1. 전자금융 메모리 해킹 조직, 탐지회피 목적의 변칙공격

잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다.

물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작하였다.

해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다.

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증
☞ http://erteam.nprotect.com/461


[주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포
http://erteam.nprotect.com/460


[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
http://erteam.nprotect.com/437


[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명

☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


애드웨어를 통한 유포방식은 Drive By Download 기법의 보안관제를 우회하기가 좋고, 보안취약점이 존재하지 않아도 된다는 장점 때문에 메모리 해킹 조직이 수 개월 이상 집중공격에 이용하고 있고, 매우 다양한 애드웨어가 악용되고 있는 실정이다.

악성파일 유포에 악용된 대표적인 국내 애드웨어 이름은 다음과 같이 매우 다양하고, 아래 공개한 서버 이외에도 다수가 발견되고 있는 실정이다.

무심코 설치하여 방치하고 있던 애드웨어의 업데이트와 설치 등에 의해서 메모리 해킹 기능의 전자금융사기 공격에 광범위하게 노출되고 있어 그 심각성이 더해가고 있다. (알파벳 순서)

addendam
addendov
adgod
batangicon
enumstates
everlive
filepop
liveicon
milkcon 
openkeyword
openmatch (adgod)
openpotservice
popscan
qcounter
search-lines
smart-manager
smarttip
smartw
syndiapi
vaccineclinic
windoguide
wingsearch
기타등등


2. 유틸리티 서버를 겨냥한 결합형 해킹시도 징후포착 

이런 가운데 2014년 01월 10일과 11일에는 동영상 재생 프로그램인 초코플레이어 웹 사이트를 통해 메모리 해킹 기법의 악성파일 유포에 악용된 정황도 포착되었다. 현재는 악성파일이 서버에서 모두 제거된 상태이다.

[1월 10일]
http://www.chocoplayer.com/board/data/php/lg1.exe 

[1월 11일]
http://www.chocoplayer.com/board/data/php/lg.exe

잉카인터넷 대응팀은 국내 애드웨어 서버를 통해 은밀하게 메모리 해킹용 악성파일을 유포하던 조직들이 유명 유틸리티 프로그램의 서버들도 노리고 있다는 것을 예의주시하고 있다.

이들은 이미 과거에도 안카메라 서버를 해킹해 온라인 게임 계정탈취 기능의 악성파일을 배포된 바 있다. 아래는 2013년 03월 23일 안카메라 사이트에 올려진 사과 공지문이다.

http://www.ancamera.co.kr/home/view.html?num=ch8fGA==&cate1=LkZdQR0l



이처럼 메모리 해킹 기능의 악성파일을 제작 유포하고 있는 조직은 매우 조직적으로 국내 웹 서버를 해킹해서 정상파일을 악성파일로 교체하는 지능화된 공격기법을 활용하고 있다.

따라서 이용자들은 우선적으로 감염되어 있는 애드웨어 치료를 적극적으로 수행하여야 하며, 개인 블로그나 커뮤니티 등에서는 프로그램 다운로드를 자제하고, 반드시 신뢰할 수 있는 유명 공식사이트를 이용하는 것을 명심해야 한다. 더불어 이와 유사한 악성파일들은 esetenp.dll, kakubi.dll, kakune.dll, kakutk.dll, verslon.dll, versxon.dll, godlion.dll, kerogod.dll 등의 파일명으로 생성되고 있고, 계속해서 변종이 제작되고 있다. 

가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다. 


3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 


2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 국산 Adware 프로그램 변조를 통한 인터넷 뱅킹 공격 시도

2013년 12월 23일 잉카인터넷 대응팀은 국내에 지속적으로 유포 중인 변칙적 광고프로그램(Adware)을 조작한 후 메모리 해킹용 인터넷 뱅킹 악성파일(KRBanker) 변종을 몰래 유포시키고 있는 정황을 포착하였다. 이 수법은 전자금융사기 범죄자들이 보안업체의 관제 및 탐지를 우회하기 위해서 애드웨어 모듈까지 은밀히 변조하여 사용하고 있는 지능적 공격방식이다.

잉카인터넷 대응팀은 지난 2013년 07월 경에도 이와 관련된 정보를 최초 공개한 바 있으며, 2013년 12월에 동일 방식의 메모리 해킹 기능의 인터넷 뱅킹용 악성파일(KRBanker) 변종이 다수 전파되고 있는 사실을 확인했다.

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
☞ http://erteam.nprotect.com/437

2. 인터넷 뱅킹 악성파일을 품은 애드웨어

우선 악성파일 유포자들은 각종 애드웨어들의 유포 통로를 통해서 은밀하고 조용하게 고도화된 전자금융사기용 악성파일을 배포하는 창구로 악용하고 있다. 국내에 유포 중인 대부분의 변칙 광고프로그램들은 마치 정상적인 다운로드 프로그램이나 런처 등으로 위장하여 이용자들을 현혹시키고 있고 무수히 많은 변종들이 양산되고 있는 추세이다.

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319

[뉴스]애드웨어로 전파된 신종 메모리 해킹 일당 검거 (SBS 8시뉴스)
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1002198339


한 예로 이용자들이 유명 포털 검색 사이트를 통해서 특정 프로그램을 검색하면 공식 사이트가 아닌 개인 블로그나 인터넷 카페 등에 등록되어 있는 비정상적인 다운로드 프로그램을 안내하고, 제휴프로그램이라는 명목으로 이용자 몰래 다수의 애드웨어를 설치하도록 유도하고 있다. 대부분의 변칙 광고프로그램은 이용자들에게 실제 설치되는 화면을 보여주지 않고 몰래 설치하기 때문에 그 과정을 인지하기 어렵다.  

 
상기와 같이 검색결과를 통해서 접속한 특정 블로그에 마치 정상적인 APK 파일처럼 위장한 다운로드 링크가 존재하지만, 실제로 클릭을 하게 되면 실행형(EXE) 프로그램이 다운로드되어 이용자의 실행을 유도하고, 교묘하게 숨겨져 있는 추가 다운로드 프로그램을 통해서 다수의 애드웨어들이 몰래 설치되도록 하는 방식이다.


이렇게 전파 중인 애드웨어도 사회적인 문제이지만, 사이버 범죄자들이 이런 광고프로그램의 모듈을 추가 변조하여 인터넷 뱅킹용 악성파일 전파에 남용하고 있는 상황이고, 애드웨어 업체들에 대한 법률적 규제사항이 부족해 무분별한 유포로 이어지고 있는 실정이다.

이에 잉카인터넷 대응팀은 비정상적인 유포방식에 대한 자체 기준안을 통해 이용자들의 불편을 최소화하는데 초점을 맞추고, 악성파일 유포 경유지로 악용되는 사례 공개와 이용자 관점에서 탐지 및 치료패턴을 지속적으로 추가하고 있다. 



국산 애드웨어처럼 위장한 인터넷 뱅킹용 악성파일은 2013년 12월 23일 경 다수의 변종이 제작되었으며, 파일 섹션명을 동일하게 사용하는 특징도 존재한다.

[##_http://erteam.nprotect.com/script/powerEditor/pages/1C%7Ccfile9.uf@2343B24D52C601940CADE4.png%7Cwidth=%22553%22%20height=%22241%22%20alt=%22%22%20filename=%2205-w.png%22%20filemime=%22image/jpeg%22%7C_##]
상기에 공개한 특정 애드웨어 외에도 다른 업체의 애드웨어도 동일 범죄조직에 의해서 인터넷 뱅킹 악성파일 변종유포에 이용한 사례가 다양하게 존재한다. 아래의 경우는 국내 허위 보안제품이 조작되어 메모리 해킹용 악성파일이 유포된 종류이다.

 

애드웨어 프로그램으로 위장한 악성파일이 실행되면 아래와 같이 국내 온라인 게임 계정 및 인터넷 뱅킹용 악성파일 등이 다양하게 설치하며, 원래 실행됐던 악성파일은 본래의 애드웨어 프로그램으로 정상 교체하여 자신의 노출을 최대한 숨길려고 한다.


설치된 "kakutk.dll" 악성파일은 국내 금융사이트를 대상으로 메모리 해킹 및 금융정보 탈취 기능을 수행하며, 변종이 꾸준히 발견되고 있다.



이번 메모리 해킹 변조용 인터넷 뱅킹 악성파일은 기존 금융보안 모듈 변조 대상에서 일부 모듈이 추가되었고, 대상 금융사이트도 추가되었다.


또한, 보안카드 입력 오류처럼 위장하는 수법도 추가되었다.




3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

 
2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


  

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect