를 통해 스미싱으로 인한 피해를 최소화할 수 있을 것으로 기대된다. 

기존에 국내에 공개되어 있는 일부 스미싱 탐지 제품들의 경우 최신 스미싱 문자를 정상적으로 탐지하지 못하거나, 스미싱이 아닌 일반적인 문자메시지를 포괄적으로 탐지하는 사례가 많아서 사용자 혼란과 오해가 발생할 가능성이 있다.

그러나 잉카인터넷 대응팀이 개발한 솔루션은 작년부터 최근까지 국내에서 자체 발견한 1,000종 이상의 국내 맞춤형 스미싱 형태를 실제 분석한 데이터를 기반으로 하고 있어, 기존에 알려져 있지 않았던 신종 스미싱 문자메시지까지도 자동으로 분석하고 탐지할 수 있도록 개발하였다
.

"뭐야 이 문자" 앱은 Google Play Store를 통해 앱을 다운로드를 할 수 있다.

◈ "뭐야 이 문자" 무료 다운로드 URL
https://play.google.com/store/apps/details?id=com.nprotect.antismishing


 

[주의]구글코드 사이트를 이용한 안드로이드 스미싱 사기형!
http://erteam.nprotect.com/411

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승
http://erteam.nprotect.com/409

[주의]11번가, 아웃백, 신세계몰, G마켓, 모빌리언스, 다날로 위장한 스미싱
http://erteam.nprotect.com/404

[주의]맥모닝 알람 리패키징 형식 악성앱 최초발견 피해우려
http://erteam.nprotect.com/402

[주의]동창회약도, 사진도착, 모바일 청첩장으로 위장한 악성앱 등장
http://erteam.nprotect.com/398

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377


하기 화면은 잉카인터넷 대응팀에서 실시간으로 수집 중인 실제 스미싱 문자메시지 화면과 분석자료이다.


특히, 최근들어 탐지를 우회하기 위한 목적으로 사용 중인 URL Obfuscation 기법과 Multi URL Shortener 등에 대한 분석기능까지 탑재하고 있어, 스미싱이 유도하는 악성앱에 대한 감염을 원천적으로 차단할 수 있다.




현재까지 국내에서 발견되고 있는 안드로이드 기반 스마트폰 보안위협은 대부분 문자메시지(SMS/MMS)를 통해 전파 중에 있다. 물론 구글 플레이 공식마켓이나 서드파티 마켓 등을 통한 악성앱 유포방식도 존재하지만, 국내에선 문자메시지(SMS)를 통한 감염 유도수법이 가장 널리 악용되고 있다.

※ 스미싱(Smishing) = 문자메시지(SMS) + 피싱(Phishing)

한국 맞춤형으로 발생하고 있는 대표적인 스미싱 사기유형은 다음과 같다.


잉카인터넷 대응팀에서 개발한 스미싱 차단방지 솔루션은 그동안 한국내에서 발생한 최신 악성앱과 자체 보유한 수십만종의 외산 악성앱 등 최상위 수준의 악성 데이터베이스(DB)를 기반으로 자체 분석기술 및 모바일 보안관제 능력 등이 종합적으로 활용되었다. 이는 안드로이드 악성앱의 단순 설치권한 등을 체크하는 방식이 아니기 때문에 유사패턴 오진의 위험성을 최소화하였고, 신변종 스미싱 탐지의 실효성을 증대시켰다.

기존 모바일 백신제품들은 알려진 국내외 악성앱을 탐지하도록 제작되어 있어 상대적으로 많은 리소스가 필요하지만, 이번에 개발된 스미싱 차단방지 솔루션은 국내에서 발견되고 있는 한국맞춤형 악성앱을 전문적으로 차단하도록 개발되었다. 특히, 실시간 감시의 부담을 최소화하는데 포커스를 맞춰 최대한 경량화하였고, 배터리 소모량과 리소스 점유에 대한 문제를 해소하여 스미싱 전용 보안솔루션으로서 이용자 편의성 및 보안성 증대에 크게 기여할 수 있을 것으로 예상된다.

더불어 그동안 발견된 악성앱의 악위적 행동코드를 종합하여, 악성 문자메시지가 유입되는 과정에서 스미싱 행위를 1차 판단하고, 유입 이전 시점에 사전차단이 가능하도록 설계하였다. 아울러 혹시라도 알려지지 않은 유사 공격수법이 등장할 경우를 대비해 악성 패턴 기반 기술로 새로운 악성앱도 신속하게 추가탐지할 수 있도록 입체적 대응기술도 적용하였다. 이러한 스미싱 원천차단방지 솔루션은 일반인들에게 전면 무상으로 배포하며, 안드로이드 스마트폰 이용자들의 보안수준을 한 단계 향상시켜주어 현재 사회적 문제로 가중되고 있는 소액결제사기범죄 및 모바일 디도스 등의 혼란을 최소화하는데 조금이나마 도움이 될 것으로 기대한다.

또한, 보안솔루션이라는 거부감을 최소화하고, 이용자들이 좀더 친근감을 느낄 수 있도록 인터페이스를 구성하였으며, 최신 보안정보를 실시간으로 확인해 볼 수 있도록 제작되었다. 아래 화면은 Splash Image 이다.


메인 화면은 문자메세지 사기감시와 악성앱 동작감시 기능 등으로 구성되어 있으며, 사용자가 손쉽게 ON/OFF 를 설정할 수 있다. 또한, 잉카인터넷 대응팀의 최신 보안 트랜드를 손쉽게 확인해 볼 수 있다.


프로그램이 작동된 이후에 악성 스미싱 문자메시지가 수신되면 다음과 같이 문자메시지 탐지화면과 [삭제·신고], [허용] 선택을 할 수 있다.


[삭제·신고] 버튼을 클릭하게 되면 수신된 악성문자 메시지를 삭제하며, 다음과 같이 잉카인터넷 대응팀(erteam@inca.co.kr)으로 해당 문자메시지를 간단하게 신고할 수 있고, 신고를 통해서 수집된 악성문자 메시지는 유관기관 등에 공유되어, 유포지 서버 차단 등의 목적으로 활용된다.


또한, 악성앱 동작감시 기능을 통해서 기존에 널리 알려져 있는 유사한 변종의 악성앱이 설치될 경우 다음과 같이 악성앱 발견 기능이 작동된다. 이를 통해서 문자메세지 외에 다양한 방식의 악성앱 설치 여부를 탐지하고 예방할 수 있다.


잉카인터넷 대응팀은 각종 모바일 보안위협을 철저하게 분석하고 대응해 나가고 있으며, 원천적으로 차단할 수 있는 제도적 보안시스템을 강화하고 있다.

더불어 문자메시지 뿐만 아니라 웹 사이트 등이나 앱 마켓 등을 통해서도 악성앱 변종이 꾸준히 발견되고 있기 때문에 이용자들은 nProtect Mobile for Android 제품을 이용해서 변종 악성앱에 대한 진단 및 치료가 가능하다.

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 보안 프로그램처럼 변장한 KRBanker


잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자를 겨냥한 피싱용 악성파일(KRBanker) 변종이 마치 안랩(ahnlab) 파일처럼 위장하여 전파 중인 사례를 몇 차례 발견하였다. 해당 악성파일은 종전과 동일하게 인터넷 뱅킹 이용자를 노려 사용자 컴퓨터의 호스트파일(hosts)을 변조하여 정상적인 금융 사이트로 접속을 시도하더라도 피싱 사이트로 연결되도록 하는 기능을 수행한다. 금번 발견된 악성파일의 주요 특징은 윈도우 임시폴더(Temp)에 "ahnlab.exe", "ahnlab.ini" 파일명으로 등록하여, 이용자로 하여금 육안상 정상적인 안랩 보안 모듈처럼 보이도록 사칭한 점이다. 이처럼 전자금융사기용 악성파일이 거의 매일 새로운 형태로 양산되고 있고, 불특정 다수의 국내 인터넷 이용자들에게 무차별적으로 배포되고 있다는 점을 명심하여, 소중한 금융정보와 자산이 안전하게 보호될 수 있도록 개인 보안강화에 힘써야 할 것으로 보인다.

또, 지금까지 발견된 대부분의 전자금융사기용 악성파일(KRBanker)들은 강제로 피싱 사이트로 접속시켜 개인금융 정보를 과도하게 입력하도록 유도하고, 보안카드의 모든 비밀번호를 입력하도록 요구】한다는 공통점을 필히 기억해 둔 다면 유사한 보안위협에 능동적으로 대처할 수 있을 것으로 보인다.



[주의]금융 보안프로그램으로 둔갑한 악성파일 출현
http://erteam.nprotect.com/379

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

2. 안랩 모듈로 가장한 악성파일 정보

발견된 유사 악성파일들은 모두 압축프로그램의 한 종류인 7-Zip SFX 형태로 제작되어, 실행시 자동압축해제 기능을 통해서 내부에 포함된 악성파일이 자동적으로 설치되도록 구성되어 있으며, 파일은 중국어 언어로 제작되어 있다.


실행 가능한 압축 파일 내부에는 "ahnlab.exe", "ahnlab.ini", "test.exe" 등의 악성파일이 포함되어 있고, 실행시 윈도우 임시폴더(Temp)에 압축을 해제하고 실행한다.



"ahnlab.exe", "ahnlab.ini" 파일은 사용자 컴퓨터에 존재하는 호스트파일(hosts)파일을 피싱 사이트로 변경하기 위한 기능을 수행하며, "ahnlab.ini" 파일에 포함된 피싱 사이트 IP주소를 이용하게 된다.


"test.exe" 파일이 실행되면 계정명 하위의 임시폴더(Temp)에 마치 시스템 파일처럼 보이도록 유사한 파일명으로 랜덤하게 생성되며, 실행된 직후 파일명을 "시스템 파일명 유사(가변적)_test.tgs" 파일명으로 변경한다. 또, "$$Windows$$.bat" 파일을 생성해서 배치파일을 통해서 스스로 삭제되도록 한다.



실제 프로세스는 실행파일 형태로 작동되지만, 로컬의 파일명이 변경되었기 때문에 분석을 방해하기 위한 목적 등으로 사용될 수 있고, 게임사이트로 위장한 사이트와 연결을 시도한다.


전자금융사기용 악성파일(KRBanker) 변종들이 국내 유명 보안 프로그램처럼 위장하거나 금융보안 프로그램처럼 사칭하여 이용자들에게 전파되는 사례가 속속 발견되고 있다. 전자금융 서비스 이용자들은 신뢰하기 어렵거나 평소와 다른 화면의 웹 사이트의 내용을 접하게 될 경우 유심히 관찰해 보고, 의심스러운 부분이 있다면 관계 금융기관이나 보안업체 등에 전문적인 상담을 받아보는 것이 필요하다.

최근의 전자금융 사기용 피싱사이트들은 나날이 진화되고 있고, 일반 사용자가 육안상 진위여부를 쉽게 가리기 어려울 정도로 정교화되고 있는 추세이다. 따라서 서비스 이용자들은 "피싱 사이트가 공통적으로 보안카드 비밀번호를 모두 입력하도록 유도"한다는 점을 명심하고 기억해 둘 필요가 있다. 또한, 최근에는 스마트 폰이나 태블릿PC 이용자들을 노린 스마트 뱅킹용 피싱 앱까지 등장하고 있어 그 어느때보다 전자금융 보안위협에 대한 적극적 대비가 필요하고, 한치의 소홀함도 없도록 좀더 많은 관심을 가져야 할 때이다.

3. 피싱 사이트 진위여부 판단 노하우


내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.


2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

■ 변화무쌍한 국내 인터넷 뱅킹 위협의 실체추적 : 잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 전문적으로 노리고 있는 이른바 KRBanker 악성파일들이 지속적으로 급증하고 있어 각별한 주의가 필요하다는 보안권고를 여러차례 공지하고 강조한 바 있다. 현재 이 시간에도 전자금융사기용 악성파일(KRBanker)은 변종이 꾸준히 발견되고 있고, 활개를 치고 있는 만큼 개인 금융 보안의식이 그 어느때보다 절실히 필요한 시기이다. 잉카인터넷 대응팀은 이에 대한 긴급조치로 국내 금융 보안위협에 대한 적신호를 자체 발령하고 보안 사각지대와 전자금융사기에 대한 상시 집중 모니터링을 수행하고 있다.

한국을 겨냥한 파이넨셜 악성파일 제작자들은 조직적으로 다수가 운영되고 있는 것으로 추정되며, 변신의 귀재인 카멜레온 마냥 변종들을 끊임없이 양산하여 유포시키고 있다. 2012년 6월 경 국내 언론사를 통해서 『중국 현지에서는 국내 인터넷 뱅킹용 피싱사이트를 전문적으로 제작해서 공급하는 범죄조직이 존재』한다는 취재내용이 보도된 바 있었고, IP주소를 추적해 본 결과 중국 지린성에서 활동하고 있는 것으로 밝혀진 바 있다. 또한, 약 200만원의 비용만 지불하면 누구나 쉽게 피싱사이트를 쉽게 구매할 수 있고, 인터넷에 이와 관련된 홍보성 광고글이 암암리에 게재되고 있기도 하다.

한국인터넷진흥원(KISA)에 따르면 국내 기관을 사칭한 피싱사이트 발견건수가 2006년부터 2010년까지는 총 20건에 불과했지만, 2011년 1,849건으로 증가했고, 2012년 1분기에만 1,218건으로 급증하는 등 폭발적인 증가세를 보이고 있다. 이런 증가추세의 배후에는 전문적인 피싱사이트 제작업자들이 연관되어 있을 가능성이 매우 높다. 이런 근본적인 환경적 연결고리를 제거하지 못한다면 2013년에도 피싱사이트와 악성파일은 수치적 증가와 더불어 기술적 진화가 가속화될 것으로 전망되고 우려된다.

■ 전자금융자산의 최종방어선 보안카드를 숨겨라 : 보안카드는 그 이름처럼 보안이 주된 역할이다. 자신의 전자 금융예금을 안전하게 보호하기 위해서 보안카드는 예금 이체와 인출 등의 주요 승인절차에 활용된다. 그 만큼 보안카드는 말 그대로 보안이 철저하게 중시되어야 한다. 정상 금융권에서는 어떠한 경우에도 보안카드의 전체 비밀번호를 한꺼번에 요구하지 않는다. 만약 전자금융 서비스 이용자가 금융 피싱 사이트에 현혹되어 보안카드의 전체번호를 모두 입력했다면, 그 순간 물리적 보안카드는 유명무실한 비보안카드로 한순간에 전락하게 된다.

지금 이 시간에도 KRBanker 악성파일과 스마트폰 SMS 등 다양한 매개체를 통한 전자금융 피싱시도는 현재 진행형이다. 전자금융사기 범죄조직들은 피싱사이트를 활용해 보안카드의 전체 비밀번호를 확보하기 위해 끊임없이 불법적 해킹과 피싱시도를 진행하고 있다. 이용자들이 느끼기에 진짜보다 더 진짜에 가깝게 보이도록 정교하게 피싱사이트를 제작해서 금융서비스 이용자들을 유혹하는 경우가 급증하고 있고, 실제 피해사례도 속속 보고되고 있다는 점을 명심하고 또 명심해야 한다. 한순간의 보안불감증이 돌이킬 수 없는 금전적 피해로 이어질 수 있다는 점 절대 잊어서는 안될 것이다.

근래 변화하는 전자금융사기형태를 보면 악성파일(KRBanker)을 통한 피싱사이트 연결이 대표적이라 할 수 있다. 피싱사이트는 이용자의 심리를 이용해 주요 개인 금융정보 편취와 공인인증서(NPKI)탈취 등을 손쉽게 수행한다. 보통은 【보안승급서비스】【보안강화서비스】【전자금융사기 예방서비스】【금융자산 예방서비스】등의 문구로 사용자를 현혹하고 유인한다. 보통 과거에는 해킹용 원격제어 프로그램을 감염시켜 사용자가 편의상 스캔하여 보관해 둔 보안카드 전체 이미지를 훔쳐내는 수법을 이용하는 경우가 있었다. 반면 최근에는 피싱사이트를 통해서 사용자 스스로 보안카드의 전체 비밀번호를 입력하도록 유혹한다는 점에서 이용자 스스로의 보안의식이 정말로 중요한 시점이다.

■ 제안! 금융 보안위협 스마트하게 합동 방어하자 : 일명 금융전화사기라는 용어로 널리 알려져 있는 이른바 보이스피싱은 과거 많은 피해자가 속출하면서 사회적인 문제로 여러차례 대두된 바 있다. 그에 따라 공중파 등 다양한 매체를 통해 피해 주의보가 거듭 발령된 바 있다. 금융권에서도 적극적인 사전 홍보와 실제 피해사례를 통한 예방법 안내 등 다각적인 노력을 통하여 전국민 모두가 보이스피싱의 수법을 인지하고 자각하여 스스로 예방할 수 있게 하는 시스템적 효과를 거두었다. 특히, ATM 기기 등에서 전화통화를 하면서 계좌이체 등을 진행할 경우 각별한 주의가 필요할 수 있도록 음성과 문구 등을 서비스 절차에 포함시켜 보이스피싱의 피해를 예방하고 최소화할 수 있도록 체계를 개편하였다.

전화금융사기(보이스피싱)처럼 많은 사용자가 전자금융사기 수법도 스스로 인지하고 예방할 수 있다면 그 만큼 이상적일 수는 없을 것이다. 그러나 전자금융사기 범죄조직들도 점차 지능화되고 있다는 점을 절대 잊어서는 안된다. 개인금융 정보 뿐만 아니라 보안카드의 전체 비밀번호가 완벽하게 보호된다면 자신의 소중한 금융자산이 불법적으로 외부로 유출되는 대형 금융사고는 미연에 예방할 수 있다. 개인별 보안의식도 중요하지만, 서비스적인 보안시스템도 필요하다. 만약 가능하다면 국내 각 금융사에서 새로 발급되는 보안카드 전면에 인터넷 뱅킹 이용시 보안카드의 모든 비밀번호를 절대 입력하지 않도록 특별한 권고 및 주의안내 문구를 식별하기 좋은 방식으로 디자인하고 삽입하는 것도 한가지 좋은 방법이 되지 않을까 제안해 본다.
@잉카인터넷 대응팀장 문종현

[참고자료]

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요

 

 잉카인터넷 대응팀은 최근 해외 웹 사이트에서 다량의 안드로이드 악성 애플리케이션이 제작되고 서버에 업로드 되어 있는 정황을 포착하였다. 해당 사이트에 업로드 되어 있는 안드로이드 애플리케이션들은 모두 동일한 재패키징 형태의 악성 애플리케이션이며, 이미 잉카인터넷에서는 모든 악성 애플리케이션에 대한 진단/치료 기능을 제공하고 있다. 업로드 되어 있는 악성 애플리케이션들은 대부분 채팅형 애플리케이션이거나 잘 알려진 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 감염될 수 있는 위험이 있다.

물론, 해당 애플리케이션은 러시아에서 제작되고 그 대상도 러시아 사용자들을 주 타겟으로 하고 있어 국내에서의 감염 피해는 크지 않을 것으로 판단된다.

다만, 최근 국내에서도 안드로이드 악성 애플리케이션이 정식 마켓을 통해 유포가 이루어지는 등 향후 보안 위협성이 상당히 큰만큼 사용자들은 안드로이드 애플리케이션의 다운로드 및 설치에 각별한 주의를 기울여야할 것으로 보인다.

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

2. 유포 경로 및 악성 애플리케이션 정보

아래의 그림은 현재 특정 해외 사이트에 대량으로 안드로이드 악성 애플리케이션이 업로드된 상태를 보여주고 있다.

 

해당 사이트의 하위경로에 모두 위와 같은 악성 애플리케이션들이 업로드되어 있으며, 손쉽게 코드상으로 해당 애플리케이션에 대한 추가적인 다운로드 및 설치를 유도할 수 있다. 업로드된 해당 악성 애플리케이션들은 모두 아래와 같은 패키지 코드가 동일하게 추가되어 있다.

추가적으로 등록된 위와 같은 패키지는 해당 악성 애플리케이션들이 실행됨과 동시에 특정 번호로 사용자 몰래 SMS 무단 발송을 시도하게 된다. 아래의 코드는 내부에 포함된 XML파일에서 SMS를 수신할 번호와 내용을 추출하여 무단 발송 시도하는 코드를 보여주고 있다.

또한, 업로드되어 있는 악성 애플리케이션들은 모두 재패키징된 형태의 악성 애플리케이션으로 실행화면이 아래의 그림과 같이 대부분 유사한 것이 특징이다.(유명 스마트폰 게임 등의 아이콘으로 위장한 경우도 있다.)

 


3. 마무리

이러한 재패키징 형태의 악성 애플리케이션들은 누구나 손쉽게 만들 수 있고 다량 제작도 가능하다. 또한, 정상적인 애플리케이션을 수정하여 재배포도 가능하기 때문에 상당히 보안상 취약할 수 있다. 문제는 현재 해외를 중심으로 이러한 재패키징 형태의 악성 애플리케이션이 무분별하게 제작되어 유포되거나 유포를 앞두고 있다는 것이다.

안드로이드 애플리케이션의 경우 다운로드시 일반 사용자들은 공식적인 구글 마켓을 이용할 수도 있고, 비공식적인 서드파티 마켓을 이용할 수도 있기 때문에 이러한 형태의 악성 애플리케이션이 국내에 유입되거나 제작이 이루어질 경우 감염 범위는 걷잡을 수 없이 늘어날 수 있을 것이다.

현재로서는 이러한 악성 애플리케이션들의 다운로드 차단 등의 수단은 한계가 있을 수 있다. 때문에 다양한 보안 위협으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.
 



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


잉카인터넷 대응팀은 도움말 파일(HLP)의 취약점을 이용하여 악성파일이 해외에서 전파 중인 것을 발견하였다. 보통 이메일을 통한 전파에 자주 사용되는 실행파일(EXE, SCR)이나 문서파일(HWP, DOC, PPT, XLS, PDF)의 취약점이 아닌 도움말 파일(HLP)의 취약점을 이용하는 보기 드문 형태이다. 특정한 표적 공격이나 지능적이고 고도화된 위협에 빈번히 이용되는 악성파일 전파수법이 바로 이메일 첨부파일을 통한 악성파일 유포라는 점을 잊어서는 안된다. 특히,  지능적 공격자들은 알려져 있지 않은 취약점(Zero-Day Exploit) 등을 이용하거나 심리적으로 무심코 열어보기 쉽도록 구성한 이메일을 발송한다는 점에서 이메일 첨부파일을 열어볼 때는 항상 의심하고 예의주시할 필요가 있다.
  

유명 웹 사이트를 불법적으로 침입하여 대표적으로 Microsoft OS/Application, Flash Player, JAVA 취약점 등을 이용하여 불특정 다수를 감염 대상으로 삼는 전방위 유포 방식과 더불어 특정 인물만을 타깃 목표로 한 후 은닉화하고 지능화시킨 악성파일 감염 유도기법의 추세가 "공격자와 감염대상자 간에 1:1 방식의 고도화된 심리전 양상을 띄고 있다"는 점을 명심해야 한다.

새해 연하장 내용으로 유혹하는 악성파일 유의
http://erteam.nprotect.com/232

김정일 여동생 김경희 사진으로 가장한 악성파일 발견
http://erteam.nprotect.com/230

한글(HWP) 취약점을 이용한 악성파일 지속 등장
http://erteam.nprotect.com/216


2. 도움말 파일(HLP) 취약점 악용 사례


해당 이메일은 2011년 12월 29일에 해외의 특정 사용자에게 이메일로 발송된 것으로 발견되었으며, 수신자로 하여금 첨부파일을 열어보도록 유도시키고 있다.


이메일에 첨부되어 있는 "Call for Application at fundation.rar" 압축파일을 다운로드하여, 압축을 해제하면 "Call for Applications at fundation.hlp" 라는 도움말 파일이 포함되어 있다.


첨부파일을 실행하면 Windows 도움말 화면이 보여지면서 알 수 없는 문자열과 중국의 재스민 혁명과 관련된 도메인(http://www.molihua.org) 등이 포함되어 있는 문구들이 보여진다.


도움말 파일의 코드에는 WScript.Shell 명령수행을 통하여 내부에 7번행 부터 포함되어 있는 Visual Basic Script 코드의 함수를 별도의 파일(A.VBS)로 생성시키고, 실행하도록 만들어져 있다. 따라서 위의 도움말 화면이 보여지는 순간 사용자 몰래 컴퓨터에는 악성 스크립트 코드가 감염된다.

생성된 A.VBS 악성파일이 실행되면 C:\ 경로에 실제 숙주 악성파일 역할을 수행하는 setup.exe 파일이 생성되고 실행되며, 다시 Application Data 폴더에 360 이라는 새로운 폴더를 생성한 후 "Live360.exe" 파일명의 최종 악성파일을 설치하는 동작을 진행하며, A.VBS 나 setup.exe 파일은 감염 흔적 및 추적 등을 방해하기 위해서 삭제 처리한다.

Live360.exe 파일은 Microsoft 사의 Word 문서파일처럼 아이콘을 위장하고 있으며, 실행되면 winlogon.exe 파일을 통해서 중국 상하이의 특정 호스트로 접속을 하고 Command and Control(C&C) 명령을 수행한다.

잉카인터넷 대응팀에서 분석하는 시점에 악성파일은 호스트에서 공격자의 특정 명령을 받아 PASS.exe 파일을 추가로 감염시켜 사용자의 컴퓨터에 캐쉬형태로 저장되어 있는 이메일 계정 등을 유출 시도하는 것을 목격하였다.

저장되는 암호는 C:\Windows\System 폴더에 xhyj.htm 파일에 기록되며, Resource, Type, Account, Password 등을 수집하여 외부로 유출을 시도하며, 공격자의 C&C 명령 수행에 따라서 다양한 악성파일에 노출될 위험이 있다.

3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 도움말 파일(HLP)이 첨부된 이메일을 수신할 경우 무심코 실행하지 않도록 하며, 그외 다양한 보안 취약점을 통해서 유사 악성파일을 전파시킬 수 있으므로 최신 보안 패치를 설치하는 것도 중요하다. 별도로 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일의 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 해외를 중심으로 파일들에 대한 암호화 등 다양한 기법을 통해 사용자의 PC를 담보로 금전적 이득 등을 목적으로 하는 악성파일이 지속적으로 유포되고 있다. 블로그를 통해 몇 차례 소개하였던 이 악성파일은 랜섬웨어(Ransomware)라 불리며, 사회공학 기법을 악용해 마치 Internet Explorer 등의 웹 브라우저 업데이트와 관련한 파일로 위장된 변종이 발견되면서 사용자들의 각별한 주의가 요구되고 있다.

  

금품요구 목적의 새로운 Ransomware 출현!
http://erteam.nprotect.com/84

Ransomware의 위협과 대응방안
http://erteam.nprotect.com/87

Ransomware 변종의 지속적인 출현과 예방 조치 방법
http://erteam.nprotect.com/112

퀵타임 플레이어(QuickTime Player)관련 아이콘으로 위장한 Ransomware 발견
http://erteam.nprotect.com/121

  

2. 감염 경로 및 증상


Ransomware들은 주로 취약점이 존재하는 웹 사이트를 해킹하여 해당 악성파일을 업로드 후 사용자들에게 다운로드를 유도하는 등의 방식을 통해 유포될 수 있으며, 이메일의 첨부 파일이나 인스턴트 메신저, 혹은 SNS(Social Network Service) 등의 링크접속을 통해서도 유포될 수 있다.

해당 악성파일이 유포되는 사이트에 접근할 경우 아래의 그림과 같이 "공격 사이트 보고" 화면을 보여주게 된다.


위 그림에서 "Internet Explorer에 대한 업데이트를 설치" 버튼을 클릭할 경우 아래와 같은 Ransomware 악성파일을 다운로드 하게 된다. 

※ Internet Explorer 웹 브라우저 사용자의 경우 : "Internet-Explorer_update.exe" 파일 다운로드
   구글 크롬 웹 브라우저 사용자의 경우 : "chrome_update.exe" 파일 다운로드

또한, 해당 악성파일에 감염되면 아래와 같이 추가적인 파일을 생성하며, 예약작업을 걸어두어 설정된 시간 동안 해당 악성파일이 지속적으로 동작 하게된다.

※ 생성파일

  - (윈도우 폴더)\Tasks\(10~11자리 임의의 영문자).job


※ (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다.

일정시간 후 또는, PC를 재부팅할 경우 아래와 같은 화면을 보여주며, 정상적인 PC사용을 방해한다. 해당 본문 내용은 경찰에서 공지하는 것과 같이 위장되어 있으며, 음란물이나, 허가 받지 않은 소프트웨어 등의 다운로드에 따른 허위 경고 문구를 담고 있다.


본문 내용을 잘 살펴보면 문맥이 어색한 부분(당신은 사이버 범죄를 저지렸습니다!, 물적 증거는 이갰습니다. 등)을 쉽게 발견할 수 있다. 마치 각종 번역기를 통해 번역된 내용을 그대로 옮겨 놓은듯한 내용을 담고 있으며, 아래의 그림과 같이 본문 내용에 대한 다국어 지원을 통해 다양한 국가에서 피해를 유발할 수 있다.


"후표제" 버튼을 클릭할 경우 아래의 그림과 같이 정상적인 PC 사용을 위해 3개의 전화번호를 통한 전화 유도를 하고 있으며, 0.3$를 요구하고 있다. 이는 아주 전형적인 Ransomware의 최종 감염 증상이다.


추가적으로 아래의 그림과 같이 다양하게 파일명이 바뀌어 유포중에 있으며, 모두 정상 웹 브라우저 등의 업데이트 모듈 등으로 위장하고 있다.


3. 예방 조치 방법

이러한 Ransomware는 사용자 PC의 데이터 손실, 금전적 손해 등의 직접적인 피해를 입힐 수 있다. 또한, 악성파일의 감염 특징상 사후조치가 어려우며 지속적인 변종 출현이 예상된다. 때문에 사전 예방 조치가 반드시 선행되어야 하며, 아래와 같은 보안 관리 수칙을 준수해 해당 악성파일로부터 안전할 수 있게 대비하도록 하자.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화 한다.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 인스턴트 메신저, SNS(Social Network Service) 등을 통한 링크 접속에 주의를 기울인다.

4. 발신처가 불분명한 이메일에 대한 열람과 첨부 파일의 다운로드를 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2009년 07월 07일 화요일 오후 6시경을 기점으로 청와대, 국방부, 국회 등 국내외 주요 국가기관 및 금융기관 등이 블록버스터급의 분산서비스거부(DDoS) 공격을 받고 연쇄적으로 접속 불통이 되는 초유의 인터넷 대란 사태가 시작됐다.

지난 15년간 악성코드와 관련된 일을 하면서 처음으로 경험한 대규모 사이버 위협의 신호탄이었던 것으로 기억이 생생하다. 7.7 DDoS 대란 1주기를 즈음하여 그 어느 때보다 신중하고 지혜로운 모습이 필요한 때일 것이며, 잊을 수 없었던 1년 전 과거로의 시간 여행을 떠나보고자 한다.

● 평온했던 월요일 대응 근무.. 그것은 사전 예고에 불과했다.

2009년 07월 06일 월요일 여느때와 마찬가지로 월요일은 여러가지 보안 이슈가 참 많았고, 바쁘게 하루 업무를 진행하고 있었다.

시계 초침이 오후 6시를 넘어 한참 퇴근 준비를 하고 있던 바로 그때 였다. nProtect 제품 고객사로 부터 일부 컴퓨터가 과도한 트래픽을 발생하고 있으니, 원격 접속으로 악성코드 존재 유무를 점검해 달라는 요청이 급박하게 접수되었다.

원격 접속을 통해서 해당 컴퓨터를 확인해 본 결과, 특정 파일이 미국 아마존 닷컴(Amazon.com) 사이트를 대상으로 서비스거부(DoS) 공격을 하는 것으로 분석되었다.

이전에도 이러한 형태의 악성코드는 지속적으로 목격되고 있었기 때문에 수동으로 해당 컴퓨터를 조치하고, 악성코드 샘플을 채취하여 업데이트에 추가할 수 있도록 처리를 완료 한 후 퇴근을 하였다.

● 긴박했던 7.7 DDoS 대란의 시작 절묘하게 조짐이 달랐다.

2009년 07일 07일 화요일, 전날 야간 근무로 인한 피로감이 조금 남았지만 당일 근무기간 중에는 특별한 이상 징후가 포착되지 않았고, 평상시와 같이 일반적인 보안 관제 및 대응 업무가 진행되었다. 

퇴근 후 이제 갓 2살이 되어가는 아들과 평온하고 즐거운 저녁 시간을 보내고, 잠들기 전 잠시 컴퓨터 앞에 앉았다. 특이 상황 여부를 파악하기 위해서 주요 보안 이슈 등을 모니터링하던 중 포털 등 몇몇 사이트의 접속 장애가 발생하고 있다는 정황을 포착하였다.

처음에는 장애가 발생하고 있는 사이트들의 일상적인 유지보수 정도라고 생각했지만 지속적으로 발견되는 접속 마비 장애에 이상 징후를 감지하고 새벽 5시경 부리나케 회사에 긴급 출근을 한다. 잉카인터넷(INCA Internet) 대응팀에 입사한 이후 처음으로 새벽에 출근을 감행(?)한 첫 날로 생생하게 기억이 난다.

● 강도높고 피말린 DDoS 공격, 일사분란하게 대응에 착수

2009년 07월 08일 수요일 새벽 5시 자가용을 몰아 적막한 어둠을 뚫고 숨가쁘게 회사에 도착하자마자 DDoS 상황 추이를 파악해 보았고, 그 결과 징후가 심상치 않음을 본능적으로 직감했다.

곧바로 사내 시큐리티 대응시스템에 예사롭지 않은 비상 상황을 전파함과 동시에 대응팀 전원에게 긴급 소집 지시를 내렸다.

이렇게 하여 일명 "7.7 DDoS 대란"이라고 불려지는 3박 4일간의 짧고도 길었던 잉카인터넷의 전사적 긴급 대응체계가 돌입하게 되었고, 많은 연구원들이 철야근무에 새우잠을 자면서 고군분투를 하게된다. 

하나씩 하나씩 계속해서 악성코드 변종들이 수집되고 분석되어지면서 07월 05일 고객사에 의해서 기접수되었던 파일이 7.7 DDoS 악성코드 파일 중 하나였고, 아마존 닷컴에 대한 DoS 공격이 7.7 DDoS 공격의 첫번 째 목격이었던 것을 알게 되는 순간 이미 예견되었던 지능적인 공격이었다는 점에서 "아차" 하는 마음을 한동안 떨칠 수가 없었다.

보통 7.7 DDoS 공격이라고 말하면 대부분이 2009년 07월 07일에 시작된 내용만으로 알기 쉽지만 실제로 작년 7.7 DDoS 공격자는 미국의 독립기념일(Independence Day)이었던 2009년 07월 04일(2009/07/04 02:50:16 UTC)을 타겟으로 공격을 감행한 것을 파악할 수 있으며, 한참 이전부터 치밀하게 수립된 계획으로 다양한 변종 악성코드를 전방위적으로 유포했다는 것을 알 수 있다.

7.7 DDoS 공격에 사용되었던 악성코드는 Independence 라는 Spam 성 이메일을 발송하기도 하고, Memory of the Independence Day 라는 문자열로 물리적 데이터(MBR)를 파괴 시도하였다는 점도 미국의 독립기념일과의 연계성을 증명해 주는 중요한 단서로 지목하는 부분이기도 하다. 다만, 한국 사이트에 대한 공격이 2009년 07월 07일부터 시작되었기 때문에 일반적으로 "7.7 DDoS 대란"이라는 용어를 사용하고 있는 것이다.

잉카인터넷은 금융권 및 게임회사 등에 특화화되어 서비스되고 있는 nProtect Anti-Virus 기능을 통해서 실시간으로 접속되는 다수의 사용자들에게 무료로 악성코드를 진단하고 치료해 줄 수 있도록 하여 악성코드 치료율을 높이는데 주안점을 두고 긴급 대응을 펼쳐 효과적인 대국민 보안 서비스를 제공하기도 하였다.

● 3박 4일간의 눈코 뜰새 없던 대응의 끄트머리 

2009년 07월 11일 토요일, 나흘간 쉴 새 없이 숨막히게 진행된 7.7 DDoS 공격은 어느정도 소강상태에 접어들었고, 전사적 비상대응체계도 조금씩 부분 하향 조정되었다.

이번 사태를 겪으면서 악성코드에 감염된 컴퓨터들(Zombie PC / Bot Net)이 악의적인 의도를 가진 사람들에 의해서 고의적으로 조정(C&C)이 될 경우 국가적으로 얼마나 큰 피해가 발생할 수 있는지를 여실히 보여준 중요한 사례라 할 수 있을 것이고, 가상 시나리오만으로 시사되었던 사이버 테러에 대한 잠재적 보안 위협이 어느 정도 현실화 되었다는 점도 매우 중요한 부분일 것이다.

사명감을 가진 전문 보안 인력들이 똘똘뭉쳐 모두 하나가 되어 신속한 대응을 이뤄내고 국가안보에 조금이나마 도움이 되었다는 뿌듯한 보람과 자긍심을 느끼는 좋은 기회가 되기도 하였고, 사이버 테러에 대한 경각심이 고취되었던 반면에 IT 강국인 대한민국의 허술한 보안 허점을 보여준 안타까운 현실을 뼈저리게 알게 된 계기가 되었던 것도 잊어서는 안될 것이다.

● DDoS 공격 위협 대응을 위한 3박자 갖추기

수 많은 보안 공격은 우리가 잠든 시간에도 끊임없이 시도되고 있기 때문에 좀더 효과적으로 대응하기 위해서는 다양한 노력이 절실히 필요하다. 그중에서도 개인 컴퓨터 사용자들은 악성코드에 감염되는 Zombie PC 로 전락하지 않도록 보안의식에 대한 좀더 많은 주의를 기울인다면, 7.7 DDoS 와 같은 보안불감증 피해는 사전에 충분히 예방할 수 있을 것이다.

1. 운영체제는 항시 최신 서비스 팩과 보안 패치 버전이 유지되도록 하며, MS오피스, 인터넷 익스플로러, Flash Player, Adobe Reader 등 주요 응용 프로그램들은 항상 최신 버전으로 업데이트하여 사용한다.

2. 신뢰할 수 있는 보안업체의 ▲개인용 보안 제품(Firewall, Anti-Virus)을 반드시 설치하며, ▲지속적인 최신 업데이트 유지와 실시간 감시 활성화, ▲정기적 검사 수행 등을 통해서 보안 위협 요소를 제거하고, 허용되지 않는 외부 명령을 차단하도록 한다.

3. 각종 보안 정보에 관심을 기울여 각종 Zero-Day Attack 이나 최신 보안 이슈를 통해서 신속하고 적절한 보안 대책을 강구하여 안전한 시스템을 구축하도록 한다.



신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect