-접속자 수 많으면서 보안 취약한 여행사 홈페이지에 악성코드 몰래 삽입 

-웹사이트 방문만으로도 금융정보 노리는 파밍 악성코드 설치 

-백신 업데이트, 수상한 메일 첨부파일 실행 금지 등 보안수칙 준수 


많은 직장인이 애타게 기다려온 여름 휴가가 있는 8월이다. 하지만 휴가철을 맞아 들뜬 마음으로 여행을 계획하는 사이에 자신의 금융정보가 유출될 수도 있다.

 

안랩[대표 김홍선, www.ahnlab.com]은 최근 각종 여행상품을 판매하는 여행 전문 웹사이트에서, 금융정보를 유출하는 악성코드 유포가 발견되어 사용자들의 주의가 필요하다고 발표했다.

 

이번 악성코드는 휴가철을 맞아 접속 빈도가 높아진 온라인 여행사의 홈페이지에 삽입되어 자동으로 설치되는 것이 특징이다. 따라서 사용자가 보안이 소홀한 여행사 홈페이지를 방문하기만 해도, 해당 홈페이지에 몰래 삽입된 악성코드가 자동으로 사용자 PC를 감염시킨다.

 

이 때 다운로드 되는 악성코드는 사용자의 금융정보를 탈취하기 위해, 공격자가 만들어 놓은 파밍사이트로 사용자의 접속을 유도하는 기능을 가지고 있다. 즉, 이 악성코드에 감염된 PC에서 사용자가 정상적인 금융사이트로 접속해도, 악성코드가 미리 설정해 놓은 가짜 뱅킹 사이트로 연결된다. 이후 사용자가 입력한 보안카드 번호, 계좌 비밀번호 등의 금융정보가 제작자에게 전송된다. 현재는 해당 홈페이지에 접속해도 악성코드 다운로드는 중지된 상태이다.

 

또한, 휴가를 다녀온 후 자주 받게되는 영수증 문서로 위장한 악성코드도 함께 발견되었다. 이 악성코드는 사용자가 이메일에 첨부된 영수증 위장 문서를 열면, 자동으로 PC에 설치된다. 이 악성코드는 방화벽 설정을 해제해, 원래 방화벽이 막아놓았던 외부 통신을 가능한 상태로 만들어 놓는다. 이 상태에서는 특정 서버로의 정보 유출이나 원격 접속 등 다양한 공격이 가능하다.

 

안랩 이호웅 시큐리티대응센터장은 “휴가철을 맞아 온라인 여행사 방문이 증가하고 있다. 하지만 사용자의 조그만 부주의로, 자신의 금융정보가 유출될 수 있다. 따라서 백신을 항상 최신으로 업데이트하고,신뢰할 수 없는 사이트 방문을 자제, 수상한 메일 첨부파일 실행을 금지하는 등 기본적인 보안수칙을 지키는 것이 중요하다”라고 말했다. 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

 인터넷 사용이 일반화 되면서 인터넷뱅킹을 통해 은행을 직접 가지 않더라도 책상 앞에서 손쉽게 온라인 송금이 가능하고, 직접 매장에 가지 않더라도 온라인 쇼핑몰을 통해 손쉽게 물건을 구매할 수 있는 편리한 세상이 되었다. 그러나 이러한 기술 발전의 이면에는 조그만 부주의가 큰 손실을 가져오기도 한다.

 최근 올바른 홈페이지 주소를 입력하여도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있어 이러한 사고의 예방을 위해 파밍 기법에 대해 소개하고자 한다.

 

일반적으로 사용자들의 금융정보를 가로채기 위해 공격자들은 악성코드 감염을 통해 사용자의 hosts 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화 된 공격방법이기 때문에 대부분의 보안프로그램들은 사용자 시스템의 hosts파일을 모니터링 하여 변경사실을 사용자에게 알리거나 변경자체를 방어하기도 한다. 최근 피해사례가 증가하고 있는 파밍 사이트로 접속을 시도하는 피해 시스템들을 확인한 결과, DNS IP의 변경이나 hosts 파일의 변조도 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

 

[그림1] 파밍 사이트 화면

우리가 원하는 웹사이트를 찾아갈 때, 사용자는 웹 브라우저에 해당 웹사이트의 URI정보를 입력하게 되지만, 웹 브라우저가 이 URI정보를 확인하고 해당 웹사이트를 직접 찾아가는 것이 아니라 DNS를 통해 해당 웹 서버의 IP를 확인해서 연결이 되는 것이다. 웹사이트를 찾아갈 때, 참조하는 정보와 우선순위를 살펴보면 아래와 같다.

① 로컬시스템의 DNS Cache 정보

② hosts.ics

③ hosts

④ DNS

 

여기에서 hosts.ics 파일은 일반적으로 사용하지 않는 인터넷 연결 공유(ICS: Internet Connection Sharing) 시 특정한 클라이언트의 IP를 강제로 지정하는 기능을 하는 파일이다. 위 순서와 같이 hosts.ics 파일이 존재하지 않을 경우, hosts 파일을 참조하게 되지만, 악성코드 제작자 입장에서는 각종 보안프로그램들이 주시하고 있는 hosts 파일을 굳이 변경하지 않더라도 우선순위가 높은 hosts.ics 파일을 변경하여 생성하게 되면 원하는 파밍 사이트로 얼마든지 유도가 가능하다는 것이 확인되었다.

 

최초 유포지는 지속적으로 변경되고 있지만, 수집되는 악성파일들을 분석한 결과 변조된 업데이트 파일들이 아래 경로의 악성코드를 다운로드 받아 동작하게 된다는 사실을 확인하였다.

 

☞ hxxp://www.*zs**.**m/e2.exe

 

 

위 악성파일이 다운로드 되면 C:\Windows\Tasks 폴더에 conime.exe 파일을 생성하게 되고, 이 악성코드가 서비스에 자신을 등록 후 외부 서버로부터 파밍에 이용될 사이트 정보를 지속적으로 참조한다.

[그림2] 지속적으로 갱신되는 파밍 사이트


[그림3] 악성코드 주요 기능

이 과정에서 해당 악성코드는 아래 경로에 hosts.ics 파일을 생성하게 되고, 지속적으로 모니터링하며 파밍 사이트를 갱신한다.

[그림4] 파밍 사이트 유도를 위한 hosts.ics 생성

hosts.ics 파일의 우선순위로 인해 악성코드 감염 시 사용자들은 정상적인 금융권 사이트의 주소를 입력하더라도 아래와 같이 악성코드 제작자가 만들어 놓은 파밍 사이트로 접속을 하게 되며, 파밍 사이트는 어떠한 메뉴를 선택을 하더라도 "전자금융 사기예방시스템" 신청을 위한 개인정보 입력화면으로 이동하게 된다.

 

[그림5] 개인정보 입력을 유도하는 파밍 사이트


[그림6] 개인정보 입력을 유도하는 파밍 사이트


개인정보 입력란에 위와 같이 쓰레기(TEST를 위한) 값을 입력할 경우, 입력되는 값들을 검증하여 정해진 형식과 일치하지 않을 경우 [그림7]과 같이 에러 메시지가 발생한다. 이러한 사실로 보아 최근에 발견되는 대부분의 피싱이나 파밍 사이트들은 입력되는 값들을 무조건 수집하는 것이 아니라, 필터링을 통해 의미 있는 데이터들을 수집하고 있다는 것을 확인할 수 있다.

[그림7] 입력되는 값이 형식과 맞지 않을 때의 에러화면

최근에 확인되는 온라인게임핵 이나 파밍 관련 악성코드들은 대부분 PUP(불필요한 프로그램)의 업데이트 파일들의 변조를 통해 유포되거나, 악성 스크립트가 삽입된 취약한 웹사이트 방문 시 감염되는 경우가 많다.

또한 웹사이트, 블로그를 방문 하는 경우에는 ActiveX와 P2P 프로그램의 설치를 더욱 세심히 살펴보고 설치 여부를 결정해야 한다.

[제어판]-[프로그램 추가/제거] 기능을 이용하여 PUP(불필요한 프로그램)은 사전에 제거하는 것이 바람직하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Qhost


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 국내 온라인 뱅킹 사용자를 타깃으로 보안카드 등의 금융 정보를 노리는 악성코드(Banki) 변종이 지속적으로 발견되는 가운데, 최근 이름과 주민번호를 체크하는 루틴까지 추가된 변종이 발견되면서 그 수법이 점차 고도화되고 있어 사용자의 주의가 필요로 하다.

 '파밍' 이라고도 부르는 해당 악성코드는 가짜 뱅킹 사이트로 연결되도록 조작해 금융정보를 빼내는 신종 사기 수법으로, 최근 거액의 사기사건이 보고되면서 사회적인 이슈가 되고 있다.

보통 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염되며, 감염 시 hosts 파일을 변경하여 악성코드 제작자가 만든 가짜 뱅킹 사이트로 접속됨으로써 사용자의 금융정보를 입력 하도록 유도하고 있다.

 

이번에 발견된 변종이 유포되는 유포지 와 [9090.exe] 다운로더 에 의해 생성되는 파일은 아래와 같다.

 

[Download URL]

http://125.***.***.5/9090.exe (Downloder)

http://sk*******3.g****.net/asd.txt (다운로드되는 파일 목록)

http://125.***.***.4:8080/26.exe (hosts 파일 변조)

http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성)

http://125.***.***.5/23.exe (hosts 파일 변조)

 

다운로드 된 [26.exe], [23.exe] 악성파일에 의해 hosts파일이 아래와 같이 변조된 것을 확인할 수 있는데, 변조된 hosts파일에 의해서 정상적인 뱅킹 사이트에 접속하여도 가짜 사이트로 리다이렉트(redirect)시켜 사용자도 모르게 피싱사이트에 접속되어 피해를 입을 수 있는 것이다.

 

[그림 1] 악성 파일에 의해 변조된 hosts 파일

감염된 PC에서 뱅킹 사이트에 접속한 모습이다.

정상적인 방법으로 뱅킹 사이트를 방문하였지만 피싱 사이트로 리다이렉트 되었으며, 하나같이 보안관련 인증절차를 요구하며, 사용자로 하여금 금융정보를 입력하게끔 유도하고 있다.

 

[그림 2] 가짜 뱅킹 사이트

 

기존의 Banki 악성코드와 마찬가지로, 사용자의 이름, 주민번호, 보안카드 정보 등을 요구하고 있다. 기존에는 임의의 문자와 랜덤 한 숫자로 주민번호를 입력하면 다음 단계로 넘어갔었는데, 이번 변종에서는 사용자의 이름과 주민번호가 정상적으로 입력되었는지 체크하는 루틴이 추가되었다는 것이다.

    

[그림 3] 이름과 주민번호를 체크하는 소스부분

 

또한, 다운로드 된 다른 [8888.exe] 파일은 아래와 같은 경로에 [svchost.exe]을 생성하며 자기 자신을 자동 실행되게끔 tasks(예약작업)에 등록한다.

 

8888.exe CREATE C:\WINDOWS\021F0552\svchsot.exe (Tasks 작업 생성파일)    

svchost.exe CREATE C:\WINDOWS\Tasks\At1.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At2.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At3.job

 

 

[그림 4] 악성코드에 의해 생성된 예약작업들

 

이러한 파밍에 대한 피해를 막기 위해서는, 무리한 개인정보를 요구할 경우 의심을 해야 하며, 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍이라고 볼 수 있다.

최신 엔진의 백신으로 시스템을 주기적으로 정밀검사 함으로써 금전적인 피해를 예방해야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

 

 

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@