k01922.exe 악성코드 분석 보고서  


1. 개요


인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 


다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



 

 

2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

k01922.exe

파일크기

175,616 byte

진단명

Trojan/W32.KRBanker.175616.E

악성동작

인터넷 뱅킹 파밍

네트워크

m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***.57

 


 

2-2. 유포 경로

k01922.exe 의 유포경로에 앞서, 애드웨어 WindowsTab 에 대해 알 필요가 있다. WindowsTab nProtect에서 진단하는 애드웨어 중 하나로, 파일을 다운로드 할 때 끼워팔기 형태로 설치되며, 사용자가 원치 않는 쇼핑몰 바로가기 등을 생성한다.


WindowsTabhttp://www.m***.co.kr/app/windowstab/windowstab.php 를 통해 설치 및 업데이트 된다. 이 웹 페이지에 WindowsTab이 설치된 PC에 관한 여러 정보를 전송하면, 설치 파일 및 설치관련 정보를 다운받아오는 형태로 동작한다.


문제는 k01922.exe가 유포되는 웹 서버 또한 동일한 기능을 지원한다는 점이다. k01922.exe가 업로드 되어 있는 웹 서버(http://j****o*l.org/files/ad_25/windowstab.php) 또한 windowstab.php 파일이 확인되고, 이 페이지는 m***.co.kr windowstab.php 와 완전히 같은 기능을 하지만, 애드웨어 windowstab.exe 가 아닌, k01922.exe 를 다운받도록 수정되어 있다.



[
그림] 애드웨어 업데이트(), KRBanker 업데이트()

 



이는 애드웨어의 업데이트서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있음을 보여준다.


불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 이미 여러 백신업체에서 진단하고 있다. 하지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단 되기까지 짧은 공백이 존재할 수 있다. 또한 애드웨어는 사용자의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 정상 제휴 프로그램 처럼 설치되기에 감염사례가 매우 많다. 실제로 ISARC12월 악성코드 치료 통계자료에서 많은 PC가 애드웨어에 감염되어 있었음을 확인할 수 있다.




[
그림] 201512월 악성코드 유형 비율
(출처 - ISARC 12월 월간보안동향 보고서)

 



악성파일은 시간대별로 다르게 업로드 되어 유포된다. 시간대는 대체로 오후 3시부터 7시 사이로, 이 기간에만 잠시 동안 악성코드가 업로드 되었다 사라진다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 금융권 파밍 악성코드란 공통점이 있다. 테스트일 현재(2016-01-19 16) ad_25/k01922.exe 가 업로드 되어있고, 애드웨어의 정기 업데이트 기능을 이용해 유포될 것으로 보인다.



날짜

업로드 파일

2015-12-18

http://j****o*l.org/*****/*****/dwaof.exe

http://j****o*l.org/*****/*****/ress1.exe

2015-12-19

http://j****o*l.org/*****/*****/zcmsk.exe

2015-12-22

http://j****o*l.org/*****/*****/fwbbg.exe

http://j****o*l.org/*****/*****/olfhb.exe

http://j****o*l.org/*****/*****/vprhh.exe

2016-01-06

http://j****o*l.org/*****/*****/gpcqy.exe

2016-01-09

http://j****o*l.org/*****/*****/psrju.exe

2016-01-12

http://j****o*l.org/*****/*****/ajkbz.exe

2016-01-13

http://j****o*l.org/*****/*****/apuzbf.exe

http://j****o*l.org/*****/*****/kwsiu.exe

http://j****o*l.org/*****/*****/tkiqd.exe

http://j****o*l.org/*****/*****/yuefs.exe

http://j****o*l.org/*****/*****/hluze.exe

http://j****o*l.org/*****/*****/hnyixxr.exe

http://j****o*l.org/*****/*****/jnajkc.exe

http://j****o*l.org/*****/*****/conbaamhm.exe

http://j****o*l.org/*****/*****/gvrgih.exe

http://j****o*l.org/*****/*****/hulkm.exe

2016-01-14

http://j****o*l.org/*****/*****/kuocoxv.exe

http://j****o*l.org/*****/*****/lin.exe

http://j****o*l.org/*****/*****/miqbk.exe

http://j****o*l.org/*****/*****/vfkvezur.exe

http://j****o*l.org/*****/*****/nfbhxmnw.exe

http://j****o*l.org/*****/*****/bwchbi.exe

http://j****o*l.org/*****/*****/eyuyg.exe

http://j****o*l.org/*****/*****/lin12.exe

http://j****o*l.org/*****/*****/lin23.exe

http://j****o*l.org/*****/*****/otygngn.exe

2016-01-18

http://j****o*l.org/*****/*****/ali12.exe

http://j****o*l.org/*****/*****/ko.exe

2016-01-19

http://j****o*l.org/*****/*****/ko12k.exe

http://j****o*l.org/*****/*****/GO_1095724067_12312312e12e.exe

http://j****o*l.org/*****/*****/k01922.exe

2016-01-20

http://j****o*l.org/*****/*****/kod12.exe

http://j****o*l.org/*****/*****/kosa1.exe


[표] 날짜와 시간에 따른 유포파일 변화




[
그림] 금융권 파밍 악성코드로 로 교체된 WindowsTab



 

2-3. 실행 과정

애드웨어 업데이트를 이용해 유포된 k01922.exewindowstab.exe 란 이름으로 다운로드 되며, WindowsTab이 설치된 동일 폴더에 생성된다. 실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용하여 위조 포털 사이트로 연결 및 인증서 유출 등의 악성동작을 수행하게 된다.




 

3. 악성 동작

3-1. 자동 구성 프록시 (Proxy Auto-Config, PAC)

과거 비슷한 동작을 하는 악성코드가 hosts 파일 수정을 통해 위조 사이트로 연결시켰던 것과 달리, k01922.exe hosts파일을 수정하지 않고도, 위조 웹 서버로 연결시킨다. 이는 많은 백신 제품이 hosts파일 수정 방지 기능을 제공하기 때문에 이를 우회하기 위한 것으로 보인다.


자동 구성 프록시란 웹 브라우저 단에서 별도의 프록시서버 설정이 없이도 특정 URL에 대해 자동으로 프록시 서버 설정을 해 주는 스크립트다. 관련 정보는 IE 기준, "도구 -> 인터넷 옵션 -> 연결 -> LAN 설정에서 확인할 수 있다. (출처 – Proxy Auto-Config 위키)


감염PC“LAN 설정항목을 보면, 자동 구성 스크립트가 사용으로 설정되어 있고, 해당 주소는 127.0.0.1:1178 임이 확인된다. IP주소 127.0.0.1 는 감염PC 자신을 의미한다. 또한 이 주소를 제공하는 프로세스는 감염된 정상 프로세스 comp.exe 임이 아래 그림에서 확인된다.

 

 

 

 

[그림] 자동 구성 스크립트 설정 및 감염된 프로세스

 



k01922.exe comp.exe 을 감염시켜 프록시 서버로 이용하고, 이를 통해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다.


[
그림] 난독화 해제된 PAC 스크립트

 



감염된 정상 프로세스 comp.exe PC의 파일 비교 시 사용되는 윈도우 기본 프로그램이다. 일반적으로 감염PC의 상황과 같이 항상 실행중인 일은 없기 때문에 comp.exe 를 강제종료 하면 정상 포털 사이트로 접속해 악성동작을 예방할 수 있다.





3-2. 인터넷뱅킹 파밍 및 인증서 유출


k01922.exe 는 위조 서버의 주소를 얻기 위해 users.q****.**.com 를 이용한다. URL은 정상 중국 메신저 사이트로 이 URL에서 제공하는 API를 이용해 악성 서버의 IP를 얻어온다. 조회한 악성 서버의 IP는 고정적이지 않고, q****.**.com 또한 중국의 정상 웹 사이트기 때문에 원천적 차단에 어려움이 따른다.


이렇게 얻은 IP는 위조 사이트들의 웹 서버 및 기타 악성동작에 사용된다. 감염 PC에서 브라우저 실행 시 아래와 같이 위조 포털 사이트의 화면을 확인할 수 있다.


이 화면에서 각 은행의 배너 이외에는 클릭이 되지 않기 때문에 정상적인 인터넷 이용이 불가능하다. 은행배너 클릭 시 각 은행의 위조 페이지로 연결되며 계좌정보 및 보안카드 전체 정보 입력을 요구한다. 실제 사이트와 매우 유사하게 만들어져 있지만 이는 파밍 사이트로, 모든 입력 정보는 해커에게 전송된다.



[그림위조 네이버 접속화면




[
그림] 계좌정보 및 보안카드 정보 탈취 페이지




또한 아래 화면에서 PC에 저장된 모든 공인인증서가 임시폴더 하위에 저장된 모습을 확인할 수 있다. PC의 하드디스크 뿐 아닌 이동식 저장장치(E 드라이브) 에 저장된 인증서 또한 탈취되기 때문에 주의가 요구된다.




[그림] 임시 저장된 인증서


 

4. 결론

애드웨어 WindowsTab 은 사용자의 PC에 기본적으로 자동실행 등록되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다. k01922.exe 의 한가지 특징으로 파밍을 위해 hosts 파일을 수정하지 않기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다.




[
그림] 방화벽 해제 알림

 



이는 PAC를 제공하기 위해 방화벽 설정을 변경한다는 알림으로 계속 차단을 선택하면 악성동작을 수행하지 못한다. 하지만 많은 사용자들이 PC의 주요 보안경고에 주의를 기울이지 않고 악성코드에 피해를 입고 있는 실정이다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 애드웨어와 파밍 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, 위에 언급된 WindowsTab 외에도 다른 많은 애드웨어에 대한 주기적인 업데이트가 이뤄지고 있다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

잉카인터넷, 미국 금융정보보호 콘퍼런스 ‘37th Annual Regulatory Compliance Conference’ 참가



잉카인터넷(대표 주영흠)은 10월 6일부터 9일 미국 캘리포니아 Rancho Mirage 에서 열리는 금융정보보호 콘퍼런스 ‘37th Annual Regulatory Compliance Conference’(이하 ARCC)에 참가해, 온라인 금융보안 솔루션 nProtect Online Security (이하 nProtect NOS)를 금융 관계자들에게 소개했다고 전했다.


ARCC는 캘리포니아 은행 협회가 해마다 주최하는 컴플라이언스 콘퍼런스로, 매년 캘리포니아 은행 협회에 소속된 약 200여 개의 금융사 관계자와 IT, 보안 및 컴플라이언스 담당자가 참여하는 행사이다. 이번 콘퍼런스는 금융기관이 반드시 준수해야 하는 컴플라이언스 내용과 신규 지침사항, 위험 관리에 관해 교육과 세미나를 마친 뒤 금융보안제품을 소개 했다.





nProtect NOS는 금융사기로부터 개인정보를 보호하기 위해 ▲안티바이러스 ▲키보드 보안 ▲안티파밍 ▲안티피싱 ▲네트워크 보호 ▲화면캡처 방지 등의 기능을 제공한다. 즉, 인터넷 뱅킹을 이용하는 사용자가 금융 서비스를 이용 시 보안 제품에 대해 안내 하고 보안 기능이 작동되어 실시간으로 고객 PC를 점검하여 사이버 범죄로부터 예방하는 서비스이다.


이날 잉카인터넷은 미국 금융관계자들 앞에서 금융보안 전문 제품인 nProtect NOS를 선보였다. 단순히 제품을 설명하는 것에서 끝나는 것이 아니라 실제 악성코드가 탐지되고 치료되는 과정을 자세히 보여주었다. 또한 인터넷 뱅킹 이용 시 피싱/파밍 공격에 대해 중점적으로 보여주고 이를 차단하는 것을 시연하여 많은 호응을 얻었다.


잉카인터넷 주영흠 대표는 “이번 콘퍼런스를 통해 미국 현지 금융 담당자들의 목소리를 들을 수 있었으며 nProtect NOS의 경쟁력을 알릴 수 있었다.”고 전했다. 또한, “이번 참가를 계기로 세계 시장에 더욱 적극적으로 나아갈 것”이라고 말했다.


한편 잉카인터넷은 최근 First National Bank에 nProtect NOS를 구축하였으며, 우드휴스턴은행, 뱅크오브아메리카 및 CBB은행 등 미국 금융시장에 고객사를 확대하고 있다.


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 전자금융 메모리 해킹 조직, 탐지회피 목적의 변칙공격

잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다.

물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작하였다.

해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다.

[긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증
☞ http://erteam.nprotect.com/461


[주의]애드웨어를 통한 메모리해킹 KRBanker 변종 악성파일 유포
http://erteam.nprotect.com/460


[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
http://erteam.nprotect.com/437


[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명

☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


애드웨어를 통한 유포방식은 Drive By Download 기법의 보안관제를 우회하기가 좋고, 보안취약점이 존재하지 않아도 된다는 장점 때문에 메모리 해킹 조직이 수 개월 이상 집중공격에 이용하고 있고, 매우 다양한 애드웨어가 악용되고 있는 실정이다.

악성파일 유포에 악용된 대표적인 국내 애드웨어 이름은 다음과 같이 매우 다양하고, 아래 공개한 서버 이외에도 다수가 발견되고 있는 실정이다.

무심코 설치하여 방치하고 있던 애드웨어의 업데이트와 설치 등에 의해서 메모리 해킹 기능의 전자금융사기 공격에 광범위하게 노출되고 있어 그 심각성이 더해가고 있다. (알파벳 순서)

addendam
addendov
adgod
batangicon
enumstates
everlive
filepop
liveicon
milkcon 
openkeyword
openmatch (adgod)
openpotservice
popscan
qcounter
search-lines
smart-manager
smarttip
smartw
syndiapi
vaccineclinic
windoguide
wingsearch
기타등등


2. 유틸리티 서버를 겨냥한 결합형 해킹시도 징후포착 

이런 가운데 2014년 01월 10일과 11일에는 동영상 재생 프로그램인 초코플레이어 웹 사이트를 통해 메모리 해킹 기법의 악성파일 유포에 악용된 정황도 포착되었다. 현재는 악성파일이 서버에서 모두 제거된 상태이다.

[1월 10일]
http://www.chocoplayer.com/board/data/php/lg1.exe 

[1월 11일]
http://www.chocoplayer.com/board/data/php/lg.exe

잉카인터넷 대응팀은 국내 애드웨어 서버를 통해 은밀하게 메모리 해킹용 악성파일을 유포하던 조직들이 유명 유틸리티 프로그램의 서버들도 노리고 있다는 것을 예의주시하고 있다.

이들은 이미 과거에도 안카메라 서버를 해킹해 온라인 게임 계정탈취 기능의 악성파일을 배포된 바 있다. 아래는 2013년 03월 23일 안카메라 사이트에 올려진 사과 공지문이다.

http://www.ancamera.co.kr/home/view.html?num=ch8fGA==&cate1=LkZdQR0l



이처럼 메모리 해킹 기능의 악성파일을 제작 유포하고 있는 조직은 매우 조직적으로 국내 웹 서버를 해킹해서 정상파일을 악성파일로 교체하는 지능화된 공격기법을 활용하고 있다.

따라서 이용자들은 우선적으로 감염되어 있는 애드웨어 치료를 적극적으로 수행하여야 하며, 개인 블로그나 커뮤니티 등에서는 프로그램 다운로드를 자제하고, 반드시 신뢰할 수 있는 유명 공식사이트를 이용하는 것을 명심해야 한다. 더불어 이와 유사한 악성파일들은 esetenp.dll, kakubi.dll, kakune.dll, kakutk.dll, verslon.dll, versxon.dll, godlion.dll, kerogod.dll 등의 파일명으로 생성되고 있고, 계속해서 변종이 제작되고 있다. 

가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다. 


3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 


2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 보안관련 인증절차와 금융 보안프로그램으로 사칭한 KRBanker


잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 노린 악성파일(KRBanker) 변종이 새로운 형태의 내용으로 전자금융 서비스 이용자들을 현혹시키고 있는 정황을 포착하였다. 악성파일은 국내 특정 웹 사이트를 해킹하여 보안이 취약한 접속자로 하여금 웹 사이트 접속만으로 악성파일(KRBanker)에 은밀히 감염되도록 만들어 두었다. 악성파일에 노출되어 감염이 이뤄지면, 사용자 컴퓨터에 존재하는 호스트파일(hosts)을 변조하여 시티은행, 하나은행, 기업은행, 국민은행, 외환은행, 농협, 신한은행, 수협, 스탠다드차타드, 우리은행 등의 도메인 접속 주소를 특정 피싱 IP주소로 몰래 변경시킨다. 이로인해 사용자가 정상적인 금융사 홈페이지를 접속하더라도 피싱 IP주소로 연결되어 정교하게 조작된 가짜 금융사이트 화면보이게 된다.

특히, 이번에 발견된 사례는 전자금융사기가 기승을 부리고 있다는 점을 역이용해서 마치 정상적인 금융 보안관련 인증절차 진행인 것처럼 사칭한 문구와 금융 보안 프로그램 설치 내용으로 이용자의 정보탈취를 유도하고 있어 세심한 주의가 요구된다.



[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

2. 악성파일 전파 경로 및 분석 정보

국내 특정 웹 사이트가 해킹되어 악의적인 스크립트가 삽입되었으며, 이용자가 악성 스크립트와 연결된 사이트에 접속할 경우 보안취약점(CVE-2012-1723) 공격을 받게 된다. 만약 이용자 컴퓨터가 보안에 취약한 경우 전자금융사기용 악성파일(KRBanker)에 자동으로 감염이 된다.

다음 화면은 보안 취약점 공격에 이용된 악성 스크립트의 일부 화면이다.


보안취약점에 의해서 악성 스크립트가 정상적으로 작동되면 특정 웹 사이트에서 악성파일(KRBanker)이 사용자 임시폴더(Temp)에 "updata.exe" 이름의 파일명으로 다운로드되고 실행된다.


악성파일(KRBanker)이 실행되면 사용자의 호스트파일(hosts)을 변조하기 위해서 임시폴더에 "1.bat" 파일을 생성하여 실행한다. 해당 배치파일에는 특정 IP주소로 은행사이트가 연결되도록 하는 명령어를 포함하고 있다.

여기서 문제는 악성파일이 공격자의 명령(C&C)에 따라서 피싱용 IP주소를 실시간으로 변경하고 있기 때문에 감염되는 사용자들은 동일한 악성파일에 감염되더라도 시점에 따라 다른 IP주소가 설정되고 있다.
 


"1.bat" 파일의 배치명령에 의해서 호스트파일(hosts)의 내용은 아래와 같이 피싱 사이트 내용으로 변경된다. 이 때문에 이용자가 정상적인 금융권 웹 사이트 도메인으로 직접 접속하더라도 가짜 피싱 사이트가 있는 IP주소(67.229.68.158)로 강제 연결되며, 웹 브라우저상에는 실제 정상적인 금융권 도메인 주소로 보여지기 때문에 이용자가 정상 금융사이트로 착각할 가능성이 높다.

CITIBANK.CO.KR   :: 시티은행
WWW.CITIBANK.CO.KR  :: 시티은행
HANABANK.COM   :: 하나은행
WWW.HANABANK.COM   :: 하나은행
WWW.IBK.CO.KR   :: 기업은행
MYBANK.IBK.CO.KR   :: 기업은행
KIUP.IBK.CO.KR   :: 기업은행
KBSTAR.COM   :: 국민은행
WWW.KBSTAR.COM   :: 국민은행
OBANK.KBSTAR.COM   :: 국민은행
KEB.CO.KR    :: 외환은행
WWW.KEB.CO.KR   :: 외환은행
BANK.KEB.CO.KR   :: 외환은행
EBANK.KEB.CO.KR   :: 외환은행
NONGHYUP.COM   :: 농협
WWW.NONGHYUP.COM   :: 농협
BANKING.NONGHYUP.COM  :: 농협
SHINHAN.COM   :: 신한은행
WWW.SHINHAN.COM   :: 신한은행
BANKING.SHINHAN.COM  :: 신한은행
WWW.SUHYUP-BANK.COM  :: 수협은행
WWW.STANDARDchartered.CO.kr :: 스탠다드차타드은행
WOORIBANK.COM   :: 우리은행
WWW.WOORIBANK.COM   :: 우리은행
PIB.WOORIANK.COM   :: 우리은행
SPD.WOORIBANK.COM   :: 우리은행


호스트파일(hosts)이 변조된 상태에서 대상 금융사이트에 접속할 경우 피싱 IP주소(67.229.68.158)로 변경 접속된다. 피싱용 IP주소는 계속 실시간으로 변경되고 있다. 동일한 악성파일에 감염되더라도 공격자의 명령에 따라 IP주소는 다르게 적용되고 있기 때문에 알려지지 않은 피싱용 IP주소가 매우 많이 존재할 것으로 보인다.

현재까지 잉카인터넷 대응팀이 파악한 가변적 피싱 IP주소는 다음과 같고, 시간에 따라 계속 변경되고 있다.

- 67.229.68.158
- 67.229.68.237
- 67.229.68.238
- 174.139.174.254

악성파일(KRBanker)에 감염된 상태에서 한 예로 국민은행 사이트에 접속할 경우 다음과 같이 정교하게 제작된 피싱 사이트로 연결이 이뤄지고, 실제로는 존재하지 않는 가짜 팝업 메시지 창이 출력된다. 가짜 메시지 창은 마치 정상적인 보안서비스 처럼 보여지지만, 모두 허위로 조작된 내용이다.

기존에는 보안승급서비스, 보안강화서비스, 전자금융사기예방서비스 등으로 위장한 형태가 보고되었으나, 이번에는 "보안관련 인증절차"라는 문구로 사용자들을 현혹하고 있다.

 




상기 화면에서 이용자가 [확인]버튼을 클릭하게 되면 금융 개인정보를 입력하도록 유도하는 피싱화면으로 넘어가게 되며, 사용자 추가본인 확인절차라는 화면으로 과도하게 금융정보를 요구하고, 전자금융사기 수법의 공통점인 보안카드의 모든 비밀번호를 입력하도록 유도한다.

 


만약 이용자가 피싱화면에 속아 보안카드의 비밀번호까지 모두 입력하게 될 경우 금융정보가 외부로 유출되어 예기치 못한 전자금융사기 피해를 입을 수 있게 된다. 이어서 피싱 웹 사이트에는 보안프로그램 설치라는 조작된 화면을 보여주면서 이용자에게 추가적인 악성파일을 설치하도록 시도한다.



분석당시에는 정상적으로 악성파일이 서버에 존재하지 않아 상세확인의 진행은 불가능했으나, 추가 악성파일(KRBanker/Backdoor)을 설치하여 공인인증서 탈취를 시도했을 것으로 추정된다.

보안프로그램처럼 모방하여 추가 악성파일을 설치시도하는 형태까지 진화하고 있으므로, 이용자들은 유사 피싱화면에 현혹되지 않도록 각별한 주의가 필요하다.

3. 피싱 사이트 진위여부 판단 노하우


내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 육안상으로 진위여부를 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.


2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect