금융정보 탈취하는 KRBanker 분석 보고서 



1. 개요 


최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

adinstall.exe

파일크기

478,208 byte

진단명

Banker/W32.Agent.478208.B

악성동작

파밍, 금융정보 탈취

네트워크

103.***.***.86 – 공격자 서버

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.




2-3. 실행 과정

악성코드는 hosts 파일 등을 수정하지 않고 자동 구성 프록시(PAC)를 통해 사용자를 파밍 사이트로 유도한다. 실행 시 아래와 같이 UAC 경고창이 나타나는 것을 확인할 수 있다. 그 다음 인터넷 브라우저의 시작 페이지를 국내 N 포털 사이트로 변경하고, 특정 페이지 접속 시 파밍 사이트로 유도한다.

[그림] Windows 방화벽 보안 경고[그림] Windows 방화벽 보안 경고





3. 악성 동작


3-1. 자동 실행 등록 및 인증서 유출

해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.


[그림] 자동 실행 등록[그림] 자동 실행 등록




감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.


[그림] 복사된 인증서와 압축 파일[그림] 복사된 인증서와 압축 파일




3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)

악성코드가 동작하면 자동 구성 프록시(PAC) 를 설정한다. PAC 란 별도의 프록시 서버 설정 없이 특정 URL 에 대해 자동으로 프록시 서버 설정을 해주는 스크립트다. 아래 그림과 같이 PAC 가 ‘127.0.0.1:1171’ 로 설정되어 있는 것을 확인할 수 있다. 이는 URL 정보에 대해 사용자 PC 의 1171번 포트로 질의하게 된다.

[그림] 자동 구성 프록시 설정[그림] 자동 구성 프록시 설정



1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.


[그림] 프록시 포트와 연결[그림] 프록시 포트와 연결





3-3. 시작 페이지 변경 및 파밍 사이트 연결

인터넷 브라우저의 시작 페이지가 N 포털 사이트로 변경된 것을 확인할 수 있다.

[그림] 시작 페이지 변경[그림] 시작 페이지 변경



현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.





4. 결론


해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.


만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 



1. 개요

인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 


이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

KRBanker_d8dba.exe

파일크기

338,944 byte

진단명

Banker/W32.Agent.338944

악성동작

금융정보 탈취

네트워크

104.***.***.27 (파밍서버)






 


2-2. 유포 경로

KRBanker는 주로 익스플로잇, 피싱 이메일 등으로 유포된다. 따라서 사용중인 소프트웨어를 상시 업데이트하고 모르는 사람으로부터 받은 이메일은 열지 않는 기본 수칙으로 악성코드 감염을 방지할 수 있다.



2-3. 실행 과정

KRBanker_d8dba.exe 는 최초실행 시 실행위치에 숨김 · 읽기전용 속성을 부여하고 윈도우 정상프로세스 chcp.com을 이용해 악성동작을 수행한다. chcp.com 은 국가별 키보드를 설정하기 위한 프로그램이다. KRBanker_d8dba.exe 는 hosts 파일 등을 수정하지 않고, 백신 감시를 피해 chcp.com 을 이용하여 가짜 사이트로 유도하므로 악성동작이 있음을 알아채기 힘들다.




3. 악성 동작

3-1. 자동실행 등록

KRBanker_d8dba.exe 는 재부팅 후에도 자동실행 되도록 레지스트리에 임의의 8글자로 자신을 등록한다. chcp.com 을 실행한 후 종료되기에 감염된 상태에선 KRBanker_d8dba.exe 의 동작을 확인할 수 없다.

 



[그림] 자동실행 등록


3-2. 인터넷뱅킹 파밍

기존 사용하던 파밍 방식으론 hosts 파일 내에서 파밍 대상 은행주소를 쉽게 알 수 있었지만, 자동 구성 스크립트를 이용한 방식이 인기를 끌면서 브라우저가 접속중인 주소와 파밍 대상 은행주소를 해쉬화 시켜 비교하기에 파밍 대상 은행주소를 알아내는데 어려움이 있다. 파밍 대상 주소가 아닌 URL로는 악성동작을 하지 않는다.



[그림파밍 대상 은행주소




감염상태에서는 웹 브라우저 시작페이지가 N 포털 사이트로 바뀌고 팝업 창을 통해 가짜 은행 사이트로 유도한다. 팝업 창 외에는 클릭이 되질 않기에 포털 사이트 이용이 불가하다. 팝업창의 은행 배너를 클릭하면 은행사이트로 보이는 파밍사이트로 이동하게 되고 이후 계좌정보, 계좌비밀번호, 보안카드번호 전체입력을 요구하는 창이 표시된다.





[그림웹 브라우저 시작 페이지 변경 및 가짜사이트로 유도




파밍에 사용되는 가짜 웹 서버의 주소는 아래의 방식으로 얻어온다. 가짜 웹 서버 주소를 얻는 방법으로 중국 메신저 서비스를 이용하기 때문에 차단이 어렵다.



[그림가짜 웹 서버 IP 수신 패킷




위의 방식을 통해 악성코드가 얻어온 웹 서버 IP를 조회해 본 결과 정상 인터넷뱅킹 사이트의 IP를 조회할 때와는 다른 결과를 확인할 수 있다.


[그림가짜 서버(좌)와 정상 서버(우)의 조회결과 차이




3-3. 인증서 유출

인증서 유출은 추가적으로 실행된 chcp.com 에서 수행된다. PC의 모든 폴더를 대상으로 NPKI 폴더를 검색하며 인증서 발견 시 임시폴더 하위에 폴더 경로와 함께 인증서를 백업해 두는 모습을 볼 수 있다.

[그림임시저장된 인증서




4. 결론

이 악성코드는 자동 구성 스크립트를 이용하여 동작하기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다. OS 의 모든 파일이 어떤 역할을 하는지 전부 알기란 불가능하지만 검색을 통해 쉽게 그 역할을 파악할 수 있다. 


검색 결과 chcp.com 은 정상동작 하엔 네트워크 동작을 하지 않음을 확인할 수 있다. 따라서 OS에서 제공하는 보안경고에 조금만 주의를 기울인다면 PC의 이상징후를 보다 빨리 파악할 수 있을 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림OS 보안경고




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

system1.exe 악성코드 분석 보고서

 


1. 개요


1.1. 파일정보

 

 파일명

 system1.exe

 파일크기

 145,408 byte

 진단명

 Trojan/W32.KRBanker.145408.B

 악성동작

 인터넷 뱅킹 파밍, 인증서 탈취

특징

 hosts hosts.ics 파일 변조를 통해 가짜 사이트로 유도

 인증서를 드라이브, 폴더 별로 압축하여 보관

 자동실행으로 지속적 인증서 탈취



1.2. 분석환경


 운영체제

 Windows XP SP3 32bit (한글)

 분석도

 Process Explorer, Wireshark, NetMon, OllyDbg


 

1.3. 전체흐름도

 

 

 

2. 분석정보

2.1. 파일 유포 방식

온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***.19/index.html 로 리디렉트 되며 admin.*****shop.co.kr/system1.exe 파일이 다운로드 된다. 여기서 주목할 점은 *****shop.co.kr admin 페이지에서 악성파일이 다운로드 되고 유포지로 사용됐다는 점에서 악성파일 배포 방식이 다양해짐을 볼 수 있다.


2.2. 샘플 분석

악성동작은 Trojan/W32.KRBanker의 변종으로 인터넷뱅킹 사용자를 가짜 인터넷뱅킹 사이트(파밍 사이트)로 유도한다는 점에서 기존 분석샘플 Trojan/W32.KRBanker.129024.F(nv.exe)과 흡사하다. 하지만 두 악성파일엔 차이가 있는데, 악성 동작 지속성에 있어 nv.exe는 1회만 실행됐으나 system1.exe는 PC가 재부팅하여도 자체적으로 자동 실행됀다. 즉, 악성코드를 치료하지 않으면 PC에 연결된 모든 외부 저장매체의 인증서를 탈취하기 때문에 사용자의 각별한 주의가 요구된다.

 

 

 Trojan/W32.KRBanker.145408.B

(system1.exe 진단명) 

Trojan/W32.KRBanker.129024.F

(nv.exe 진단명) 

 최초실행 시 인터넷뱅킹 파밍

 O

 O

 최초실행 시 인증서 탈취

 O

 O

 재부팅 시 인터넷뱅킹 파밍

 O

 O

 재부팅 시 인증서 탈취

  O 

 X

*Trojan/W32.KRBanker.145408.B(계속실행) / Trojan/W32.KRBanker.129024.F(1회 실)

 

[표]Trojan/W32.KRBanker.145408.B과 Trojan/W32.KRBanker.129024.F 비교


 

2.2.1. system1.exe의 동작


system1.exe는 실행 중엔 특정 서버(u***.q****.**.com/f**-***/cgi_get_portrait.fcg)에 대해 지속적인 쿼리(질의, 문의)를 보내고 그 결과로 hosts및 hosts.ics 파일을 변조∙생성한다.

hosts

174.***.**.46  www.kbstar.com  40931

174.***.**.46  kbstar.com  39727

174.***.**.46  obank.kbstar.com  19862

174.***.**.46  www.kbstar.com.ch  11853

174.***.**.46  open.kbstar.com  42239

174.***.**.46  www.nonghyup.com  25640

174.***.**.46  nonghyup.com  19254

174.***.**.46  banking.nonghyup.com  14013

174.***.**.46  open.nonghyup.com  38722

이하 생략

hosts.ics

174.***.**.46  www.kbstar.com  30357

174.***.**.46  kbstar.com  11458

174.***.**.46  obank.kbstar.com  12131

174.***.**.46  www.kbstar.com.ch  12558

174.***.**.46  open.kbstar.com  42113

174.***.**.46  www.nonghyup.com  14876

174.***.**.46  nonghyup.com  43510

174.***.**.46  banking.nonghyup.com  14277

174.***.**.46  open.nonghyup.com  34556

이하 생략


[표]변조된 hosts.ics, hosts파일 내용

 

system1.exe 동작으로 hosts파일이 변조 생성되고, 이로 인해 연결된 가짜 사이트는 다른 악성코드 샘플(nv.exe)로 인해 연결된 가짜사이트와 비교해봤을 때 차이가 있다

 

 



[그림]system1.exe의 가짜 네이버 사이트

 

 



[그림]nv.exe의 가짜 네이버 사이트

 

 

또한, Trojan/W32.KRBanker.129024.F(nv.exe)과 마찬가지로 탈취한 인증서를 %TEMP%폴더에 zip파일로 압축해 서버에 전송한다. 여기서 주의할 점은 악성파일이 자체적으로 자동실행되기 때문에 USB등 외부저장매체에 인증서를 저장하여도 감염된 PC에 연결되면 이 또한 유출이 가능해진다는 점이다.

 

 

 

 


[그림]탈취된 증명서가 담긴 압축파일




3. 결론

 

 

service1.exe가 유포되려면 전체 유포 경로에 접속이 원활해야 하지만 현재 경로 중 하나에 접속이 안 되는 상태로 추가적인 배포는 이뤄지지 않는다. 하지만 가짜 사이트의 주소를 쿼리하는 URL은 계속 동작중인 상태이므로 추가 변종 출현이 가능하다. 실제로 2015/09/30기준 가짜 사이트 주소로 사용된 174.***.**.44는 다운되어 악성 동작을 하지 않았으나, 2015/10/01 다시 테스트한 결과, 가짜 사이트의 주소는 174.***.**.46로 바뀌었고,  해당 주소를 이용하여 파밍동작을 수행했다.

 

밝혀진 가짜 사이트 주소는 바로 차단되지만 이를 쿼리 하는 대상 URL이 정상 사이트이므로 근본적인 차단에 어려움이 있다. 당장은 동작하지 않더라도, 새로운 주소를 받아 언제라도 다시 파밍동작을 수행할 수 있기 때문에 주기적인 백신 검사로 바이러스를 치료하는 것이 중요하다.

 



 

[그림]진단 및 치료 가능

 

 

 


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect