현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 "Gauss: Nation-state cyber-surveillance meets banking Trojan"와 함께 분석 보고서인 "Gauss:Abnormal Distribution"를 공개하였다.


이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다.


해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.



이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다.


1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨


2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집


3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집


4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 "MS10-046: Windows 셸의 취약성으로 인한 원격 코드 실행 문제" 사용


5) Palida Narrow 폰트 설치


6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드


그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며, Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.


1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트


2) Program Files 폴더의 디렉토리 리스트


3) 감염된 PC의 인터넷 익스플로러 버전


4) 네트워크 및 DNS 정보


5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob


이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.Mediyes
JS/Gauss
Win-Trojan/Gauss.1310208
Win-Trojan/Gauss.270336
Win-Trojan/Gauss.194560
Win-Trojan/Gauss.172032
Win-Trojan/Gauss.397312
Win-Trojan/Gauss.430080
 
캐스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융 정보나 개인 정보 탈취 목적이라기 보다는 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융 정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석 된다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.

스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.

ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.

일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다.

ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격 대상이 되는 웹 사이트를 보유한 기업들의 지리적 위치는 아래 이미지와 같이 독일, 미국 그리고 캐나다 순서로 금융업이 발달한 국가들에 집중 되어 있었다.

그리고 해당 공격 대상이 되는 웹 사이트를 보유한 기업들의 업종별로 분류한 이미지는 아래와 같이 온라인 뱅킹을 지원하는 기업들에 대부분이 집중 되어 있으며 그 외에 전자 결제 서비스, 금융 투자 등의 순서로 구성되어 있다.

한 가지 특이한 사실로는 스파이아이 제작자의 공격 대상이 되는 웹 사이트들 중에는 온라인 항공권 구매 서비스를 지원하는 항공사도 포함되어 있다는 점이다.

ASEC에서 운영하는 패킷 센터(Packet Center)의 구성 시스템인 SpyEYE C&C Tracking 시스템을 통해 분석한 스파이아이가 탈취한 사용자 계정 정보와 암호를 전송하는 C&C(Command and Control) 서버가 위치해 있는 국가는 아래 이미지의 녹색 부분과 같다.



C&C 서버가 위치해 있는 국가는 대부분 미국에 집중 되어 있으며 그 외에 러시아와 우크라이나 순서로 집중 되어 있어, C&C 서버 대부분이 해킹된 시스템 또는 관리가 소흘한 시스템에 의해 설치되는 것으로 분석하고 있다.

다행스럽게도 스파이아이 제작자가 탈취를 노리는 웹사이트들에는 한국 금융 기업들이 포함되어 있지 않다. 이는 과거 몇 년전부터 진행되었던 보안 위협들의 국지화에 따른 현상으로 해석 할 수 있다. 그러나 외국 금융 기관과 온라인 뱅킹을 통해 거래를 하는 사용자들은 스파이아이 악성코드 감염에 따른 피해에 대해 많은 주의를 기울일 필요가 있다.


저작자 표시
신고
Posted by 비회원