'Drive By Download'에 해당되는 글 1건

  1. 2013.07.23 [주의]공공의 적 애드웨어 전자금융사기 파밍용 악성파일 대방출
1. 불청객 애드웨어와 KRBanker, 내 안에 너 있다.


잉카인터넷 대응팀은 최근 금융사 보안모듈의 메모리를 변조하는 지능화된 공격방식의 파밍용 악성파일이 변칙적인 광고성 악성 프로그램(애드웨어)을 통해서 은밀하게 전파되는 정황을 포착하였고, 그 실체를 처음으로 공개하고자 한다. 그동안 전자금융사기를 위한 악성파일들은 불특정 다수의 웹 사이트에 각종 보안 취약점 코드를 삽입하고 보안상태가 허술한 이용자들에게 무작위로 감염시키는 이른바 Drive By Download 기법이 주류를 이루고 있어, 웹 관제 감시센서 등을 통해서 조기에 탐지하여 차단하는 효과를 발휘하고 있다. 그러나 이번과 같이 포털사이트의 블로그나 인터넷 카페 등에 마치 정상적인 프로그램처럼 둔갑한 애드웨어 파일의 내부에 별도 악성파일을 몰래 추가한 경우 애드웨어로 단순분류되거나 보안패치가 최신으로 유지된 상태라 할지라도 추가 악성파일에 감염될 수 있게 된다.

잉카인터넷 대응팀이 자체 조사한 결과 이미 다수의 애드웨어 프로그램들이 변조되어 파밍용 악성파일을 전파해주는 또 다른 매개체로 악용되고 있는 사실을 확인했다. 이처럼 전자금융사기용 악성파일들은 유포기법부터 감염방식까지 갈수록 고도화, 지능화되고 있는 추세이다. 더불어 이런 방식은 자신의 컴퓨터가 최신의 보안상태를  유지하고 있더라도 변칙적인 광고프로그램에 현혹되어 노출되는 순간 파급력 및 위험도가 높은 전자금융사기용 악성파일에 동시 감염될 수 있다는 점에서 의미하는 바가 크고 이용자들의 각별한 주의가 요망된다.

2. 파밍용 악성파일을 품은 Adware

한국내 인터넷 뱅킹 이용자들을 겨냥한 맞춤형 악성파일인 KRBanker 종류는 변종이 거의 매일 발견되고 있을 정도로 그 심각성이 높아지고 있고, 우후죽순으로 퍼져나가고 있다. 사이버 범죄자들은 용의주도하게 이미 글로벌 기업형 사기단으로 활동할 정도로 조직이 발전하고 있고, 사이버상의 암전존재로 자리매김하고 있는 상태이다. 특히, 초기 호스트파일(hosts)을 변조하는 고전적인 단순수법에서 벗어나 나날이 고도화되고 있고, 보안모듈을 우회하거나 직접적으로 겨냥하는 등 치밀하고 과감해지는 추세이다.

최근 발견된 사례는 Drive By Download 방식의 웹 보안취약점을 이용하지 않고, 인터넷 이용자들의 활동반경과 심리를 절묘하게 역이용하여, 기존에 뿌려지고 있던 애드웨어에 KRBanker 변종 악성파일을 추가하는 방식을 도입했다. 따라서 이용자가 운영체제와 주요 응용프로그램의 최신 보안업데이트를 설치한 경우라도 애드웨어에 노출되는 순간 악성파일에 무장해제 되는 잠재적 보안위협에 노출될 수 있다. 

애드웨어들에 대한 정보는 아래 내용에서 자세히 확인해 볼 수 있다.

[안내]유해 가능한 변칙 광고프로그램 감염 예방하기 십계명
☞ http://erteam.nprotect.com/350

[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다.
☞ http://erteam.nprotect.com/346

[칼럼]국산 유해가능 제휴프로그램 난립실태와 근절대책의 핵심
☞ 
http://erteam.nprotect.com/319


기존에도 애드웨어 종류의 악성파일을 변조하거나, 해당 사이트를 해킹하여 온라인 게임 계정 탈취용 악성파일이 배포된 경우는 여러 번 보고된 바 있다. 이러한 사이버 범죄자들이 온라인 게임 계정 뿐만 금융정보 탈취도 적극적으로 시도하고 있어 앞으로 다양한 방식의 공격이 발생할 것으로 우려된다.


변조된 애드웨어 (다운로더)프로그램이 실행된 후 약 10~20초 정도가 지나면 "kakutk.dll" 이름의 추가 악성파일이 설치된다.

2013년 05월 경까지 발견되었던 "kakutk.dll" 악성파일은 국내 유명 온라인 게임 계정 탈취용 기능만 보유하고 있었으나, 2013년 07월 경부터는 온라인 게임 계정 탈취 기능에 파밍 기능까지 추가된 상태로 발전된 상태이다.


해당 악성파일은 온라인 게임 계정탈취 기능도 함께 보유하고 있으며, 악성 드라이버 파일을 생성해서 유명 보안솔루션들이 정상적으로 작동하지 못하도록 방해기능을 시도하기도 한다. 


"kakutk.dll" 악성파일과 관련된 내용은 아래를 참고하면 좋겠다.

[주의]소켓통신(WinSock)을 가로채기하는 전자금융사기 수법 추가 등장
☞ http://erteam.nprotect.com/434


이렇듯 애드웨어를 변조하여 전자금융사기용 악성파일을 전파하는 기법도 발견되었기 때문에 인터넷 이용자들은 블로그나 인터넷 카페에서 다운로드한 프로그램을 실행할 경우 각별한 주의가 필요하다.

3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.

 

2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/

 

저작자 표시
신고
Posted by nProtect