금융정보 탈취하는 KRBanker 분석 보고서 



1. 개요 


최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

adinstall.exe

파일크기

478,208 byte

진단명

Banker/W32.Agent.478208.B

악성동작

파밍, 금융정보 탈취

네트워크

103.***.***.86 – 공격자 서버

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.




2-3. 실행 과정

악성코드는 hosts 파일 등을 수정하지 않고 자동 구성 프록시(PAC)를 통해 사용자를 파밍 사이트로 유도한다. 실행 시 아래와 같이 UAC 경고창이 나타나는 것을 확인할 수 있다. 그 다음 인터넷 브라우저의 시작 페이지를 국내 N 포털 사이트로 변경하고, 특정 페이지 접속 시 파밍 사이트로 유도한다.

[그림] Windows 방화벽 보안 경고[그림] Windows 방화벽 보안 경고





3. 악성 동작


3-1. 자동 실행 등록 및 인증서 유출

해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.


[그림] 자동 실행 등록[그림] 자동 실행 등록




감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.


[그림] 복사된 인증서와 압축 파일[그림] 복사된 인증서와 압축 파일




3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)

악성코드가 동작하면 자동 구성 프록시(PAC) 를 설정한다. PAC 란 별도의 프록시 서버 설정 없이 특정 URL 에 대해 자동으로 프록시 서버 설정을 해주는 스크립트다. 아래 그림과 같이 PAC 가 ‘127.0.0.1:1171’ 로 설정되어 있는 것을 확인할 수 있다. 이는 URL 정보에 대해 사용자 PC 의 1171번 포트로 질의하게 된다.

[그림] 자동 구성 프록시 설정[그림] 자동 구성 프록시 설정



1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.


[그림] 프록시 포트와 연결[그림] 프록시 포트와 연결





3-3. 시작 페이지 변경 및 파밍 사이트 연결

인터넷 브라우저의 시작 페이지가 N 포털 사이트로 변경된 것을 확인할 수 있다.

[그림] 시작 페이지 변경[그림] 시작 페이지 변경



현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.





4. 결론


해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.


만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
Posted by nProtect

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 



1. 개요

인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 


이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

KRBanker_d8dba.exe

파일크기

338,944 byte

진단명

Banker/W32.Agent.338944

악성동작

금융정보 탈취

네트워크

104.***.***.27 (파밍서버)






 


2-2. 유포 경로

KRBanker는 주로 익스플로잇, 피싱 이메일 등으로 유포된다. 따라서 사용중인 소프트웨어를 상시 업데이트하고 모르는 사람으로부터 받은 이메일은 열지 않는 기본 수칙으로 악성코드 감염을 방지할 수 있다.



2-3. 실행 과정

KRBanker_d8dba.exe 는 최초실행 시 실행위치에 숨김 · 읽기전용 속성을 부여하고 윈도우 정상프로세스 chcp.com을 이용해 악성동작을 수행한다. chcp.com 은 국가별 키보드를 설정하기 위한 프로그램이다. KRBanker_d8dba.exe 는 hosts 파일 등을 수정하지 않고, 백신 감시를 피해 chcp.com 을 이용하여 가짜 사이트로 유도하므로 악성동작이 있음을 알아채기 힘들다.




3. 악성 동작

3-1. 자동실행 등록

KRBanker_d8dba.exe 는 재부팅 후에도 자동실행 되도록 레지스트리에 임의의 8글자로 자신을 등록한다. chcp.com 을 실행한 후 종료되기에 감염된 상태에선 KRBanker_d8dba.exe 의 동작을 확인할 수 없다.

 



[그림] 자동실행 등록


3-2. 인터넷뱅킹 파밍

기존 사용하던 파밍 방식으론 hosts 파일 내에서 파밍 대상 은행주소를 쉽게 알 수 있었지만, 자동 구성 스크립트를 이용한 방식이 인기를 끌면서 브라우저가 접속중인 주소와 파밍 대상 은행주소를 해쉬화 시켜 비교하기에 파밍 대상 은행주소를 알아내는데 어려움이 있다. 파밍 대상 주소가 아닌 URL로는 악성동작을 하지 않는다.



[그림파밍 대상 은행주소




감염상태에서는 웹 브라우저 시작페이지가 N 포털 사이트로 바뀌고 팝업 창을 통해 가짜 은행 사이트로 유도한다. 팝업 창 외에는 클릭이 되질 않기에 포털 사이트 이용이 불가하다. 팝업창의 은행 배너를 클릭하면 은행사이트로 보이는 파밍사이트로 이동하게 되고 이후 계좌정보, 계좌비밀번호, 보안카드번호 전체입력을 요구하는 창이 표시된다.





[그림웹 브라우저 시작 페이지 변경 및 가짜사이트로 유도




파밍에 사용되는 가짜 웹 서버의 주소는 아래의 방식으로 얻어온다. 가짜 웹 서버 주소를 얻는 방법으로 중국 메신저 서비스를 이용하기 때문에 차단이 어렵다.



[그림가짜 웹 서버 IP 수신 패킷




위의 방식을 통해 악성코드가 얻어온 웹 서버 IP를 조회해 본 결과 정상 인터넷뱅킹 사이트의 IP를 조회할 때와는 다른 결과를 확인할 수 있다.


[그림가짜 서버(좌)와 정상 서버(우)의 조회결과 차이




3-3. 인증서 유출

인증서 유출은 추가적으로 실행된 chcp.com 에서 수행된다. PC의 모든 폴더를 대상으로 NPKI 폴더를 검색하며 인증서 발견 시 임시폴더 하위에 폴더 경로와 함께 인증서를 백업해 두는 모습을 볼 수 있다.

[그림임시저장된 인증서




4. 결론

이 악성코드는 자동 구성 스크립트를 이용하여 동작하기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다. OS 의 모든 파일이 어떤 역할을 하는지 전부 알기란 불가능하지만 검색을 통해 쉽게 그 역할을 파악할 수 있다. 


검색 결과 chcp.com 은 정상동작 하엔 네트워크 동작을 하지 않음을 확인할 수 있다. 따라서 OS에서 제공하는 보안경고에 조금만 주의를 기울인다면 PC의 이상징후를 보다 빨리 파악할 수 있을 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림OS 보안경고




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서


 

1. 개요

최근금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다.


금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다.


이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 보이지 않았던 루프 백 DNS 방식을 사용한 파밍 기법에 대해 설명하고자 한다.

 



[
그림악성코드 유형별 비율 (자료출처한국인터넷진흥원)



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

smo.exe

파일크기

64,696 byte

진단명

Trojan/W32.JPBanker.64696

악성동작

인터넷 뱅킹 파밍

네트워크

103.***.***.167

 


2-2. 유포 경로

smo.exe 는 http://g****m*.com/bbc/smo.exe 주소를 통해 유포되고 있었다주목할만한 부분은 일본 금융권을 표적으로 한 악성코드가 국내 사이트에서 발견 되었다는 점이다따라서취약하거나 잘 관리되고 있지 않은 국내 사이트가 일본 대상 파밍 공격 유포지로 이용되고 있는 것으로 보인다.



[그림중간 경유지로 이용되고 있는 국내 사이트


2-3. 실행 과정

smo.exe 악성코드는 실행 시 프로세스로 상주하며 yahoo.co.jp와 일본은행 도메인에 대해 DNS 변조를 시도 한다DNS 변조로 사용자는 피싱 사이트에 접속하게 된다. 피싱 사이트엔 사용자 정보를 탈취할 수 있도록 제작되어 있다.


하지만 smo.exe 파일의 경우, 실행이 지속되어야 파밍 공격의 성공률이 높아지는데 재부팅 시에는 파일이 다시 실행되지 않는 점을 가지고 있다결과적으로악성코드가 정상적으로 동작하더라도 사용자가 PC를 재부팅하면 파밍 동작이 수행되지 않는 것이다


따라서일련의 완벽한 악성동작을 위해선 수집한 smo.exe 파일 외에 또 다른 모듈이 있었을 것으로 보여진다.



 

3. 악성 동작

3-1. 방화벽 검사 예외 등록

악성코드는 방화벽 관련 COM 오브젝트를 이용하여 자기 자신을 Sevsl이라 명하고, 방화벽 검사를 예외처리 한다만약해당 악성코드에 대한 예외처리를 해제 한다면 파밍 동작은 수행되지 않는다.




[그림악성파일을 방화벽 검사 예외로 등록




3-2. DNS 변조, 피싱 사이트 연결

악성코드는 특정 값으로 인코딩 되어 있는 비주얼 베이직 코드를 복호화하여 DNS 설정을 변경한다복호화 된 비주얼 베이직 코드는 '[그림복호화 된 DNS 변조 코드' 와 같으며첫 번째 DNS 주소를 사용자 PC 자신으로 만들고(루프 백두 번째 DNS 주소는 구글(Google) DNS 주소로 변경 하는 동작을 한다구글의 정상 DNS 서버를 두 번째 주소로 사용하는 이유는 악성코드의 표적이 아닌 사이트의 도메인 네임 요청이 들어 왔을 경우인터넷 연결을 정상적으로 동작 시키기 위함이다.


루프 백 IP란 자기자신을 가리키는 IP로써 127.0.0.1 이라는 고정된 주소 값을 가진다해당 악성코드는 루프 백 IP DNS를 변조시켜 악성코드 자신이 DNS 서버가 된다이후 사용자가 발생시킨 DNS 쿼리 중 공격 대상 사이트가 존재할 경우 피싱사이트로 연결해주는 동작을 한다.

 



[그림복호화 된 DNS 변조 코드



[그림복호화 된 DNS 변조 코드 (정렬)

 




마지막으로 악성코드가 DNS 서버로 동작하기 위해서는 53번 포트를 사용해야 한다. 53번 포트는 잘 알려진 포트(Well-known port) 중 하나이며 DNS 프로토콜을 위해 사용된다해당 파일은 bind 함수를 사용하여 53(0x35) 포트를 사용하도록 설정한다.




[그림] bind 함수를 사용하여 53번 포트를 할당

 




모든 설정이 끝난 smo.exe 파일은 PC 에서 DNS 서버 역할을 하기 위해 특정 주소(u***s.q***e.**.com)에서 피싱 사이트 IP주소를 가져온 뒤 공격 대상이 되는 도메인에 대해 변조를 수행한다또한인터넷 익스플로러 시작페이지를 yahoo.jp 로 변경하여 사용자가 인터넷에 접속 시 바로 피싱 사이트로 접속하게 한다.

 




[그림] DNS 서버 동작을 하고 있는 smo.exe




[그림특정 주소지에 변조 할 IP를 요청




[그림변조된 도메인 IP

 



3-3. PC 정보 탈취

해당 악성코드는 감염된 PC MAC 정보를 전송하는 정보탈취 동작을 수행한다.





[그림감염된 PC MAC 주소 전송




3-4. 피싱 사이트계정 탈취

루프 백 DNS 변조기법을 사용하여 파밍 동작을 수행한 이후 피싱 사이트에서의 악성동작은 다른 피싱 사이트들의 악성동작과 크게 다르지 않다처음 접속되는 yahoo.jp 를 통하여 총 8개의 일본은행 피싱 사이트로 접속을 유도하며각 은행사에 대한 또 다른 피싱 사이트를 통해 사용자가 입력한 계정 정보를 공격자에게 전송한다.





[그림] yahoo.jp 의 피싱 사이트에서 가짜 경고문 생성

 




총 8개의 은행에 대한 피싱 사이트를 운영하고 있으며 아래 은행이 대상 사이트이다.




bk.mufg.jp

resonabank.co.jp

japannetbank.co.jp

mizuho.co.jp

shinseibank.com

smbc.co.jp

rakuten-bank.co.jp

jp-bank.japanpost.jp


[피싱 공격의 대상이 되는 금융권 사이트




은행 피싱 사이트에서는 어떤 링크를 누르더라도 하단의 웹 페이지로 연결되며 경고문과 함께 로그인을 요구하고 있다물론 해당 웹 페이지는 정상페이지가 아니며 계정정보를 입력 후 로그인 버튼을 누르면 사용자 계정정보가 특정 서버로 전송된다.




[그림가짜 로그인 화면




[그림사용자 로그인 계정정보가 전송




 

4. 결론

smo.exe 의 전체적인 동작은 기존 국내에서 활동하던 파밍 악성코드가 동작하던 방식과 매우 유사하다다만그 대상이 일본은행으로 바뀌었고일본 내 금융환경에 맞게 공인인증서 탈취와 같은 불필요한 동작이 제거되었다또한파밍의 방법에 있어 최근에 자주 쓰이던 파밍 방식과 다른 방식을 사용했기 때문에 다양한 방면으로 공격을 시도하고 있음을 알 수 있다.


국내에 비해 일본은 파밍 공격 악성코드가 잘 알려져 있지 않았고사회적으로도 큰 이슈가 되지 않았기 때문에 계속적인 피해가 우려된다. 또한, smo.exe 은 해외에 거주하고 있는 재외국민들도 해외 금융권 거래에서 더 이상 안전 할 수 없음을 시사한다


따라서 금융거래 시에 개인 이용자 스스로 항상 주의를 기울이는 것은 물론관련기관 또한 악성공격에 대한 대비와 충분한 홍보가 이루어 져야 할 것이다해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

k01922.exe 악성코드 분석 보고서  


1. 개요


인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 


다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



 

 

2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

k01922.exe

파일크기

175,616 byte

진단명

Trojan/W32.KRBanker.175616.E

악성동작

인터넷 뱅킹 파밍

네트워크

m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***.57

 


 

2-2. 유포 경로

k01922.exe 의 유포경로에 앞서, 애드웨어 WindowsTab 에 대해 알 필요가 있다. WindowsTab nProtect에서 진단하는 애드웨어 중 하나로, 파일을 다운로드 할 때 끼워팔기 형태로 설치되며, 사용자가 원치 않는 쇼핑몰 바로가기 등을 생성한다.


WindowsTabhttp://www.m***.co.kr/app/windowstab/windowstab.php 를 통해 설치 및 업데이트 된다. 이 웹 페이지에 WindowsTab이 설치된 PC에 관한 여러 정보를 전송하면, 설치 파일 및 설치관련 정보를 다운받아오는 형태로 동작한다.


문제는 k01922.exe가 유포되는 웹 서버 또한 동일한 기능을 지원한다는 점이다. k01922.exe가 업로드 되어 있는 웹 서버(http://j****o*l.org/files/ad_25/windowstab.php) 또한 windowstab.php 파일이 확인되고, 이 페이지는 m***.co.kr windowstab.php 와 완전히 같은 기능을 하지만, 애드웨어 windowstab.exe 가 아닌, k01922.exe 를 다운받도록 수정되어 있다.



[
그림] 애드웨어 업데이트(), KRBanker 업데이트()

 



이는 애드웨어의 업데이트서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있음을 보여준다.


불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 이미 여러 백신업체에서 진단하고 있다. 하지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단 되기까지 짧은 공백이 존재할 수 있다. 또한 애드웨어는 사용자의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 정상 제휴 프로그램 처럼 설치되기에 감염사례가 매우 많다. 실제로 ISARC12월 악성코드 치료 통계자료에서 많은 PC가 애드웨어에 감염되어 있었음을 확인할 수 있다.




[
그림] 201512월 악성코드 유형 비율
(출처 - ISARC 12월 월간보안동향 보고서)

 



악성파일은 시간대별로 다르게 업로드 되어 유포된다. 시간대는 대체로 오후 3시부터 7시 사이로, 이 기간에만 잠시 동안 악성코드가 업로드 되었다 사라진다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 금융권 파밍 악성코드란 공통점이 있다. 테스트일 현재(2016-01-19 16) ad_25/k01922.exe 가 업로드 되어있고, 애드웨어의 정기 업데이트 기능을 이용해 유포될 것으로 보인다.



날짜

업로드 파일

2015-12-18

http://j****o*l.org/*****/*****/dwaof.exe

http://j****o*l.org/*****/*****/ress1.exe

2015-12-19

http://j****o*l.org/*****/*****/zcmsk.exe

2015-12-22

http://j****o*l.org/*****/*****/fwbbg.exe

http://j****o*l.org/*****/*****/olfhb.exe

http://j****o*l.org/*****/*****/vprhh.exe

2016-01-06

http://j****o*l.org/*****/*****/gpcqy.exe

2016-01-09

http://j****o*l.org/*****/*****/psrju.exe

2016-01-12

http://j****o*l.org/*****/*****/ajkbz.exe

2016-01-13

http://j****o*l.org/*****/*****/apuzbf.exe

http://j****o*l.org/*****/*****/kwsiu.exe

http://j****o*l.org/*****/*****/tkiqd.exe

http://j****o*l.org/*****/*****/yuefs.exe

http://j****o*l.org/*****/*****/hluze.exe

http://j****o*l.org/*****/*****/hnyixxr.exe

http://j****o*l.org/*****/*****/jnajkc.exe

http://j****o*l.org/*****/*****/conbaamhm.exe

http://j****o*l.org/*****/*****/gvrgih.exe

http://j****o*l.org/*****/*****/hulkm.exe

2016-01-14

http://j****o*l.org/*****/*****/kuocoxv.exe

http://j****o*l.org/*****/*****/lin.exe

http://j****o*l.org/*****/*****/miqbk.exe

http://j****o*l.org/*****/*****/vfkvezur.exe

http://j****o*l.org/*****/*****/nfbhxmnw.exe

http://j****o*l.org/*****/*****/bwchbi.exe

http://j****o*l.org/*****/*****/eyuyg.exe

http://j****o*l.org/*****/*****/lin12.exe

http://j****o*l.org/*****/*****/lin23.exe

http://j****o*l.org/*****/*****/otygngn.exe

2016-01-18

http://j****o*l.org/*****/*****/ali12.exe

http://j****o*l.org/*****/*****/ko.exe

2016-01-19

http://j****o*l.org/*****/*****/ko12k.exe

http://j****o*l.org/*****/*****/GO_1095724067_12312312e12e.exe

http://j****o*l.org/*****/*****/k01922.exe

2016-01-20

http://j****o*l.org/*****/*****/kod12.exe

http://j****o*l.org/*****/*****/kosa1.exe


[표] 날짜와 시간에 따른 유포파일 변화




[
그림] 금융권 파밍 악성코드로 로 교체된 WindowsTab



 

2-3. 실행 과정

애드웨어 업데이트를 이용해 유포된 k01922.exewindowstab.exe 란 이름으로 다운로드 되며, WindowsTab이 설치된 동일 폴더에 생성된다. 실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용하여 위조 포털 사이트로 연결 및 인증서 유출 등의 악성동작을 수행하게 된다.




 

3. 악성 동작

3-1. 자동 구성 프록시 (Proxy Auto-Config, PAC)

과거 비슷한 동작을 하는 악성코드가 hosts 파일 수정을 통해 위조 사이트로 연결시켰던 것과 달리, k01922.exe hosts파일을 수정하지 않고도, 위조 웹 서버로 연결시킨다. 이는 많은 백신 제품이 hosts파일 수정 방지 기능을 제공하기 때문에 이를 우회하기 위한 것으로 보인다.


자동 구성 프록시란 웹 브라우저 단에서 별도의 프록시서버 설정이 없이도 특정 URL에 대해 자동으로 프록시 서버 설정을 해 주는 스크립트다. 관련 정보는 IE 기준, "도구 -> 인터넷 옵션 -> 연결 -> LAN 설정에서 확인할 수 있다. (출처 – Proxy Auto-Config 위키)


감염PC“LAN 설정항목을 보면, 자동 구성 스크립트가 사용으로 설정되어 있고, 해당 주소는 127.0.0.1:1178 임이 확인된다. IP주소 127.0.0.1 는 감염PC 자신을 의미한다. 또한 이 주소를 제공하는 프로세스는 감염된 정상 프로세스 comp.exe 임이 아래 그림에서 확인된다.

 

 

 

 

[그림] 자동 구성 스크립트 설정 및 감염된 프로세스

 



k01922.exe comp.exe 을 감염시켜 프록시 서버로 이용하고, 이를 통해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다.


[
그림] 난독화 해제된 PAC 스크립트

 



감염된 정상 프로세스 comp.exe PC의 파일 비교 시 사용되는 윈도우 기본 프로그램이다. 일반적으로 감염PC의 상황과 같이 항상 실행중인 일은 없기 때문에 comp.exe 를 강제종료 하면 정상 포털 사이트로 접속해 악성동작을 예방할 수 있다.





3-2. 인터넷뱅킹 파밍 및 인증서 유출


k01922.exe 는 위조 서버의 주소를 얻기 위해 users.q****.**.com 를 이용한다. URL은 정상 중국 메신저 사이트로 이 URL에서 제공하는 API를 이용해 악성 서버의 IP를 얻어온다. 조회한 악성 서버의 IP는 고정적이지 않고, q****.**.com 또한 중국의 정상 웹 사이트기 때문에 원천적 차단에 어려움이 따른다.


이렇게 얻은 IP는 위조 사이트들의 웹 서버 및 기타 악성동작에 사용된다. 감염 PC에서 브라우저 실행 시 아래와 같이 위조 포털 사이트의 화면을 확인할 수 있다.


이 화면에서 각 은행의 배너 이외에는 클릭이 되지 않기 때문에 정상적인 인터넷 이용이 불가능하다. 은행배너 클릭 시 각 은행의 위조 페이지로 연결되며 계좌정보 및 보안카드 전체 정보 입력을 요구한다. 실제 사이트와 매우 유사하게 만들어져 있지만 이는 파밍 사이트로, 모든 입력 정보는 해커에게 전송된다.



[그림위조 네이버 접속화면




[
그림] 계좌정보 및 보안카드 정보 탈취 페이지




또한 아래 화면에서 PC에 저장된 모든 공인인증서가 임시폴더 하위에 저장된 모습을 확인할 수 있다. PC의 하드디스크 뿐 아닌 이동식 저장장치(E 드라이브) 에 저장된 인증서 또한 탈취되기 때문에 주의가 요구된다.




[그림] 임시 저장된 인증서


 

4. 결론

애드웨어 WindowsTab 은 사용자의 PC에 기본적으로 자동실행 등록되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다. k01922.exe 의 한가지 특징으로 파밍을 위해 hosts 파일을 수정하지 않기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다.




[
그림] 방화벽 해제 알림

 



이는 PAC를 제공하기 위해 방화벽 설정을 변경한다는 알림으로 계속 차단을 선택하면 악성동작을 수행하지 못한다. 하지만 많은 사용자들이 PC의 주요 보안경고에 주의를 기울이지 않고 악성코드에 피해를 입고 있는 실정이다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 애드웨어와 파밍 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, 위에 언급된 WindowsTab 외에도 다른 많은 애드웨어에 대한 주기적인 업데이트가 이뤄지고 있다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면





[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
Posted by nProtect

dcujl.exe 악성코드 분석 보고서 

 


1. 유포 경로


특정 화장품 판매 쇼핑몰 웹서버(http://www.g*****e.co.kr/**c/***2/dcujl.exe)에 악성파일이 업로드되어 유포되었다.

유포된 dcujl.exe 파일은 정상 wininet.dll 파일 버전정보를 사용하여 사용자가 악성파일로 의심하지 않도록 한다. 



[그림]dcujl.exe 버전정보





2. 악성 동작


2.1. DCUJL.EXE


dcujl.exe 파일은 C:\Documents and Settings\Administrator\Local Settings\Temp경로에 랜덤 크기 문자열을 추가한 자가 복제본을 랜덤한 문자열로 생성 후 실행한다.


실행된 Temp경로 파일 (예: ycepl.exe)은 아래 2개 파일을 생성한다.


C:\wiseman.exe

C:\(랜덤한문자열)\(랜덤한문자열).(랜덤한문자열)

(; D:\kmpuvjvi\rvhhw.vhr / C:\jrgfb\damdj.add)

[표]생성된 드랍파일 목록



D:\kmpuvjvi\rvhhw.vhr 생성은 D드라이브 유무를 체크해 D드라이브가 존재할 경우 D드라이브에, 존재하지 않을 경우 C드라이브에 생성한다.


드라이브 경로 하위에 랜덤한 문자열의 폴더를 생성하고 랜덤한 5자의 문자열로 파일명을, 랜덤한 3자의 문자열로 확장자를 지정하여 파일을 생성, 실행시키며 모든 동작을 수행한 후엔 자신을 삭제하고 종료한다.





2.2. D:\KMPUVJVI\RVHHW.VHR


Dcujl.exe 파일에 의해 생성된 랜덤한 이름의 파일(이하 rvhhw.vhr)dll 파일로서 단독으로 실행될 수 없기 때문에 C:\windows\system32\rundll32.exe 파일을 이용하여 실행되며, 이렇게 실행된 rvhhw.vhr 파일은 함께 생성된 C:\wiseman.exe 파일의 유무를 체크한 뒤 실행한다.



[그림]rundll32.exe를 이용하여 실행 되는 rvhhw.vhr



rvhhw.vhr 는 사용자의 DNS 설정을 변경하고, hosts 파일을 변조한다.


DNS 1 = 127.0.0.1

DNS 2 = 8.8.8.8

[표]DNS 변조 내용


*3.**1.**4.*0    www.shinhan.com

*3.**1.**4.*0    search.daum.net

*3.**1.**4.*0    search.naver.com

*3.**1.**4.*0    www.kbstar.com.ki

*3.**1.**4.*0    www.knbank.co.kr.ki

*3.**1.**4.*0    openbank.cu.co.kr.ki

*3.**1.**4.*0    www.busanbank.co.kr.ki

*3.**1.**4.*0    www.nonghyup.com.ki

*3.**1.**4.*0    www.shinhan.com.ki

*3.**1.**4.*0    www.wooribank.com.ki

*3.**1.**4.*0    www.hanabank.com.ki

*3.**1.**4.*0    www.epostbank.go.kr.ki

*3.**1.**4.*0    www.ibk.co.kr.ki

*3.**1.**4.*0    www.idk.co.ki

*3.**1.**4.*0    www.keb.co.kr.ki

*3.**1.**4.*0    www.kfcc.co.kr.ki

*3.**1.**4.*0    www.lottirich.co.ki

*3.**1.**4.*0    www.nlotto.co.ki

*3.**1.**4.*0    www.gmarket.net

*3.**1.**4.*0    nate.com

*3.**1.**4.*0    www.nate.com

*3.**1.**4.*0    daum.com

*3.**1.**4.*0    www.daum.net

*3.**1.**4.*0    daum.net

*3.**1.**4.*0    www.zum.com

*3.**1.**4.*0    zum.com

*3.**1.**4.*0    naver.com

*3.**1.**4.*0    www.nonghyup.com

*3.**1.**4.*0    www.naver.com

*3.**1.**4.*0    www.nonghuyp.com

*3.**1.**4.*0    www.wooribank.com

*3.**1.**4.*0    www.ibek.co.ki

*3.**1.**4.*0    www.epostbenk.go.ki

*3.**1.**4.*0    www.hanabenk.com

*3.**1.**4.*0    www.keb.co.ki

*3.**1.**4.*0    www.citibank.co.ki

*3.**1.**4.*0    www.citibank.co.kr.ki

*3.**1.**4.*0    www.standardchartered.co.kr.ki

[표]변조된 hosts 파일


감염된 환경에서 유명 포털사이트, 금융권 사이트, 쇼핑사이트 등에 접속을 시도할 경우 변조된 hosts파일에 기재된 특정 IP (*3.**1.**4.*0) 로 접속된다.

현재는 해당 IP (*3.**1.**4.**0)에 접속이 되지 않지만, 정상적으로 연결될 경우 파밍을 위한 페이지로 연결 된다.

 

윈도우 부팅 시 자동으로 실행하도록 하기 위하여 레지스트리의 Run 하위에 아래와 같이 값을 추가한다.


[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : EvtMgr

데이터 : C:\windows\system32\rundll32.exe “C:\jrgfb\damdj.add”

[표]레지스트리 등록 값




2.3. WISEMAN.EXE


Wiseman.exe 파일은 광고프로그램 설치파일로, 실행 직후 다음 경로에 .url 파일 (바로가기 파일) 을 생성한다

C:\Documents and Settings\Administrator\바탕화면\

C:\Documents and Settings\Administrator\Favorites\

C:\Documents and Settings\Administrator\Favorites\연결\

C:\Documents and Settings\Administrator\Favorites\Links\

C:\Documents and Settings\Administrator\시작 메뉴\

C:\Documents and Settings\Administrator\Application Data\User Pinned\StartMenu\

C:\Documents and Settings\Administrator\Application Data\

C:\Documents and Settings\Administrator\Local Settings\Application Data\

[표]바로가기 파일 생성 경로




[그림]바로가기 생성 결과



추가적으로 가져온 url 정보 중 http://**i.w************t.com/**s/f***s/criteo.exe (*.**1.**0.**9) 로 접속하여 광고 팝업을 발생시키는 criteo.exe 파일을 다운로드 및 실행한다.

해당 파일을 윈도우 부팅 시 자동 실행하기 위하여 레지스트리의 Run 하위에 아래와 같이 값을 추가한다.


[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

값 이름 : wiseman

데이터 : C:\wiseman.exe

[표]레지스트리 등록 값




3. 결론


dcujl.exe C:\(랜덤한문자열)\(랜덤한문자열).(랜덤한문자열) 파일을 이용하여 hosts 파일을 변조해 금융권 파밍을 수행하는 것이 주 목적이다. dcujl 파일이 실행파일의 형태이기 때문에 wiseman.exe 파일을 함께 드랍 및 실행하여 사용자의 의심을 회피한다.


해당 악성코드는 nProtect Anti-Virus/Spyware에서 진단명 Trojan/W32.KRBanker.271058 로 진단 및 치료가 가능하다.


[그림]진단 및 치료 가능



저작자 표시 비영리 변경 금지
신고
Posted by nProtect

 kaulj.exe 악성코드 분석 보고서  

 

1. 개요


1.1. 파일정보

 

 파일명

 kaulj.exe

 파일크기

 96,710 byte

 진단명

 Trojan/W32.KRBanker.96710

 악성동작

 인터넷 뱅킹 파밍인증서 탈취

 특징

 hosts hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취

 자동실행으로 지속적인 악성동작 유지

 파일 드랍



1.2. 분석환경


 운영체제

 Windows XP SP3 32bit (한글)

 분석도

 IDA, PEview, OllyDbg, ProcExp


 

 

2. 분석정보

2.1. 파일 유포 경로

이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다*******wire.com 외에 아래 표에 나열된 최초 경유사이트들은 공통적으로 www.k****.co.kr/cd1.html 를 중간 경유사이트로 사용하였고, 최종 경유사이트 180.**.***.131/Us******sc*****x.html를 거쳐 www.t*****a*s.com/kaulj.exe에서 다운로드 되었다.



www.e****.co.kr

p*****.ar*****e.com

www.bo****nd****a.co.kr

www.b***.co.kr

www.s****.co.k******ain.asp

www.r****.co.kr

www.s****w**.biz

www.t*****a**.com

www.m*******im.pe.kr

www.e***b.co.kr

www.y***.com

www.b*****y.com

www.h****b.co.kr

www.c***u.com

www.n******en.or.kr

t****erc******ing.co.kr

www.vi*******rl.kr

***.**s.or.kr

www.i******t.co.kr

www.a***d.com

www.s****n.pe.kr

www.r***a.co.kr

www.a****op.co.kr

이하생략

[표]최초 경유 사이트 목록


2.2. 샘플 분석

Kaulj.exe는 KRBanker 진단명을 갖고 있으며 인터넷뱅킹 사용자를 위조 인터넷뱅킹 사이트 접속을 유도(파밍)한다. 본 보고서는 샘플 내부 상세 동작에 중점을 두고 분석을 진행했다.

 

2.2.1. kaulj.exe 상세 분석


악성동작은 다운로드된 실행파일이 아닌 kaulj.exe에서 드랍된 dllrundll32.exe를 통해 실행되어 동작한다. 이 때 실행파일은 드랍퍼 역할만 수행하는 것이다. 파일 드랍 과정에서 각종 안티 디버깅 기법이 존재하기에 분석 시간이 오래 걸리며 진단이 늦춰지고, 악성동작 생명주기를 연장시킨다. 결과적으로 샘플 실행 시, D:\5자리 랜덤 문자열의 폴더가 숨김 속성으로 생성되고, 그 안에 확장자가 6자리 랜덤 문자열인 dll파일이 드랍된다. D드라이브가 존재하지 않을 경우엔 C:\에 생성한다.



 


[그림]드랍된 파일




이후 rundll32.exe를 실행시켜 드랍한 dll파일의 export함수 Dialer를 실행하고, 재부팅해도 이 과정이 실행되도록 레지스트리를 수정한다. 모든 악성동작은 드랍한 dll파일의 Dialer함수 안에 구현되며, 자동실행등록을 마친 실행파일은 자신을 삭제한 후 종료된다.

 



[그림]자동실행 설정된 레지스트리





2.2.2. Dialer 함수 상세분석

Dialer함수는 C:\경로에 wiseman.exe의 유무를 확인 후, 있다면 실행시킨다하지만 이 파일은 테스트 환경에서 드랍되거나 다운로드 되지 않기 때문에 실제 동작하지는 않는다여기서 wiseman.exe는 유명 애드웨어의 파일명으로 다른 KRBanker의 변종 중 이 파일을 드랍하고 실행하는 샘플이 존재도 한다.

 

 


[그림]wiseman.exe stov.exe 실행




이후 174.***.65.**2으로 접속을 시도한다. 이 주소로부터 전송 받은 데이터를 기반으로 C:\lang.ini파일을 기록하거나, 파일을 다운로드 하는 등의 동작을 수행하지만 현재 174.***.65.**2에 접속되지 않아 실제 데이터는 확인되지 않는다.


C:\lang.ini
에 기록하는 내용은 인증서파일 전송지 주소이다. 지금처럼 서버와 통신이 되지 않는 경우에는 전송지 주소를 기본 174.***.35.**3/u.php로 설정한다.


다운받는 새로운 모듈은
“5자리랜덤문자.mp3”로 저장하여 서비스나 프로세스를 생성하는데 사용된다. 특히 서비스 생성에 사용될 땐 레지스트리 …\CurrentControlSet\Services\RemoteAccess\RouterManagers\IP Dllpath의 값을 수정하는데, 정상적인 Dllpath의 값은 “%WIDDIR%\system32\iprtrmgr.dll”이다.
이 레지스트리는 “Routing and Remote Access” 서비스에 필요한 dll을 명시한 것으로, 정상 dllPC가 라우터 기능을 하는데 필요한 함수를 export하고 있다. 레지스트리 수정 후에는 동일 모듈을 사용해 랜덤한 31자리 문자열을 이름으로 서비스를 생성하는 루틴이 있다.



[그림]다운로드 및 서비스/프로세스 생성



[그림]서비스 생성의 경우



[그림]프로세스 생성의 경우




다운로더 및 인증서 탈취 동작 이후에는 hosts파일 변조를 수행한다. 특이사항으론 가상환경이 탐지되었을 루틴이 추가된다는 점이다.



샘플은 아래의 레지스트리를 확인하여 VMwareHostOpen.exe키의 존재로 가상 환경을 식별한다. HKCR\Applications\ 하위에는 해당 PC에서 실행되는 각종 실행파일명과 그 실행에 관련된 옵션들이 명시되어 있다. 따라서 이 레지스트리 하위에 가상환경에서 주로 사용되는 VMwareHostOpen.exe가 존재한다면 가상PC임을 식별할 수 있다.




 [HKCR\Applications\cmd.exe]

  [HKCR\Applications\access.exe]

[HKCR\Applications\VMwareHostOpen.exe]

[표]레지스트리 예시




가상 PC로 식별된다면 샘플은 다른 악성 주소 http://b***.s***.com.**/u/5*****98** 로 접속을 시도하고 위의 루틴과 마찬가지로 파일을 다운로드 해 서비스 혹은 프로세스로 실행시키는 추가동작을 수행한다.






[그림]가상PC에서의 추가동작






3. 결론


kaulj.exe는 인터넷뱅킹 파밍 이라는 수행한다는 점에서 KRBanker로 진단된 다른 샘플들과 큰 차이는 없으나 상세분석 결과 내부적으로 동작하지 않는 여러 악성 루틴이 존재하는 것으로 확인되었다. 이는 악성샘플들도 다른 프로그램들과 마찬가지로 계속 개발 및 기능추가가 되고 있고 새로 배포되는 악성샘플들은 언제라도 추가적인 악성동작을 수행할 가능성이 있음을 시사한다. 또한 40여개에 이르는 최초 경유사이트의 숫자에서 해커가 악성코드 배포에 더욱 공격적으로 임하고 있음을 알 수 있다.



현재 nProtect AVS에선 드랍퍼 kaulj.exe와 드랍된 dll파일도 진단하고 있다

 


 

[그림]진단 및 치료 가능

 

 

 

저작자 표시 비영리 변경 금지
신고
Posted by nProtect

BERPOY.exe 악성코드 분석 보고서  

 



1. 개요


1.1. 파일정보

 

 파일명

 BERPOY.exe

 파일크기

 79,368 byte

 진단명

 Trojan/W32.KRBanker.79368

 악성동작

 인터넷 뱅킹 파밍, 인증서 탈취

 연결대상

 **7.**3.**9.**8

특징

 DNS host 파일 변조, 인증서를 네트워크로 전송



1.2. 분석환경


 운영체제

 Windows XP SP3

 분석도구

 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark


 

1.3. 전체흐름도

 

 

 

 

2. 분석정보

2.1. 파일 유포 방식

 

특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 실행된다.


2.2. 샘플 분석

2.2.1. 파일 생성

 

본 샘플 파일은 실질적인 악성동작을 수행하지 않고, 수행하는 파일을 따로 생성하여 실행시킨다. 실행된 후에는 D드라이브 또는 C드라이브 하위에 랜덤 이름의 폴더를 생성한 후, 랜덤 이름의 파일을 드랍한 뒤 폴더 속성을 숨김으로 지정하여 사용자가 인지하기 어렵게 만든다. 생성된 파일은 각기 다른 이름과 확장자를 가지지만 파일 내용은 동일하다.

대다수 악성파일은 C드라이브 하위 폴더에 파일을 생성하는 데 반해 BERPOY.exe D드라이브 하위에 우선 생성하는 것이 첫 번째 특이점이며, 감염 시점마다 폴더와 파일명뿐만 아니라 파일 확장자도 랜덤 생성한다는 것이 두 번째 특이점이다.
(
이미 감염된 환경에서의 재감염은 없다.)
 


 

 

[그림]BERPOY.exe 악성동작 수행 파일 생성

 

2.2.2. 자동실행 레지스트리 등록 


실행 후에는 PC 재 부팅 시에 악성파일이 자동으로 실행될 수 있도록 레지스트리에 값을 등록한다.

 

레지스트리 키: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

                          값 이름: EvtMgr

                          값 데이터: c:\windows\system32\rundll32.exe
"D:\kpcebbs\zlfne.lnz",Connect

 

 

 

2.3. ZLFNE.LNZ 악성파일


2.3.1. DNS 변경

 

사용자의 DNS 설정을 변경한다.

 

 

             DNS 1 = 127.0.0.1

             DNS 2 = 8.8.8.8

 

 

이는 이후의 hosts 파일 변조 동작과 파밍을 위한 준비 작업이다.

 

 

2.3.2. HOSTS 파일 변조

 

k*****r.com IP 주소 (**7.**3.**9.**8)를 알아오고 이를 이용하여 C:\windows\system32\drivers\etc\hosts 파일을 변경한 후, 동일한 경로에 복사본 hosts.ics 를 생성한다.

 

**7.**3.**9.**8    search.daum.net

**7.**3.**9.**8    search.naver.com

**7.**3.**9.**8    www.kbstar.com.ki

**7.**3.**9.**8    www.knbank.co.kr.ki

**7.**3.**9.**8    openbank.cu.co.kr.ki

**7.**3.**9.**8    www.busanbank.co.kr.ki

**7.**3.**9.**8    www.nonghyup.com.ki

**7.**3.**9.**8    www.shinhan.com.ki

**7.**3.**9.**8    www.wooribank.com.ki

**7.**3.**9.**8    www.hanabank.com.ki

**7.**3.**9.**8    www.epostbank.go.kr.ki

**7.**3.**9.**8    www.lottirich.co.ki

**7.**3.**9.**8    www.nlotto.co.ki

**7.**3.**9.**8    www.gmarket.net

**7.**3.**9.**8    nate.com

**7.**3.**9.**8    www.nate.com

**7.**3.**9.**8    daum.com

**7.**3.**9.**8    www.daum.net

**7.**3.**9.**8    daum.net

**7.**3.**9.**8    www.zum.com

**7.**3.**9.**8    zum.com

**7.**3.**9.**8    naver.com


[표]변조된 hosts.ics, hosts파일 내용

 

 

hosts 파일 내에는 naver.com, daum.net 등과 같이 사용자가 주로 접속하는 검색엔진 홈페이지 주소와 kbstar.com, knbank.co.kr 등과 같은 금융권 홈페이지 주소가 등록되어 있다.

검색엔진의 도메인을 입력하면 hosts 파일에 의해 **7.**3.**9.**8 으로 연결되어 가짜 검색엔진 홈페이지가 보여지고 검색, 로그인, 이미지 표시 등이 정상적으로 동작하지 않는다. 또한 홈페이지 가운데에 종료할 수 없는 금융감독원팝업을 발생시켜 사용자가 금융권 페이지로 접속하기를 유도한다.

 

 

 

[그림]가짜 검색엔진 홈페이지

 

팝업창의 은행 로고를 클릭할 경우, 가짜 금융권 사이트로 연결된다. 이 때, 연결된 페이지에서 어느 것을 클릭해도 보다 안전한 서비스 이용을 위하여 추가 인증이 필요합니다라는 내용의 팝업을 발생시키고 변조된 전자금융사기예방서비스홈페이지로 강제 연결된다. 접속된 페이지에선 사용자의 이름, 주민번호, 비밀번호, 보안카드 등 주요 개인정보들의 입력을 유도한다.


 

 

 

 

 

[그림]변조된 전자금융사기예방서비스 페이지

 

 

2.3.3. 인증서 탈취

 

hosts 파일을 변조하여 개인정보 탈취 준비를 마친 후, 특정 경로 하위 NPKI 폴더의 존재여부를 검사하여 인증서의 유무를 확인하고 인증서를 특정 서버 (http://**7.**3.**1.**9:****4 /u.php) 로 전송한다.


 

 

 

[그림]인증서 전송 패킷

 


저작자 표시 비영리 변경 금지
신고
Posted by nProtect

system1.exe 악성코드 분석 보고서

 


1. 개요


1.1. 파일정보

 

 파일명

 system1.exe

 파일크기

 145,408 byte

 진단명

 Trojan/W32.KRBanker.145408.B

 악성동작

 인터넷 뱅킹 파밍, 인증서 탈취

특징

 hosts hosts.ics 파일 변조를 통해 가짜 사이트로 유도

 인증서를 드라이브, 폴더 별로 압축하여 보관

 자동실행으로 지속적 인증서 탈취



1.2. 분석환경


 운영체제

 Windows XP SP3 32bit (한글)

 분석도

 Process Explorer, Wireshark, NetMon, OllyDbg


 

1.3. 전체흐름도

 

 

 

2. 분석정보

2.1. 파일 유포 방식

온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***.19/index.html 로 리디렉트 되며 admin.*****shop.co.kr/system1.exe 파일이 다운로드 된다. 여기서 주목할 점은 *****shop.co.kr admin 페이지에서 악성파일이 다운로드 되고 유포지로 사용됐다는 점에서 악성파일 배포 방식이 다양해짐을 볼 수 있다.


2.2. 샘플 분석

악성동작은 Trojan/W32.KRBanker의 변종으로 인터넷뱅킹 사용자를 가짜 인터넷뱅킹 사이트(파밍 사이트)로 유도한다는 점에서 기존 분석샘플 Trojan/W32.KRBanker.129024.F(nv.exe)과 흡사하다. 하지만 두 악성파일엔 차이가 있는데, 악성 동작 지속성에 있어 nv.exe는 1회만 실행됐으나 system1.exe는 PC가 재부팅하여도 자체적으로 자동 실행됀다. 즉, 악성코드를 치료하지 않으면 PC에 연결된 모든 외부 저장매체의 인증서를 탈취하기 때문에 사용자의 각별한 주의가 요구된다.

 

 

 Trojan/W32.KRBanker.145408.B

(system1.exe 진단명) 

Trojan/W32.KRBanker.129024.F

(nv.exe 진단명) 

 최초실행 시 인터넷뱅킹 파밍

 O

 O

 최초실행 시 인증서 탈취

 O

 O

 재부팅 시 인터넷뱅킹 파밍

 O

 O

 재부팅 시 인증서 탈취

  O 

 X

*Trojan/W32.KRBanker.145408.B(계속실행) / Trojan/W32.KRBanker.129024.F(1회 실)

 

[표]Trojan/W32.KRBanker.145408.B과 Trojan/W32.KRBanker.129024.F 비교


 

2.2.1. system1.exe의 동작


system1.exe는 실행 중엔 특정 서버(u***.q****.**.com/f**-***/cgi_get_portrait.fcg)에 대해 지속적인 쿼리(질의, 문의)를 보내고 그 결과로 hosts및 hosts.ics 파일을 변조∙생성한다.

hosts

174.***.**.46  www.kbstar.com  40931

174.***.**.46  kbstar.com  39727

174.***.**.46  obank.kbstar.com  19862

174.***.**.46  www.kbstar.com.ch  11853

174.***.**.46  open.kbstar.com  42239

174.***.**.46  www.nonghyup.com  25640

174.***.**.46  nonghyup.com  19254

174.***.**.46  banking.nonghyup.com  14013

174.***.**.46  open.nonghyup.com  38722

이하 생략

hosts.ics

174.***.**.46  www.kbstar.com  30357

174.***.**.46  kbstar.com  11458

174.***.**.46  obank.kbstar.com  12131

174.***.**.46  www.kbstar.com.ch  12558

174.***.**.46  open.kbstar.com  42113

174.***.**.46  www.nonghyup.com  14876

174.***.**.46  nonghyup.com  43510

174.***.**.46  banking.nonghyup.com  14277

174.***.**.46  open.nonghyup.com  34556

이하 생략


[표]변조된 hosts.ics, hosts파일 내용

 

system1.exe 동작으로 hosts파일이 변조 생성되고, 이로 인해 연결된 가짜 사이트는 다른 악성코드 샘플(nv.exe)로 인해 연결된 가짜사이트와 비교해봤을 때 차이가 있다

 

 



[그림]system1.exe의 가짜 네이버 사이트

 

 



[그림]nv.exe의 가짜 네이버 사이트

 

 

또한, Trojan/W32.KRBanker.129024.F(nv.exe)과 마찬가지로 탈취한 인증서를 %TEMP%폴더에 zip파일로 압축해 서버에 전송한다. 여기서 주의할 점은 악성파일이 자체적으로 자동실행되기 때문에 USB등 외부저장매체에 인증서를 저장하여도 감염된 PC에 연결되면 이 또한 유출이 가능해진다는 점이다.

 

 

 

 


[그림]탈취된 증명서가 담긴 압축파일




3. 결론

 

 

service1.exe가 유포되려면 전체 유포 경로에 접속이 원활해야 하지만 현재 경로 중 하나에 접속이 안 되는 상태로 추가적인 배포는 이뤄지지 않는다. 하지만 가짜 사이트의 주소를 쿼리하는 URL은 계속 동작중인 상태이므로 추가 변종 출현이 가능하다. 실제로 2015/09/30기준 가짜 사이트 주소로 사용된 174.***.**.44는 다운되어 악성 동작을 하지 않았으나, 2015/10/01 다시 테스트한 결과, 가짜 사이트의 주소는 174.***.**.46로 바뀌었고,  해당 주소를 이용하여 파밍동작을 수행했다.

 

밝혀진 가짜 사이트 주소는 바로 차단되지만 이를 쿼리 하는 대상 URL이 정상 사이트이므로 근본적인 차단에 어려움이 있다. 당장은 동작하지 않더라도, 새로운 주소를 받아 언제라도 다시 파밍동작을 수행할 수 있기 때문에 주기적인 백신 검사로 바이러스를 치료하는 것이 중요하다.

 



 

[그림]진단 및 치료 가능

 

 

 


저작자 표시 비영리 변경 금지
신고
Posted by nProtect
1. 국산 애드웨어 유통서버를 통한 악성파일 전파 패러다임의 변화

잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 은밀하게 위변조하여 온라인 게임계정 탈취와 메모리 해킹 등의 전자금융사기용 악성파일을 배포되고 있는 정황을 여러차례 공개한 바 있었는데, 최근들어 이 방식이 유행처럼 번져나가고 있어, 긴급대응 및 집중 모니터링 상태를 유지하고 있다.

이렇게 애드웨어에 끼워팔기식으로 유포하는 기법은 기존의 [Drive By Download] 기법이나 [Watering Hole] 방식을 이용한 웹 보안 관제만으로는 탐지하기가 매우 어렵고, 이용자들의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 악성파일을 몰래 전파시킬 수 있기 때문에 사이버 범죄자들에게 감염율이 높은 공격기법으로 활용되고 있다.

[주의]애드웨어를 통한 메모리 해킹 KRBanker 변종 악성파일 유포
http://erteam.nprotect.com/460

[주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
http://erteam.nprotect.com/437

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명

☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


보통 웹 사이트를 통한 악성파일 전파방식은 이용자 컴퓨터에 다양한 보안취약점이 우선 존재해야 하는 전제조건이 성립해야만 감염될 수 있기 때문에 아무리 많은 웹 사이트에서 악성파일을 동시다발적으로 배포하더라도 이용자의 보안수준에 문제가 없다면 악성파일에 노출될 빈도수는 상대적으로 낮아질 수 있었다.

그러나 애드웨어의 기존 유통 경로를 악용한 전파방식은 프로그램의 보안 취약점을 이용한 방식이 아니기 때문에 기존에 감염되어 있는 이용자들에게 업데이트 기능을 통해서 몰래 유입시키거나 애드웨어 유통 비율과 동일하게 악성파일을 배포할 수 있는 큰 장점을 보유하고 있다.

아래 파일들은 실제로 국내 인터넷 뱅킹 이용자와 온라인 게임 이용자의 계정정보 등을 노린 악성파일을 이용자 몰래 함께 배포한 이력을 가진 대표적인 애드웨어들이고, 이것 외에도 다수 존재한다. 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조하여 악성파일 유포에 남용하고 있는 것이다.


이는 Drive By Download 기법의 웹 모니터링과 탐지센서의 감시망을 은밀하게 우회해서 배포할 수 있다는 이점이 결합되면서 더욱 더 교묘하고 지능적인 공격기법이라 할 수 있다. 왜냐하면, 애드웨어가 설치하는 추가파일을 지속적으로 관찰하고 실체를 확인할 수 있어야만, 정확한 프로파일링과 대응이 가능하기 때문이다.

2. 퓨전공격 기법과 변화무쌍한 카멜레온 전술

지능적 사이버 범죄자들은 보안 전문업체의 관제를 회피하여 이용자의 컴퓨터에 안착하기 위한 다양한 공격기법을 연마하고 있다. 마치 공수부대 특수 침투조들이 상공에 떠있는 항공기에서 적지에 낙하산을 펴고 투입하는 작전을 진행하듯이, 악성파일 유포 방식이 갈수록 고도화되고 있는 추세이다.

국내에서는 유명 온라인 게임 계정탈취를 이용하는 악성파일이 오래 전 부터 기승을 부렸고, 그 계정을 통한 금전적 이득을 취한 사이버 범죄조직들은 인터넷 뱅킹 이용자도 정조준하고 있는 상태이다. 이렇듯 다양한 퓨전공격이 복합적으로 이뤄지고 있고, 공격자들은 필요에 따라 변장술을 적재적소에 적용하고 있다.

아래 화면은 악성파일 내부에 존재하는 문자열 등이고, 보안프로그램 방해와 여러 온라인 게임 문자들을 볼 수 있다.


국내 애드웨어 모듈을 바꿔치기한 악성파일류는 2013년 초순에는 인터넷 상품권, 사행성 게임, 온라인 게임 계정이나 아이템 등을 노린 악성파일로 "kakubi.dll" 이름의 파일명을 사용하였고, 2013년 중순 경부터는 "kakutk.dll" 이름의 파일명이 널리 사용되었다.

그러다가 2013년 하순 경에는 시스템에 존재하는 정상적인 "version.dll" 시스템 파일을 악성파일로 교체하고, 파일명이 유사한 "verslon.dll" 이름의 악성파일을 생성하고, 정상파일은 "vorsion.dll" 파일명으로 바꾸는 기법도 활용되었다. 더불어 2014년 1월에는 "version.dll" 파일과 "godlion.dll" 파일명으로 악성파일을 생성하는 기법으로 변모하고 있다.


가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

혹시 아래 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다.


3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다. 

 

2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
 

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

 

 
저작자 표시
신고
Posted by nProtect
1. 불청객 애드웨어와 KRBanker, 내 안에 너 있다.


잉카인터넷 대응팀은 최근 금융사 보안모듈의 메모리를 변조하는 지능화된 공격방식의 파밍용 악성파일이 변칙적인 광고성 악성 프로그램(애드웨어)을 통해서 은밀하게 전파되는 정황을 포착하였고, 그 실체를 처음으로 공개하고자 한다. 그동안 전자금융사기를 위한 악성파일들은 불특정 다수의 웹 사이트에 각종 보안 취약점 코드를 삽입하고 보안상태가 허술한 이용자들에게 무작위로 감염시키는 이른바 Drive By Download 기법이 주류를 이루고 있어, 웹 관제 감시센서 등을 통해서 조기에 탐지하여 차단하는 효과를 발휘하고 있다. 그러나 이번과 같이 포털사이트의 블로그나 인터넷 카페 등에 마치 정상적인 프로그램처럼 둔갑한 애드웨어 파일의 내부에 별도 악성파일을 몰래 추가한 경우 애드웨어로 단순분류되거나 보안패치가 최신으로 유지된 상태라 할지라도 추가 악성파일에 감염될 수 있게 된다.

잉카인터넷 대응팀이 자체 조사한 결과 이미 다수의 애드웨어 프로그램들이 변조되어 파밍용 악성파일을 전파해주는 또 다른 매개체로 악용되고 있는 사실을 확인했다. 이처럼 전자금융사기용 악성파일들은 유포기법부터 감염방식까지 갈수록 고도화, 지능화되고 있는 추세이다. 더불어 이런 방식은 자신의 컴퓨터가 최신의 보안상태를  유지하고 있더라도 변칙적인 광고프로그램에 현혹되어 노출되는 순간 파급력 및 위험도가 높은 전자금융사기용 악성파일에 동시 감염될 수 있다는 점에서 의미하는 바가 크고 이용자들의 각별한 주의가 요망된다.

2. 파밍용 악성파일을 품은 Adware

한국내 인터넷 뱅킹 이용자들을 겨냥한 맞춤형 악성파일인 KRBanker 종류는 변종이 거의 매일 발견되고 있을 정도로 그 심각성이 높아지고 있고, 우후죽순으로 퍼져나가고 있다. 사이버 범죄자들은 용의주도하게 이미 글로벌 기업형 사기단으로 활동할 정도로 조직이 발전하고 있고, 사이버상의 암전존재로 자리매김하고 있는 상태이다. 특히, 초기 호스트파일(hosts)을 변조하는 고전적인 단순수법에서 벗어나 나날이 고도화되고 있고, 보안모듈을 우회하거나 직접적으로 겨냥하는 등 치밀하고 과감해지는 추세이다.

최근 발견된 사례는 Drive By Download 방식의 웹 보안취약점을 이용하지 않고, 인터넷 이용자들의 활동반경과 심리를 절묘하게 역이용하여, 기존에 뿌려지고 있던 애드웨어에 KRBanker 변종 악성파일을 추가하는 방식을 도입했다. 따라서 이용자가 운영체제와 주요 응용프로그램의 최신 보안업데이트를 설치한 경우라도 애드웨어에 노출되는 순간 악성파일에 무장해제 되는 잠재적 보안위협에 노출될 수 있다. 

애드웨어들에 대한 정보는 아래 내용에서 자세히 확인해 볼 수 있다.

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


기존에도 애드웨어 종류의 악성파일을 변조하거나, 해당 사이트를 해킹하여 온라인 게임 계정 탈취용 악성파일이 배포된 경우는 여러 번 보고된 바 있다. 이러한 사이버 범죄자들이 온라인 게임 계정 뿐만 금융정보 탈취도 적극적으로 시도하고 있어 앞으로 다양한 방식의 공격이 발생할 것으로 우려된다.


변조된 애드웨어 (다운로더)프로그램이 실행된 후 약 10~20초 정도가 지나면 "kakutk.dll" 이름의 추가 악성파일이 설치된다.

2013년 05월 경까지 발견되었던 "kakutk.dll" 악성파일은 국내 유명 온라인 게임 계정 탈취용 기능만 보유하고 있었으나, 2013년 07월 경부터는 온라인 게임 계정 탈취 기능에 파밍 기능까지 추가된 상태로 발전된 상태이다.


해당 악성파일은 온라인 게임 계정탈취 기능도 함께 보유하고 있으며, 악성 드라이버 파일을 생성해서 유명 보안솔루션들이 정상적으로 작동하지 못하도록 방해기능을 시도하기도 한다. 


"kakutk.dll" 악성파일과 관련된 내용은 아래를 참고하면 좋겠다.

[주의]소켓통신(WinSock)을 가로채기하는 전자금융사기 수법 추가 등장
☞ http://erteam.nprotect.com/434


이렇듯 애드웨어를 변조하여 전자금융사기용 악성파일을 전파하는 기법도 발견되었기 때문에 인터넷 이용자들은 블로그나 인터넷 카페에서 다운로드한 프로그램을 실행할 경우 각별한 주의가 필요하다.

3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.

 

2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/

 

저작자 표시
신고
Posted by nProtect