1. 국산 애드웨어 유통서버를 통한 악성파일 전파 패러다임의 변화

잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 은밀하게 위변조하여 온라인 게임계정 탈취와 메모리 해킹 등의 전자금융사기용 악성파일을 배포되고 있는 정황을 여러차례 공개한 바 있었는데, 최근들어 이 방식이 유행처럼 번져나가고 있어, 긴급대응 및 집중 모니터링 상태를 유지하고 있다.

이렇게 애드웨어에 끼워팔기식으로 유포하는 기법은 기존의 [Drive By Download] 기법이나 [Watering Hole] 방식을 이용한 웹 보안 관제만으로는 탐지하기가 매우 어렵고, 이용자들의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 악성파일을 몰래 전파시킬 수 있기 때문에 사이버 범죄자들에게 감염율이 높은 공격기법으로 활용되고 있다.

[주의]애드웨어를 통한 메모리 해킹 KRBanker 변종 악성파일 유포
http://erteam.nprotect.com/460

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
http://erteam.nprotect.com/437

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명

☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


보통 웹 사이트를 통한 악성파일 전파방식은 이용자 컴퓨터에 다양한 보안취약점이 우선 존재해야 하는 전제조건이 성립해야만 감염될 수 있기 때문에 아무리 많은 웹 사이트에서 악성파일을 동시다발적으로 배포하더라도 이용자의 보안수준에 문제가 없다면 악성파일에 노출될 빈도수는 상대적으로 낮아질 수 있었다.

그러나 애드웨어의 기존 유통 경로를 악용한 전파방식은 프로그램의 보안 취약점을 이용한 방식이 아니기 때문에 기존에 감염되어 있는 이용자들에게 업데이트 기능을 통해서 몰래 유입시키거나 애드웨어 유통 비율과 동일하게 악성파일을 배포할 수 있는 큰 장점을 보유하고 있다.

아래 파일들은 실제로 국내 인터넷 뱅킹 이용자와 온라인 게임 이용자의 계정정보 등을 노린 악성파일을 이용자 몰래 함께 배포한 이력을 가진 대표적인 애드웨어들이고, 이것 외에도 다수 존재한다. 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조하여 악성파일 유포에 남용하고 있는 것이다.


이는 Drive By Download 기법의 웹 모니터링과 탐지센서의 감시망을 은밀하게 우회해서 배포할 수 있다는 이점이 결합되면서 더욱 더 교묘하고 지능적인 공격기법이라 할 수 있다. 왜냐하면, 애드웨어가 설치하는 추가파일을 지속적으로 관찰하고 실체를 확인할 수 있어야만, 정확한 프로파일링과 대응이 가능하기 때문이다.

2. 퓨전공격 기법과 변화무쌍한 카멜레온 전술

지능적 사이버 범죄자들은 보안 전문업체의 관제를 회피하여 이용자의 컴퓨터에 안착하기 위한 다양한 공격기법을 연마하고 있다. 마치 공수부대 특수 침투조들이 상공에 떠있는 항공기에서 적지에 낙하산을 펴고 투입하는 작전을 진행하듯이, 악성파일 유포 방식이 갈수록 고도화되고 있는 추세이다.

국내에서는 유명 온라인 게임 계정탈취를 이용하는 악성파일이 오래 전 부터 기승을 부렸고, 그 계정을 통한 금전적 이득을 취한 사이버 범죄조직들은 인터넷 뱅킹 이용자도 정조준하고 있는 상태이다. 이렇듯 다양한 퓨전공격이 복합적으로 이뤄지고 있고, 공격자들은 필요에 따라 변장술을 적재적소에 적용하고 있다.

아래 화면은 악성파일 내부에 존재하는 문자열 등이고, 보안프로그램 방해와 여러 온라인 게임 문자들을 볼 수 있다.


국내 애드웨어 모듈을 바꿔치기한 악성파일류는 2013년 초순에는 인터넷 상품권, 사행성 게임, 온라인 게임 계정이나 아이템 등을 노린 악성파일로 "kakubi.dll" 이름의 파일명을 사용하였고, 2013년 중순 경부터는 "kakutk.dll" 이름의 파일명이 널리 사용되었다.

그러다가 2013년 하순 경에는 시스템에 존재하는 정상적인 "version.dll" 시스템 파일을 악성파일로 교체하고, 파일명이 유사한 "verslon.dll" 이름의 악성파일을 생성하고, 정상파일은 "vorsion.dll" 파일명으로 바꾸는 기법도 활용되었다. 더불어 2014년 1월에는 "version.dll" 파일과 "godlion.dll" 파일명으로 악성파일을 생성하는 기법으로 변모하고 있다.


가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다.


3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

 

2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

 

 
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 지속적으로 새로운 변종에 대한 출현으로 이슈가 되고 있는 KRBanker가 이번에는 애플 아이콘으로 위장한 변종이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 2012년 12월 7일은 애플의 새로운 스마트폰 아이폰5 제품의 국내 출시일이며, 해당 악성파일 제작자는 이를 이용해 사회공학적 기법을 통한 악성파일의 유포를 시도하고 있다는 것이 이번에 발견된 KRBanker 변종에서 주목 할 만한 점이라 할 수 있다.

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

  

2. 국내 사정이 고려된 교묘한 사회공학적 기법!


12월 7일은 애플의 새로운 스마트폰 아이폰5의 국내 출시일이다. 이번에 발견된 KRBanker의 변종은 유포 시기가 이와 겹쳐 국내 사정이 고려된 변종 제작으로 추정되고 있으며, 당분간 이러한 사회공학적 기법을 이용해 장기 지속적으로 변종이 출현할 가능성이 크다. 아래의 그림은 이번에 발견된 새로운 KRBanker 변종이 사용하고 있는 아이콘이다.


해당 변종은 기존에 유포 되었던 기타 다른 KRBanker 변종들과 악성 기능적인 면에서는 별다른 차이점이 존재하지 않고 있다. 아래의 그림은 이번 KRBanker 변종에 의해 변조되는 hosts파일에 등록된 피싱 목록이다.

 

※ 전체 피싱 목록

- 국민은행
- 농협
- 기업은행
- 새마을금고
- 우체국


이외에 피싱화면 및 기타 악성 동작 등은 기존에 출현했던 변종들과 별다른 차이점이 없으며, 피싱 목록과 매칭되는 IP주소의 위치는 아래의 그림과 같이 캐나다 벤쿠버로 확인되고 있다.

3. KRBanker 변종에 대한 예방 조치 방법

KRBanker는 국내 사정에 정통한 제작자에 의해 제작 및 유포가 이루어지는 만큼, 위와 같이 다양한 사회공학 기법을 이용하여 유포 및 감염을 유도할 수 있으며, 대부분의 1차 감염이 취약한 웹 사이트의 접근 등을 통해서 이루어 지고 있다.

게다가 해당 악성 파일은 대부분의 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/




 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


국내 주요 은행사의 인터넷뱅킹 서비스와 유사한 사이트 화면을 출력하여 계좌 정보 등을 탈취하는 악성파일이 최근 정보 탈취 방법을 수정한 변종의 출현과 함께 다시한번 이슈가 되고 있다. 이번에 발견된 해당 악성파일은 감염 시 피싱 사이트 목록에 시티은행을 추가하는 것이 기존의 다른 변종들과 큰 차이점이라 할 수 있다. 해당 악성파일은 hosts 파일을 변조하여 사용자가 특정 은행사의 인터넷 뱅킹 사이트에 접속시 이를 감지해 실제로는 악성파일 제작자가 미리 준비해 놓은 사이트로 접속을 시도 하게 된다. 

해당 사이트는 실제 은행 사이트와 매우 유사하게 제작되어 있어 일반 사용자들은 쉽게 현혹될 수 있으며, 정보 탈취를 위해 출력되는 팝업창에 각종 계좌 정보의 입력을 유도하는 등 사용자로 하여금 금전적인 피해를 유발할 수 있다.

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

2. 정보 탈취 방법의 변화

이번에 발견된 일명 KRBanker(Korea + Banker)의 새로운 변종은 기존에 출현했던 변종들과 비교하여 아래의 사항들과 같은 변경점들이 존재한다.

※ 전체 변경 사항

- 정보 탈취를 위해 유도되는 팝업창의 변화 (사이트 접속시 바로 피싱을 위한 경고창 등 출력)
- 생성되는 파일 목록 및 내용의 변화 (wmplayer.ini : 접속 시도 IP -> 버전정보)
- 알약 모듈로 위장
- 금융 피싱 사이트 목록 추가 (시티은행)


우선, 해당 악성파일이 다운로드 되면 아래의 그림과 같이 이스트소프트 알약 또는 알툴즈 업데이터와 관련된 아이콘으로 위장되어 있음을 확인할 수 있다.



이미지와 함께 파일명, 그리고 속성까지 정상적인 알약 모듈인것 처럼 위장하고 있다. 또한 기존과 같이 델파이로 제작되어 있으나, 실행 압축 형태로 제작되지는 않았으며, 생성되거나 변조되는 파일의 목록은 아래와 같다.

※ 생성 및 변조 파일 목록

- (프로그램 폴더)\Windows Media Player\wmplayer.ini (21 바이트)
- (윈도우 시스템 폴더)\drivers\etc\hosts (1,528 바이트)


특히, 이번에 발견된 변종의 경우 새롭게 "시티은행"이 추가된 점이 주목할만 하다. 아래의 그림은 시티은행이 피싱 목록에 포함되어 있음을 확인할 수 있는 변조된 hosts 파일의 전체 리스트이다.


아래는 이스트소프트 모듈로 위장하는 추가적인 KRBanker 변종이 가지고 있는 피싱 목록이다.

 


또한, hosts 파일이 변조되면서 윈도우 미디어 플레이어 폴더에 아래의 그림과 같은 wmplayer.ini 파일을 생성하게 되는데 내부에는 이전과 같은 IP정보가 아닌 특정 버전 정보가 입력되어 있다.


◈ 감염 후 실제 은행 사이트 접속 시 피싱 화면

이번에 발견된 KRBanker의 새로운 변종은 특정 은행 인터넷뱅킹 사이트에 접속하자 마자 아래의 이미지와 같이 피싱 및 해킹 등과 같은 금융피해 예방 차원이라는 안내 팝업창과 함께 계좌 정보의 탈취를 시도하는 것이 특징이다.

[기업은행]



[외환은행]




[시티은행]




[우리은행]



[하나은행]


[농협]


감염 후 특정 은행 사이트 접근 시 접속되는 피싱 IP주소(110.34.231.150)는 언제든지 변경될 수 있으며, 해당 IP의 주소는 아래의 그림과 같이 현재 대만으로 확인되고 있다.


3. KRBanker 예방 조치 방법

최근 스마트폰을 비롯하여 금융관련 보안 사고가 지속적으로 보고되고 있다. 가장 최근인 금일에는 뉴스매체를 통해 계좌 정보, 공인인증서 정보 등의 대량 탈취로 인해 발생한 것으로 추정되는 소액결제를 통한 상당 금액의 금융피해 건이 보고된 바 있다.

국내 사정에 정통한 악성 파일 제작들에게 더이상 국내 대다수의 사용자들을 대상으로 악성 파일의 유포를 시도하는 것은 어려운일이 아닐 수 있다. 더불어 위와 같이 특정 은행사 인터넷뱅킹 사이트와 유사한 사이트를 제작하여 정보 탈취를 시도한다면 일반 사용자들은 별다른 의심없이 쉽게 현혹되어 자신의 계좌 정보 등을 입력하여 악성 파일 제작자에게 전송하게 될 것 이다.

애초부터 사용자들을 속여 자신들의 목적을 이루기 위해 제작되는 악성 파일들은 사용자들이 육안상으로 식별해 내기란 매우 어려우며, 취약점이 존재하는 웹 사이트 접속만으로도 쉽게 감염될 수 있다. 때문에 이러한 KRBanker의 변종들로 부터 안전한 인터넷뱅킹 등 금융관련 서비스 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect