1. 국산 애드웨어 유통서버를 통한 악성파일 전파 패러다임의 변화

잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 은밀하게 위변조하여 온라인 게임계정 탈취와 메모리 해킹 등의 전자금융사기용 악성파일을 배포되고 있는 정황을 여러차례 공개한 바 있었는데, 최근들어 이 방식이 유행처럼 번져나가고 있어, 긴급대응 및 집중 모니터링 상태를 유지하고 있다.

이렇게 애드웨어에 끼워팔기식으로 유포하는 기법은 기존의 [Drive By Download] 기법이나 [Watering Hole] 방식을 이용한 웹 보안 관제만으로는 탐지하기가 매우 어렵고, 이용자들의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 악성파일을 몰래 전파시킬 수 있기 때문에 사이버 범죄자들에게 감염율이 높은 공격기법으로 활용되고 있다.

[주의]애드웨어를 통한 메모리 해킹 KRBanker 변종 악성파일 유포
http://erteam.nprotect.com/460

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
http://erteam.nprotect.com/437

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명

☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


보통 웹 사이트를 통한 악성파일 전파방식은 이용자 컴퓨터에 다양한 보안취약점이 우선 존재해야 하는 전제조건이 성립해야만 감염될 수 있기 때문에 아무리 많은 웹 사이트에서 악성파일을 동시다발적으로 배포하더라도 이용자의 보안수준에 문제가 없다면 악성파일에 노출될 빈도수는 상대적으로 낮아질 수 있었다.

그러나 애드웨어의 기존 유통 경로를 악용한 전파방식은 프로그램의 보안 취약점을 이용한 방식이 아니기 때문에 기존에 감염되어 있는 이용자들에게 업데이트 기능을 통해서 몰래 유입시키거나 애드웨어 유통 비율과 동일하게 악성파일을 배포할 수 있는 큰 장점을 보유하고 있다.

아래 파일들은 실제로 국내 인터넷 뱅킹 이용자와 온라인 게임 이용자의 계정정보 등을 노린 악성파일을 이용자 몰래 함께 배포한 이력을 가진 대표적인 애드웨어들이고, 이것 외에도 다수 존재한다. 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조하여 악성파일 유포에 남용하고 있는 것이다.


이는 Drive By Download 기법의 웹 모니터링과 탐지센서의 감시망을 은밀하게 우회해서 배포할 수 있다는 이점이 결합되면서 더욱 더 교묘하고 지능적인 공격기법이라 할 수 있다. 왜냐하면, 애드웨어가 설치하는 추가파일을 지속적으로 관찰하고 실체를 확인할 수 있어야만, 정확한 프로파일링과 대응이 가능하기 때문이다.

2. 퓨전공격 기법과 변화무쌍한 카멜레온 전술

지능적 사이버 범죄자들은 보안 전문업체의 관제를 회피하여 이용자의 컴퓨터에 안착하기 위한 다양한 공격기법을 연마하고 있다. 마치 공수부대 특수 침투조들이 상공에 떠있는 항공기에서 적지에 낙하산을 펴고 투입하는 작전을 진행하듯이, 악성파일 유포 방식이 갈수록 고도화되고 있는 추세이다.

국내에서는 유명 온라인 게임 계정탈취를 이용하는 악성파일이 오래 전 부터 기승을 부렸고, 그 계정을 통한 금전적 이득을 취한 사이버 범죄조직들은 인터넷 뱅킹 이용자도 정조준하고 있는 상태이다. 이렇듯 다양한 퓨전공격이 복합적으로 이뤄지고 있고, 공격자들은 필요에 따라 변장술을 적재적소에 적용하고 있다.

아래 화면은 악성파일 내부에 존재하는 문자열 등이고, 보안프로그램 방해와 여러 온라인 게임 문자들을 볼 수 있다.


국내 애드웨어 모듈을 바꿔치기한 악성파일류는 2013년 초순에는 인터넷 상품권, 사행성 게임, 온라인 게임 계정이나 아이템 등을 노린 악성파일로 "kakubi.dll" 이름의 파일명을 사용하였고, 2013년 중순 경부터는 "kakutk.dll" 이름의 파일명이 널리 사용되었다.

그러다가 2013년 하순 경에는 시스템에 존재하는 정상적인 "version.dll" 시스템 파일을 악성파일로 교체하고, 파일명이 유사한 "verslon.dll" 이름의 악성파일을 생성하고, 정상파일은 "vorsion.dll" 파일명으로 바꾸는 기법도 활용되었다. 더불어 2014년 1월에는 "version.dll" 파일과 "godlion.dll" 파일명으로 악성파일을 생성하는 기법으로 변모하고 있다.


가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다.


3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

 

2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

 

 
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 유명 기업들 관리자 계정 탈취 목적의 악성파일


잉카인터넷 대응팀은 국내 주요 사이트의 관리자 계정을 수집하는 악성파일 숙주가 국내 특정 웹 사이트 2곳에서 유포 중인 것을 자체적으로 발견했다. 이 글을 작성하는 2013년 07월 26일 오후 1시경 현재 해당 웹 사이트가 정상적으로 작동하고 있어, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태이다. 해당 악성파일들은 언론사, 광고사, 게임사, 포털사, 교통, 통신, 커뮤니티, 보안장비 등의 웹 사이트 관리자 페이지 정보를 보유하고 있어, 각별한 주의가 필요하며, 기존 3.20 사이버 테러와 6.25 사이버전의 공격코드 형태와는 다른 종류이다. 이것을 미루어 보아 온라인 게임 계정 탈취기능의 사이버 범죄 조직들이 유명 웹 사이트의 관리자 계정 정보 수집을 시도하는 새로운 움직임으로 의심되고, 앞으로 웹 사이트 관리자들의 보안관리 강화가 필요할 것으로 보여진다.

2. 악성파일 유포 및 분석정보

특정 웹 사이트의 관리자 계정이 노출되면 각종 정보가 외부로 탈취되는 것과 함께 내부망에 침투할 수 있는 계기를 마련해 줄 수 있다. 따라서 웹 사이트의 로그인 정보가 외부로 유출되지 않도록 키보드 보안 및 악성파일 차단 등 다양한 보안장치가 필요하다.

해당 악성파일은 마치 디지털 카메라의 사진 이미지처럼 파일명(DSC_UP0399.JPG)을 위장하고 있으며, 국내 시민모임 관련 사이트와 언론사 사이트 등 모두 합쳐 2곳을 통해서 전파된 것이 공식 확인되었다. 확장자는 JPG 이미지 파일이지만 사용자 컴퓨터에는 EXE 형태의 실행파일로 감염되어 동작하게 된다.


DSC_UP0399.JPG 악성파일은 2013년 07월 24일 새벽에 제작되었으며, 07월 24일 경부터 국내에서 유포 중인 정황이 포착됐다. 


악성파일은 기본적으로 온라인 게임 계정 탈취용이 기반으로 제작되어 있으며, 국내외 보안제품들의 정상작동을 방해하는 작업을 한다. 더불어 또 다른 웹 사이트에서 GIF 이미지 파일로 위장한 다수의 악성파일을 다운로드 시도한다.


악성파일은 온라인 게임 계정 탈취 기능외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도한다. 2005년 경부터 온라인 게임 계정을 탈취시도하는 악성파일은 Drive By Download 기법을 통해서 국내 다수의 웹 사이트에서 악성파일이 유포되고 있다.

http://mail.osen.co.kr/module/member/login.php
http://cms.osen.co.kr/admin/member/login
http://adv5.etnews.co.kr/RealMedia/ads/OpenAd/adbiz.cgi
http://tech.etnews.com/99_MGMT/10_MAIN/loginFm.php
http://bizcenter.etnews.com/webmail/index.html
http://mail.etnews.co.kr
http://admin.cyad.co.kr/login.php
http://admin123.xportsnews.hankyung.com/
http://mail.news1.kr
http://admin.kukiedu.co.kr/slk_login.aspx
http://tvadmin.edaily.co.kr/adminlogin.asp
http://seoula.seoul.co.kr/admin/login.html
https://121.159.80.2:50005/index.php
https://192.168.3.1:50005/index.php
https://210.179.198.226:50005/index.php
https://211.180.150.146/index.cgi
https://220.123.212.113:50005/
http://tkadmin.yes24.com/manage/login.aspx
https://partneradmin.ezwel.com/cpadm/login/loginForm.ez
http://mail.ajnews.co.kr/
http://admin.t-ad.co.kr/
http://admin.t-ad.co.kr/loginPage.do
http://intra.ndoors.com/
http://sponevt.hangame.com/
http://mail.m2games.kr/
http://martini.npicsoft.com
https://xmail.npicsoft.com
http://khcms.khan.co.kr
http://mail.khan.co.kr
http://start.khan.co.kr
http://condoadmin.auction.co.kr/Manage/Login.aspx
http://admin.heraldm.com:8081/Admin?method=login
http://log.heraldm.com/login/loginForm.tsp
http://adw.heraldm.com/
http://cms.danawa.com/session/login.php
http://s.biz.daum.net/adminform.daum
http://nxerp.nexon.co.kr
http://ot.ytn.co.kr/FrmLogin.aspx
http://mis.ytn.co.kr/subtop/login.asp
http://newsys.ytn.co.kr/
http://m.sportsseoul.com/admin/toto/login/login.jsp
http://erp.sbs.co.kr/erp/
http://shop.golf.sbs.co.kr/scmadmin/login.php
http://adminkt001.olleh.com/
http://homehub.olleh.com/cgi-bin/login_cgi
http://bts1.nhncorp.com/nhnbts/login.jsp
https://hrlove.nhncorp.com/sso/login.jsp
http://mail.nhncorp.com/login
http://iims2.nhncorp.com/adminPM/Login.nhn
https://nsec.nhncorp.com/
https://eiims2.nhncorp.com/adminPM/Login.nhn
http://cms.newsis.com/
http://mail.newsis.com/
https://neoin.neowiz.com/member/login.nwz
http://webmail.mt.co.kr/
http://rms.mgamecorp.com/index.php
http://pdfadmin.kukinews.com/kmib/login/login.asp
http://desk.kukinews.com/web_desk/login/login.asp
https://remote.korail.com/web/login.jsp
http://mail.korail.com/index.jsp
http://nkoreanet.kbs.co.kr/admin/
http://ncc.kbs.co.kr
http://radiotest.kbs.co.kr/admin/radiolg.php
http://erpap1.kbs.co.kr:8001
http://admin.imnews.imbc.com/login.jsp
http://poptv.imbc.com/admin/_POPTVAdminMng.aspx
http://www.hankyung.com/dic/admin/login.php
http://webadmin.hankyung.com/
http://hkms.hankyung.com/
http://nms.hani.co.kr/admin/login.php
http://nuri.hani.co.kr/hanisite/dev/login/login_process.html
http://bridge.hani.co.kr/Hani/User
http://admin.hani.co.kr/
http://hantoma.hani.co.kr/
http://admin.halfclub.com/Login/Login.aspx
http://scm.halfclub.com/
http://pims.freechal.com/
http://mail.freechal.com/Mail/FWAccRepair.asp
http://adsrv2.dt.co.kr/banner/banner/Login.html
http://adsrv1.dt.co.kr/banner/banner/Login.html
http://ciis.chosun.com
http://newmail.chosun.com
http://eip.chosun.com/nanum/flow/admin/
http://mail.chosun.com/cgi-bin/index.cgi
https://scoop.chosun.com/
http://inato2.chosun.com
http://www.cbs.co.kr/cbsboard/2006/admin/
https://www.cbs.co.kr/newadmin/login.aspx
http://mail.asiae.co.kr/



악성파일이 사용하는 명령제어서버(C&C)는 중국 사이트로 구성되어 있다.


국내 유수의 관리자 페이지 정보를 수집시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나, 노출된 관리자 페이지의 정보를 수정하는 노력이 필요해 보인다.

가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고, 아이디 암호는 수시로 변경하는 보안정책 수립도 요구된다.

3. 마무리

언론사, 포털사, 게임사, 철도 등 국내 주요 웹 사이트의 관리자 정보를 노리는 악성파일이 출현함에 따라 기업 관리자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect