인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석



1. 개요 


최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다. 


해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

우리가족.abcd.scr

파일크기

9,097,216 byte

진단명

Trojan-Dropper/W32.Agent.9097216

악성동작

악성 파일 생성

 

구분

내용

파일명

msoia.exe, ielowutil.exe

파일크기

921,600 byte

진단명

Backdoor/W32.Agent.921600.AE

악성동작

시스템 정보 송신, 추가 DLL다운로드

네트워크

192.xxx.xxx.125

220.xxx.xxx.110

202.xxx.xxx.198

 




2-2. 유포 경로

이 악성코드는 메일의 첨부 파일을 통해 유포된 것으로 알려져 있으며 화면 보호기 확장자인 .scr을 가지고 있어 사용자가 해당 파일을 의심 없이 실행시킬 가능성이 높다. scr 확장자는 제어판-디스플레이 설정에서 화면 보호기로 설정하지 않고 사용자가 직접 더블 클릭을 통해 실행하면 exe 파일과 유사하게 실행되기 때문에 악성코드에 자주 사용되는 확장자이다.




2-3. 실행 과정

실행된 ‘우리가족.abcd.scr’은 ‘%LocalAppData%\Microsoft\Office\15.0’ 경로에 msoia.exe를 생성한다. 그 다음 msoia.exe를 “/update” 인자와 함께 실행시키고, 정상 파일로 위장하기 위해 화면 보호기 동작을 수행한다. msoia.exe는 ‘%LocalAppData%\Microsoft\Internet Explorer\IECompatData’ 경로에 자기 자신을 ielowutil.exe로 복사하고, “/AUTOSTART”를 인자로 주어 실행시키고 종료된다. 복사된 ielowutil.exe는 총 10가지의 명령을 처리하며, 추가 모듈 다운로드(명령어 86 1A 36 88 15 94 98) 기능을 제외한 나머지 기능은 감염된 PC 정보를 공격자의 서버로 전송하는 기능이다.

[그림] 실행 과정[그림] 실행 과정





3. 악성 동작


3-1. C&C 서버 연결

ielowutil.exe는 아래와 같은 서버에 연결을 시도한다. 서버를 분석한 결과 각각 온두라스, 타이완, 뉴질랜드에 위치한 것으로 나타났다.


[그림] C&C 서버 IP 및 PORT 정보[그림] C&C 서버 IP 및 PORT 정보




3-2. 추가 모듈 다운로드

ielowutil.exe는 공격자의 서버에서 다운로드한 ‘iehmmapi.dll’를 실행된 경로에 생성하고, 메모리에 다시 로드하여 ‘iehmmapi.dll’가 동작하도록 한다.

[그림] iehmmapi.dll 생성과 로드[그림] iehmmapi.dll 생성과 로드


[그림] iehmmapi.dll의 함수 호출[그림] iehmmapi.dll의 함수 호출





4. 결론


해당 파일은 결과적으로 다른 악성 파일에 비해 악성 동작을 많이 수행 하진 않지만 추가되는 모듈의 동작에 따라 피해량이 커질 수 있어 각별한 주의가 필요하다. 


scr 파일은 일반 사용자들에게 다소 생소할 수 있으며, exe 파일과 같은 실행 계열의 PE파일이므로 악성코드에 많이 사용되고 있으며, 화면 보호기뿐만 아니라 그림, 동영상 등의 파일 이름으로도 유포되기 때문에 악성코드로 많이 사용된다. 따라서 해당 파일을 실행할 땐 항시 주의해야하며 정상 파일로 판단이 되더라도 제어판-디스플레이 설정을 통해 사용하면서 만약의 경우를 대비해야 할 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 비트코인 국내 사용처 1호점 등장과 함께 시작된 악성파일

잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인(BITCOIN) 이용자의 계정탈취 기능을 포함한 것을 최초 발견했다. 이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려된다.

[주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현
http://erteam.nprotect.com/450

[주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장

http://erteam.nprotect.com/438

[긴급]6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개

☞ http://erteam.nprotect.com/427

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428

[긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중
☞ http://erteam.nprotect.com/429


비트코인은 해외에서 2009년부터 사용되고 있고, 다양한 보안위협 이슈도 함께 발생하고 있다, 국내에서는 그동안 다소 생소했었으나 2013년 12월 01일 인천 시청역점 파리바게트 가맹점 주인 이종수씨의 아들 제안에 따라 해당 매장에서 비트코인 결제가 가능한 서비스를 도입했다는 소식이 알려지면서 국내에서도 다양한 반응을 보이고 있다. 


인터넷에 소개된 내용에 의하면 뉴욕에서 금융학을 전공한 둘째 아들 이찬우(25)씨는 지난 6월 경 비트코인을 첫째 아들 이진우(29)씨에게 소개했고, 형제들은 국내 비트코인 거래소 관계자와 의논하던 중 아버지 이종수씨에게 비트코인 결제를 매장에 도입하자고 제안했고, 이진우씨가 원화를 비트코인으로 환산하는 안드로이드앱을 개발하여, 기존에 있던 코인베이스 앱을 통해서 결제하도록 했다고 한다.

매장내에서 물건 금액을 비트코인 환산 시스템에 입력 한 뒤 QR 코드를 스캔하면 코인베이스를 통해 온라인 가상계좌에 연결되고, 해당 매장 대표 계좌로 이체하면 결제가 이뤄진다. 2013년 12월 05일까지 총 4명의 고객이 비트코인을 이용해서 계산했다고 한다. 이렇게 오프라인 매장에서 실제 제품구매에 비트코인이 적용되자 인터넷에서 많은 관심과 소개가 이어졌다. 


2. 한국 맞춤형 비트코인 계정탈취 기능 최초보고

앞서 공개한 바와 같이 국내에서 비트코인 사용처 1호가 등장했다는 소식이 언론 등을 통해서 다양하게 알려진 후 기존 사이버 범죄자들도 본격적으로 한국 맞춤형 악성파일에 비트코인 이용자들을 노리기 시작한 것으로 추정된다. 2013년 12월 06일 국내에 배포된 온라인 게임 계정 악성파일 변종 중 일부에서 기존의 기능에 비트코인 거래소 등의 계정탈취 기능이 추가된 것이 잉카인터넷 대응팀에 의해서 최초 확인됐다.


악성파일은 기본적으로 국내 유명 온라인 게임 이용자들의 계정 탈취 기능을 보유하고 있으나, 이번에 새롭게 발견된 종류는 국내외 비트코인 관련 특정 사이트 이용자들의 계정 탈취 기능이 추가됐다.


악성파일에 의해서 탈취 대상 시도로 정해진 곳은 아래와 같이 총 14개 사이트이며, 국내외 대표 비트코인 거래소들의 웹 사이트이다. 변종에 따라서 사이트는 언제든지 추가될 수 있다.

.bitup.co.kr

.korbit.co.kr

bitpay.com

coinbase.com

multibit.org

bitcoindomains.blogspot.kr

.bitcointalk.org

.bitcoin.org

.mtgox.com

.xbitcoinx.com

.sellbitcoins.co.kr

.buyanythingwithbitcoin.com

.buybitcoin.co.kr

blockchain.info


유포에 관련된 악성파일은 국내 유수의 웹 사이트에 접속하여 실제 존재하지 않는 이미지(001.jpg) 파일을 다운로드하는 기능을 수행하기도 하며, 특정 사이트의 관리자 계정 탈취 기능을 수행했던 변종이기도 하다. 

http://www.daum.net/001.jpg

http://www.dombyshop.co.kr/bbs2/data/001.jpg

http://www.btdot.com/001.jpg 

http://www.srsr.co.kr/bbs2/data/001.jpg

http://www.dompage.co.kr/bbs2/data/001.jpg

http://www.v3lite.com/001.jpg

http://www.nate.com/001.jpg

http://www.msn.com/001.jpg

http://www.hangame.com/001.jpg

http://www.cbs.co.kr/001.jpg

http://www.joinsmsn.com/001.jpg

http://m.ahnlab.com/001.jpg

http://m.ahnlab.com/0048253/001.jpg

http://www.tistory.com/start/001.jpg

http://www.nexon.com/001.jpg

http://user.nexon.com/001.jpg

http://www.netmarble.net/001.jpg


또한, 기존의 온라인 게임계정 탈취용 악성파일과 같이 국내 무료 보안제품 3종에 대한 방해 기능도 포함되어 있다.


비트코인과 관련된 사회적 관심과 함께 사이버 범죄자들이 이를 노리고 있다는 점을 명심하고, 이용자들은 자신의 중요한 계정정보가 외부에 노출되지 않도록 각별한 주의가 필요하다. 이러한 악성파일은 대표적인 3대 보안취약점(Microsoft OS/APPLICATION, Adobe Flash/Reader, Oracle JAVA)을 이용해서 전파하는 경우가 많으므로, 반드시 최신버전의 업데이트를 설치하고 유지하는 노력을 하여야 한다.

더불어 신뢰할 수 있는 Anti-Malware 프로그램 등을 이용해서 악성파일 감염여부를 정기적으로 점검하도록 한다. 보안제품은 항시 최신버전으로 자동업데이트 되도록 설정해 두고, 실시간 감시 기능과 예약검사 기능들을 활성화하여 사용하면 효과적이다.

nProtect 보안 제품군에는 해당 악성파일들에 대해서 Trojan/W32.KRBitCoiner 라는 대표 진단명으로 추가된 상태이다.

3. 마무리

국내 비트코인 거래소 관련 사이트의 이용자 정보를 노리는 악성파일이 출현함에 따라 이용자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/



 
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 문자메시지를 훔치는 한국형 스파이앱(SpyApp) 탄생


2013년 02월 15일 마치 삼성전자(☎1588-3366)에서 발송한 문자메시지(SMS)처럼 발신자를 사칭하고, 애플리케이션 실행속도 관련 최신 업그레이드 내용과 같은 문구로 사용자를 현혹한 후 악성앱(Androicall.apk)을 설치시도한 형태가 보고되었다. 그와 별개로 롯데시네마의 요금 인상전 무료영화권 쿠폰발급 내용처럼 위장된 악성앱(LotteCinema.apk)도 추가 보고되었는데, 두 가지 악성앱 모두 공통적으로 안드로이드 기반 스마트폰에 수신된 문자메시지(SMS)를 감시하고 수집하며, 외부로 무단 유출시도하는 사생활 침해 및 개인정보 탈취 기능을 수행하고 있는 것으로 파악되었다. 잉카인터넷 대응팀은 해당 악성앱에 대한 탐지 및 치료 기능을 nProtect Mobile for Android 제품에 [Trojan/Android.KRSpyBot] 대표 진단명으로 긴급 업데이트하였다.

기존에 국내 이용자를 겨냥한 맞춤형 안드로이드 기반의 악성앱은 크게 3가지 형태로 분류할 수 있는데, 소액결제 승인문자를 은폐시키고, 갈취하는 소액결제사기형태, 모바일 디도스 기능을 수행할 수 있는 좀비 스마트폰용 사이버공격형태, 스마트뱅킹 앱으로 위장한 금융 피싱사기형태 등이다. 이번에 보고된 형태는 민감할 수 있는 문자메시지의 개인정보를 몰래 훔쳐갈 수 있다는 점에서 개인정보 유출 및 사생활침해형태로 분류할 수 있고, 점차 한국 맞춤형 안드로이드 사이버 보안위협이 다양한 범죄형태로 진화하고 있다는 것을 증명하고 있다.



#Update 02 (2013년 02월 20일)
잉카인터넷 대응팀에는 안드로이드 스마트폰 문자메시지를 훔쳐가는 변종이 2건 추가 발견되었다.

[긴급]누군가 내 스마트폰을 통해 일거수일투족을 몰래 훔쳐본다?
http://erteam.nprotect.com/395

[SBS 현장 21]'충격' 스마트폰 도청 실태
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001640852

[머니투데이]스마트폰 업데이트하니... "헉 내 메세지가"
http://www.mt.co.kr/view/mtview.php?type=1&no=2013021910515993345&outlink=1

 


#Update 03 (2013년 02월 20일)

국내에 스파이앱을 은밀히 판매하는 조직은 중국에 거점을 둔 것으로 보이며, 한국인이 포함되어 활동 중이다. 해당 사이트는 2013년 02월 19일까지 접속이 가능했지만 02월 20일부터는 사이트 접속이 불가능한 상태이다. 해당 사이트에서는 다음과 같이 1,000원을 입금하면 테스트용으로 모바일 스파이앱을 사용해 볼 수 있게 하고 있다.

 
■ 스파이폰 홍보 동영상
http://www.youtube.com/watch?feature=player_embedded&v=UFMbGZ0lG4A

http://www.youtube.com/watch?feature=player_embedded&v=YjO_EnOVi2U


스파이폰이라는 사이트는 국내 포털 블로그를 통해서도 사이트 홍보를 하고 있다.




[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱
http://erteam.nprotect.com/393

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378



2. 내 스마트폰에 수신 중인 문자내역 누군가 훔쳐가고 있다?

한국내 안드로이드 기반의 스마트폰 이용자가 폭발적으로 증가하고 있고, 비례적으로 다양한 보안위협도 꾸준히 늘어나고 있는 추세이다. 사회적인 문제로 대두되고 있는 소액결제 승인문자 갈취를 통한 악성앱(Trojan/Android.KRSpammer)은 거의 매일 변종이 유포되고 있는 실정이다. 그런 가운데 이번에 발견된 형태는 감염된 스마트폰에 수신되는 문자메시지를 훔쳐가는 기능을 수행하고 있어, 각별한 주의가 필요할 것으로 보인다.

A. 삼성전자에서 발송한 애플리케이션 업그레이드 위장 사례

먼저 삼성전자의 발신번호로 위장하고 마치 안드로이드 운영체제의 최신 업그레이드 내용처럼 조작하여 스마트폰 이용자가 문자메시지에 포함된 단축URL 주소를 클릭하도록 유도한 내용이다.

애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다 http://goo.gl/*****


문자메시지에 포함된 구글 단축URL 주소는 "Androicall.apk" 파일을 국내의 웹 호스팅 서버에서 다운로드하게 된다. 만약 사용자가 다운로드된 앱을 클릭하면 다음과 같이 "Snoopy" 라는 앱의 설치과정이 보여진다. 해당 웹 호스팅 서버는 현재 제거된 상태이고, 도메인에 사용된 영문자를 한글로 변경하면 "문도박사" 라는 내용으로 바뀌게 된다. 

해당 악성앱은 문자메시지 수신 권한, 인터넷 사용권한, 휴대폰 상태 읽기 권한 등의 개인정보 탈취기능을 수행하게 된다.


해당 악성앱에 감염이 되면 "State" 서비스에서 외부 특정 서버(http://aptotocaw.net/state.php?Identity=[inactive/active])와 통신을 수행한다. 또한, 통신상태 및 통신시간 등에 대한 설정을 수행하며, 시간체크 등 특정조건을 통해서 "Change" 서비스를 실행한다.

"Change" 서비스에서는 외부 특정 서버(http://aptotocaw.net/state.php?Identity=inactive[inactive/active]&change=[inactive/active])에 대한 변경을 수행하며, 변경된 서버와 통신 기능을 진행한다. 만약 감염된 스마트폰에 문자메시지(SMS)가 수신될 경우 "Message" 리시버가 동작하여, 수신된 문자메시지를 감시하고 수집하는 동작을 한다. 그리고 수집된 문자메시지를 외부로 유출시키기 위해서 "Send" 서비스를 실행한다.

"Send" 서비스는 "Message" 리시버에서 리턴된 값들을 외부 특정 서버(http://aptotocaw.net/send.php?Identity=[inactive/active]&Address=[발신번호]&Message=[SMS내용])로 유출을 시도하게 된다. 이를 통해서 특정 발신번호와 문자메시지가 외부로 탈취된다.


B. 롯데시네마 무료영화권 및 콤보세트 쿠폰 발급 사례

다음으로 롯데시네마의 요금인상전 무료영화권 2매와 콤보세트 1개 등의 쿠폰발급 앱처럼 위장한 형태도 발견되었다. 이것도 동일하게 수신자가 현혹될만한 내용과 악성앱이 설치되는 구글 단축 URL 주소를 포함하고 있다.

[롯데시네마]*요금인상전*무료영화권2매,콤보세트1개(쿠폰발급)http://goo.gl/*****


연결되어 있는 웹 사이트에는 "LotteCinema.apk" 파일이 연결되어 있고, 사용자가 링크를 클릭하면 다운로드가 진행된다. 다운로드된 APK 파일을 추가 클릭하여 설치를 진행하게 되면 다음과 같은 설치권한 화면을 보게 된다.


악성앱은 다음과 같이 실제 롯데시네마 아이콘으로 교묘하게 위장하고 있으며, 상기 화면과 같이 다양한 권한을 보유하고 있다. 또한, 설치되면 실제 롯데시네마 새해 고객 감사 이벤트와 같이 위장된 화면과 쿠폰 발급 이벤트라는 화면을 보여주게 된다.


이용자가 [쿠폰 발급 하기] 메뉴를 클릭하면 사용자 하여금 실제 정상적인 쿠폰이 발급되는 것처럼 보이도록 하기 위해서 내부에 포함되어 있던 "2.apk" 파일을 추가로 설치하게 되고, 앱 이름도 "쿠폰 발급 관리"라고 지정되어 있다.

 
이 악성앱은 "LotteCinema.apk" 라는 숙주형 악성앱에 의해서 설치가 되고, 쿠폰 발급 관리라는 명목으로 내부에 포함되어 있는 "2.apk" 악성앱이 추가 설치되는 과정을 거치게 되는 것이다.

숙주 역할을 수행하게 되는 "LotteCinema.apk" 앱은 메인 액티비티를 출력하여 이용자가 특정 버튼을 클릭 시 감염된 스마트폰의 전화번호를 수집하고, 외부 특정 서버(http://27.125.204.46:8080/smshidden/index.php)로 유출을 시도한다.


그리고 [쿠폰 발급 하기] 부분을 클릭하게 되면 내부에 포함시켜 두었던 "2.apk" 악성파일을 설치하게 되고, "SMSReceiver" 와 "WhoAmI" 리시버를 등록하여 수신되는 문자메시지(SMS)와 네트워크 상태 변경 등을 확인하면서 작동하게 된다.

아래 화면들은 내부에 포함되어 있던 "2.apk" 파일을 설치하는 코드이다.


악성앱에 감염된 상태에서 문자메시지(SMS)가 수신되면 감염된 스마트폰의 전화번호와 모든 문자메시지에 대한 수집을 진행하며, 아래와 같은 특정 외부 서버(http://27.125.204.46:8080/smshidden/smsnotify.php?phonenum=[감염된 스마트폰의 번호])에 접속 시도하다.

그후, 접속한 사이트의 정보를 확인하여 정규식 "*check.*" 조건과 같이 "check." 문자열을 포함하는 부분이 확인되면 감염된 스마트폰의 번호와 수집된 문자메시지 정보를 특정 서버(http://27.125.204.46:8080/smshidden/receive.php)로 유출을 시도한다.


"WhoAmI" 리시버는 네트워크 상태 변경 등을 체크하여 동작을 수행하며, 특정 서버(http://27.125.204.46:8080/smshidden/index.php)로 감염된 스마트폰의 번호유출을 시도하게 된다.


3. 안드로이드 악성앱 감염 예방법

소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다.

점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

대표 진단명 변경(2013. 02. 20) : KRSbot -> KRSpyBot

- Trojan/Android.KRSpyBot.A
- Trojan/Android.KRSpyBot.B
- Trojan/Android.KRSpyBot.C
- Trojan/Android.KRSpyBot.D
- Trojan/Android.KRSpyBot.E 외 변종 계속 추가 중

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 보안관련 인증절차와 금융 보안프로그램으로 사칭한 KRBanker


잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 예금탈취를 노린 악성파일(KRBanker) 변종이 새로운 형태의 내용으로 전자금융 서비스 이용자들을 현혹시키고 있는 정황을 포착하였다. 악성파일은 국내 특정 웹 사이트를 해킹하여 보안이 취약한 접속자로 하여금 웹 사이트 접속만으로 악성파일(KRBanker)에 은밀히 감염되도록 만들어 두었다. 악성파일에 노출되어 감염이 이뤄지면, 사용자 컴퓨터에 존재하는 호스트파일(hosts)을 변조하여 시티은행, 하나은행, 기업은행, 국민은행, 외환은행, 농협, 신한은행, 수협, 스탠다드차타드, 우리은행 등의 도메인 접속 주소를 특정 피싱 IP주소로 몰래 변경시킨다. 이로인해 사용자가 정상적인 금융사 홈페이지를 접속하더라도 피싱 IP주소로 연결되어 정교하게 조작된 가짜 금융사이트 화면보이게 된다.

특히, 이번에 발견된 사례는 전자금융사기가 기승을 부리고 있다는 점을 역이용해서 마치 정상적인 금융 보안관련 인증절차 진행인 것처럼 사칭한 문구와 금융 보안 프로그램 설치 내용으로 이용자의 정보탈취를 유도하고 있어 세심한 주의가 요구된다.



[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

2. 악성파일 전파 경로 및 분석 정보

국내 특정 웹 사이트가 해킹되어 악의적인 스크립트가 삽입되었으며, 이용자가 악성 스크립트와 연결된 사이트에 접속할 경우 보안취약점(CVE-2012-1723) 공격을 받게 된다. 만약 이용자 컴퓨터가 보안에 취약한 경우 전자금융사기용 악성파일(KRBanker)에 자동으로 감염이 된다.

다음 화면은 보안 취약점 공격에 이용된 악성 스크립트의 일부 화면이다.


보안취약점에 의해서 악성 스크립트가 정상적으로 작동되면 특정 웹 사이트에서 악성파일(KRBanker)이 사용자 임시폴더(Temp)에 "updata.exe" 이름의 파일명으로 다운로드되고 실행된다.


악성파일(KRBanker)이 실행되면 사용자의 호스트파일(hosts)을 변조하기 위해서 임시폴더에 "1.bat" 파일을 생성하여 실행한다. 해당 배치파일에는 특정 IP주소로 은행사이트가 연결되도록 하는 명령어를 포함하고 있다.

여기서 문제는 악성파일이 공격자의 명령(C&C)에 따라서 피싱용 IP주소를 실시간으로 변경하고 있기 때문에 감염되는 사용자들은 동일한 악성파일에 감염되더라도 시점에 따라 다른 IP주소가 설정되고 있다.
 


"1.bat" 파일의 배치명령에 의해서 호스트파일(hosts)의 내용은 아래와 같이 피싱 사이트 내용으로 변경된다. 이 때문에 이용자가 정상적인 금융권 웹 사이트 도메인으로 직접 접속하더라도 가짜 피싱 사이트가 있는 IP주소(67.229.68.158)로 강제 연결되며, 웹 브라우저상에는 실제 정상적인 금융권 도메인 주소로 보여지기 때문에 이용자가 정상 금융사이트로 착각할 가능성이 높다.

CITIBANK.CO.KR   :: 시티은행
WWW.CITIBANK.CO.KR  :: 시티은행
HANABANK.COM   :: 하나은행
WWW.HANABANK.COM   :: 하나은행
WWW.IBK.CO.KR   :: 기업은행
MYBANK.IBK.CO.KR   :: 기업은행
KIUP.IBK.CO.KR   :: 기업은행
KBSTAR.COM   :: 국민은행
WWW.KBSTAR.COM   :: 국민은행
OBANK.KBSTAR.COM   :: 국민은행
KEB.CO.KR    :: 외환은행
WWW.KEB.CO.KR   :: 외환은행
BANK.KEB.CO.KR   :: 외환은행
EBANK.KEB.CO.KR   :: 외환은행
NONGHYUP.COM   :: 농협
WWW.NONGHYUP.COM   :: 농협
BANKING.NONGHYUP.COM  :: 농협
SHINHAN.COM   :: 신한은행
WWW.SHINHAN.COM   :: 신한은행
BANKING.SHINHAN.COM  :: 신한은행
WWW.SUHYUP-BANK.COM  :: 수협은행
WWW.STANDARDchartered.CO.kr :: 스탠다드차타드은행
WOORIBANK.COM   :: 우리은행
WWW.WOORIBANK.COM   :: 우리은행
PIB.WOORIANK.COM   :: 우리은행
SPD.WOORIBANK.COM   :: 우리은행


호스트파일(hosts)이 변조된 상태에서 대상 금융사이트에 접속할 경우 피싱 IP주소(67.229.68.158)로 변경 접속된다. 피싱용 IP주소는 계속 실시간으로 변경되고 있다. 동일한 악성파일에 감염되더라도 공격자의 명령에 따라 IP주소는 다르게 적용되고 있기 때문에 알려지지 않은 피싱용 IP주소가 매우 많이 존재할 것으로 보인다.

현재까지 잉카인터넷 대응팀이 파악한 가변적 피싱 IP주소는 다음과 같고, 시간에 따라 계속 변경되고 있다.

- 67.229.68.158
- 67.229.68.237
- 67.229.68.238
- 174.139.174.254

악성파일(KRBanker)에 감염된 상태에서 한 예로 국민은행 사이트에 접속할 경우 다음과 같이 정교하게 제작된 피싱 사이트로 연결이 이뤄지고, 실제로는 존재하지 않는 가짜 팝업 메시지 창이 출력된다. 가짜 메시지 창은 마치 정상적인 보안서비스 처럼 보여지지만, 모두 허위로 조작된 내용이다.

기존에는 보안승급서비스, 보안강화서비스, 전자금융사기예방서비스 등으로 위장한 형태가 보고되었으나, 이번에는 "보안관련 인증절차"라는 문구로 사용자들을 현혹하고 있다.

 




상기 화면에서 이용자가 [확인]버튼을 클릭하게 되면 금융 개인정보를 입력하도록 유도하는 피싱화면으로 넘어가게 되며, 사용자 추가본인 확인절차라는 화면으로 과도하게 금융정보를 요구하고, 전자금융사기 수법의 공통점인 보안카드의 모든 비밀번호를 입력하도록 유도한다.

 


만약 이용자가 피싱화면에 속아 보안카드의 비밀번호까지 모두 입력하게 될 경우 금융정보가 외부로 유출되어 예기치 못한 전자금융사기 피해를 입을 수 있게 된다. 이어서 피싱 웹 사이트에는 보안프로그램 설치라는 조작된 화면을 보여주면서 이용자에게 추가적인 악성파일을 설치하도록 시도한다.



분석당시에는 정상적으로 악성파일이 서버에 존재하지 않아 상세확인의 진행은 불가능했으나, 추가 악성파일(KRBanker/Backdoor)을 설치하여 공인인증서 탈취를 시도했을 것으로 추정된다.

보안프로그램처럼 모방하여 추가 악성파일을 설치시도하는 형태까지 진화하고 있으므로, 이용자들은 유사 피싱화면에 현혹되지 않도록 각별한 주의가 필요하다.

3. 피싱 사이트 진위여부 판단 노하우


내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 육안상으로 진위여부를 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.


2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
최근 매스컴을 통해 "해킹", "바이러스", "DDoS"등 악성 프로그램으로 인한 피해를 다룬 기사거리를 종종 볼 수 있는데, 과거에 비하면 그 빈도 수가 상당히 많아진 느낌입니다. 그만큼 PC가 우리의 생활에 중요한 역할로써 자리잡고 있으며 악성 프로그램도 더욱 위협적인 존재가 되었다고 볼 수 있겠죠. 과거엔 그저 파일을 감염시키던 단순한 악성 프로그램과는 달리 현대에는 개인정보 유출이나 사이버테러에까지 그 종류 및 공격방법도 다양해지고 있습니다.
이런 악성 프로그램의 위협을 잘 알고 있지만 어떻게 확인할 수 있으며, 또 어떻게 내 PC를 관리해야 할까요?
그래서 오늘은 악성 프로그램으로부터 내 PC를 든든하게 지켜줄 백신프로그램의 대해 다뤄보도록 하겠습니다. "지피지기 백전불태"란 말이 있듯, 백신프로그램의 사용법을 자세히 숙지하고 사용해야 갖은 위협들로부터 내 PC를 안전하게 지켜낼 수 있습니다. 그럼 내 PC를 안전하게 지켜줄 "nProtect Anti-Virus/Spyware 2007" 이하 "nProtect AVS 2007"의 사용법과 옵션 설정방법에 대해 집중적으로 다뤄보도록 하겠습니다. 

먼저 아래의 링크에서 프로그램을 다운로드받아 nProtect AVS 2007을 설치합니다.

▣ nProtect AVS 2007 제품소개 및 다운로드 받기
http://www.nprotect.com/service/avs2007/

아래는 "nProtect AVS 2007"이 실행된 모습 입니다.


nProtect AVS 2007은 메인화면 좌측에 보이는 것과 같이  크게 아래의 5가지의 메뉴로 구성되어 있으며, 각 메뉴의 간략한 설명 및 기능은 아래와 같습니다.

보안센터 : 현재 보안설정 상황을 한눈에 볼 수 있으며, 업데이트 및 제품정보에 관련된 설정을 빠르게 할 수 있습니다.
바이러스 / 스파이웨어 :  nProtect AVS 2007의 핵심 기능으로 실시간 감시기를 이용해 시스템을 검사할 수 있습니다.
시스템 청소 : 시스템에 불필요한 파일을 삭제하여 디스크 공간을 확보하고 PC를 최적화 시킵니다.
파일 관리 : 중요한 파일을 암호화 하여 안전하게 보호하고, 완전삭제가 필요한 파일은 복구가 불가능하도록 시스템에서
                      완전히 삭제할 수 있습니다. 
로그 및 알림 : 로그정보를 보거나 알림을 설정할 수 있습니다.

자, nProtect AVS 2007의 설치가 완료되었습니다. 이제 무엇을 해야 할까요?
바로 "업데이트"입니다. 백신프로그램의 주 기능인 "시스템 검사" 및 "실시간 검사" 기능도 업데이트 없이는 무용지물 일 뿐입니다.
업데이트는 컴퓨터백신에서 정말 중요한 작업으로, 최소한 하루에 한 번 업데이트하여 최신 버전을 유지해 주어야 합니다. 업데이트방법에는 "수동 업데이트"와 "자동 업데이트"가 있으며, 먼저 "수동 업데이트" 방법을 살펴보도록 하겠습니다.

"백신 업데이트"는 PC보안의 기본 
 
nProtect AVS 2007의 업데이트 메뉴는 메인메뉴 상단과 보안센터->제품정보 탭 총 두 곳에 위치하고 있으며, 업데이트 버튼을 클릭하여 업데이트 유틸리티 창을 띄우도록 합니다.

"업데이트 유틸리티"에서 업데이트 가능한 패턴과 제품을 확인하여 다음 "업데이트 시작"을 눌러 업데이트를 진행합니다. 파일 복사까지 완료 되면, nProtect AVS 2007이 재시작 후 업데이트가 완료 됩니다. 


제품 정보에서 최신 업데이트된 패턴 버전과 패턴 수량을 확인할 수 있는데, 최신 업데이트 패턴이 정상적으로 출력되면 업데이트가 정상적으로 완료 된 것 입니다.


위와같이 수동 업데이트는 매번 직접 업데이트 버튼을 클릭해야 하는 번거로움이 있으므로, 자동 업데이트를 이용하는 것이 좋습니다. 그러나 nProtect AVS 2007에는 이미 "자동 업데이트"가 기본으로 설정되어 있으므로, 업데이트 시간 및 정책설정만 변경 하도록 합니다. 아래는 "자동 업데이트" 설정 및 정책 변경방법 입니다.

"업데이트 유틸리티"에서 "옵션"을 클릭 합니다.


"자동 업데이트 사용"을 체크하면 자동 업데이트를 사용할 수 있으며, 아래 "업데이트 주기"는 기본 설정이 3시간 마다 업데이트를 체크하게 되어 있으며, 임의의 시간으로 변경 가능 합니다.


이제 최신 패턴 업데이트까지 완료가 되었다면 드디어 "시스템검사"를 해보도록 하겠습니다!

"시스템 검사"로 악성 프로그램을 박멸하자!

시스템검사는 "바이러스/스파이웨어" 메뉴의 "검사"에서 진행할 수 있습니다. 검사의 종류에는 "기본 검사", "전체 검사", "사용자 지정 검사"로 총 3개의 검사 방법이 있는데, 여기서 "전체 검사"는 말뜻 그대로 시스템 전체를 검사하기 때문에 시간이 오래 걸리는 단점은 있으나 시스템내의 모든 악성 프로그램을 진단할 수 있는 장점이 있어 nProtect AVS 2007 최초 설치 후 "전체 검사"로 시스템을 정밀 검사 하는것이 좋습니다.  

 먼저 "전체 검사"를 선택 후 "검사 시작" 버튼을 클릭합니다.


nProtect AVS 2007의 듀얼 엔진이 로드된 후 사용중인 프로세스, 레지스트리, 파일을 차례로 검사중 입니다.

검사가 완료 되면 검사된 악성 프로그램의 경로와 진단명 그리고 치료 유무에 대해서 아주 자세히 확인할 수 있습니다.
앗! 트로이목마가 발견 되었습니다! 트로이목마는 감염된 PC의 정보를 외부로 유출하는 악성 프로그램 입니다.
소중한 나의 정보가 외부로 유출될 수 있으니 빨리 치료 해보도록 하겠습니다. 아래의 치료버튼을 클릭합니다.


간단히 삭제로 치료가 완료되었습니다. 하지만 발견된 악성 프로그램의 종류에 따라 시스템 재부팅 후 완벽히 치료되는 악성 프로그램도 있으니 "상태" 메시지를 정확히 확인하여 치료가 정상적으로 완료할 수 있도록 해줍니다. 


이렇게 "전체 검사"를 통해 시스템을 진단하고 완벽히 치료까지 했습니다. 그 외 "기본 검사"와 "사용자 지정 검사" 또한 동일한 방법으로 쉽게 검사를 진행할 수 있으며, "기본 검사"는 시스템의 메모리와 주요 항목(윈도우 시스템 파일)만 빠르게 탐색하는 검사 방법이며, 만약 윈도우 시스템 파일에 악성 프로그램이 감염될 경우 시스템에 아주 치명적일 수 있기 때문에 가장 일반적으로 사용하는 검사 방법입니다. "사용자 지정 검사"는 감염 의심되는 디스크 및 폴더만 선택하여 검사를 빠르게 진행할 수 있어 "기본 검사"와 "전체 검사"의 장점을 두루 갖추었다고 볼 수 있습니다.

이제 검사부터 치료까지 모두 완료하여 악성 프로그램으로부터 PC가 안전해졌지만 언제든지 위와 같은 악성 프로그램에 감염될 수 있으므로 안심은 금물입니다. 무엇보다 감염을 사전 예방하여 위험을 최소화하는 것이 가장 완벽한 보안이라고 할 수 있습니다.
"시스템 검사"는 악성 프로그램에 의해 감염된 후 치료하였다면 이번에는 감염 전 미리 예방하는 방법에 대해 알아보도록 하겠습니다.


"실시간 검사"로 감염을 사전 예방하자!
 
"바이러스/스파이웨어" 메뉴의 "실시간 검사 사용"을 "On"에 놓으면 실시간 검사를 사용할 수 있습니다.


실시간 감시에는 등급이 있는데 등급이 높을수록 실시간 검사 시 더욱 정밀한 검사를 시행하지만 저 사양의 PC에선 시스템이 느려질 수 있으므로 자신의 시스템 상황에 따라 알맞게 설정합니다.
아래는 "내 문서"에 악성 프로그램이 있다는 가정하에 "내 문서"를 더블클릭하여 접근 시 악성 프로그램의 여부를 파악하여 경고창이 출력된 모습입니다. PC가 느려진다는 이유로 "실시간 검사"를 꺼두었다면, 악성 프로그램인지 모르고 아무런 의심 없이 파일을 실행하여 PC에 감염되었을지도 모르는 아찔한 상황입니다.

지금까지 nProtect AVS 2007의 "업데이트"부터 "시스템 검사", "실시간 검사"까지 알아보았습니다. 위에서 함께 살펴본 것과 같이 백신 프로그램은 설치만으로 그 기능을 제대로 발휘할 수 없습니다. 자신에게 맞는 옷이 있는 것 처럼 백신프로그램 또한 시스템에 맞는 설정이 필요하며, 아래 링크에 있는 "윈도우 업데이트"로 최신 보안업데이트까지 완료한다면 PC를 더욱더 안전하게 보호할 수 있습니다.

▣ "쉽게 배우는 윈도우 업데이트" 바로가기
http://erteam.nprotect.com/8
저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect