최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다.
ASEC 분석팀에서는 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격을 수행한 것을 확인하였다. 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks), 천리안, 다음(daum) 사용자들을 공격 대상으로 하며 하나의 도메인에서 해당 타겟에 대한 악성 피싱 스크립트들이 관리되고 있는 것을 발견하였다. 각각의 피싱 공격 사례들이 타사 블로그나, 보안 기사를 통해 다수 알려졌으나 자사에서는 이 공격들이 동일한 피싱 사이트로부터 수행된 동일 공격자(혹은 그룹)의 소행이라는 연관성을 포착한 것이다.
특히 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks)는 각 기업에서 메일 서비스로 사용하는 경우가 많아 기업 타겟이 될 수 있어 각별한 주의가 필요하다.
hxxp://l**es***utys**on[.]com/***ut***lon/ 접속 시 확인되는 위 사이트는 정상적으로 사용되는 뷰티 관련 페이지인 것처럼 보이지만 사실상 운영되지 않고 있는 가짜 사이트이다. 내부의 피싱 스크립트와 함께 패키지로 제작되었을 것으로 보인다.
최상위 도메인 hxxp://l**es***utys**on[.]com은 아래와 같은 open directory 구조를 가지고 있다. flavour 디렉토리 하위에 피싱 코드들이 존재하며 해당 디렉토리를 제외한 나머지 디렉토리 및 파일들은 위 [그림1] 정상 사이트를 위장하기 위한 구성요소이다. (분석 시점 디렉토리 구조이며 공격자는 해당 디렉토리명과 내부 파일을 주기적으로 수정한다.)
위 [표1]에서와 같이 wem 디렉토리 하위에는 유출 정보를 수신하는 공격자의 메일 주소별 디렉토리가 구분되어 있다. 즉 동일 디렉토리 내부의 피싱 스크립트는 모두 동일한 악성 메일 주소를 사용한다. 각 php파일은 특정 대상자들을 공격 대상으로 하고있으며 몇가지의 코드로 메일 주소와 공격 대상을 변경하여 작성되었다. 각 디렉토리명은 [표2]와 같이 도메인의 일부 스트링이 포함되도록 하였는데 공격자도 해당 코드들을 구분하여 관리할 목적으로 이와 같이 분류했을 것으로 보인다.
- 네이버 웍스(NAVER WORKS) 대상
업로드 된 파일 중에서 정상 사이트의 로그인 페이지를 위장하여 사용자로부터 ID와 패스워드를 입력 받는 폼을 가진 파일은 아래와 같이 네이버 웍스를 위장하고 있다.
정상적인 네이버 웍스 로그인 화면은 아래와 같으며 피싱 페이지와 달리 이메일만 입력하는 등 로그인 옵션에 차이가 존재한다.
악성 스크립트는 사용자의 IP, OS 정보, 접속 브라우저 정보 등을 수집하고 이후 ‘hxxp://www.geoplugin.net/json.gp?ip=[사용자 IP]’ 에 접속하여 사용자의 국가, 지역, 도시 등의 정보도 추가적으로 수집한다. 수집한 정보는 “[국가 이름] || NavWork” 제목으로 [표1]에 명시된 공격자의 메일을 전송한다.
- 메일 제목 : [국가 이름] || NavWork
- 유출 내용 : 사용자의 IP, OS 정보, 접속 브라우저 정보
- 파일 별 정보유출 메일주소는 표1 참고
2. 메일 플러그(MAILPLUG) 대상
메일 플러그 케이스의 피싱 메일은 아래 사례와 같이 유포 중이다.
피싱 메일의 경우 ‘철골제작 견적요청, ‘견적의뢰 건 P/O FIBN’ 등의 제목으로 유포되는 것으로 보아 건설회사를 대상으로 하고 있다. 또한, 아래와 같이 html 파일의 타이틀에 회사명이 작성되어 있어 메일 플러그를 사용하는 특정 회사의 사용자를 대상으로 유포되었음을 알 수 있다.
해당 페이지를 POST method를 통해 요청하였을 시 클라이언트의 IP를 통해 ‘hxxp://www.geoplugin.net/json.gp?ip=[사용자 IP]’에 접속하여 추가 정보를 수집한다. 사용자 이메일, 패스워드, User Agent, 현재 시간, Host Name 등 수집한 정보를 아래 형식에 맞게 작성하여 “You’ve got mail from [사용자 IP] ([국가 이름])” 제목의 메일을 공격자 메일 주소로 전송한다.
- 메일 제목 : “You’ve got mail from [사용자 IP] ([국가 이름])
- 유출 내용 : 사용자 이메일, 패스워드, User Agent, 현재 시간, Host Name
- 파일 별 정보유출 메일주소는 표1 참고
3. 하이웍스(hiworks) 대상
위 [그림9]와 같은 위장 스크립트 형태로 유포 중이며 해당 스크립트를 메일에 첨부하여 다수의 사용자에게 유포했을 것으로 보인다. 수집한 정보를 특정 메일 계정으로 전송하도록 구성되어있으며 수집된 정보는 “You’ve got a HI_WORKS message from [사용자 ip]” 제목으로 공격자 메일 주소로 전송한다. 이 후 정상 하이 웍스 페이지인 hxxps://www.hiworks.com/ 로 리다이렉트되어 공격자는 피싱 스크립트임을 더욱 의심하기 어렵다.
- 메일 제목 : You’ve got a HI_WORKS message from [사용자 ip]
- 유출 내용 : 사용자 ID, 패스워드, IP, Host Name, User Agent, submit time
- 파일 별 정보유출 메일주소는 표1 참고
4. 천리안 대상
다른 피싱 파일들과 동일하게 사용자 이메일, 패스워드, IP, User Agent 등의 정보를 수집하여 ‘You’ve got a chol message from [사용자 ip]’ 제목으로 chriseuro512@gmail.com 에 전송한다.
- 메일 제목 : You’ve got a chol message from [사용자 ip]
- 유출 내용 : 사용자 이메일, 패스워드, IP, User Agent
- 파일 별 정보유출 메일주소는 표3 참고
5. 다음(daum) 대상
위 [표1]에는 언급되지 않았으나 공격자는 동일 도메인 사이트 내의 공격 파일을 주기적으로 변경하며 관리한다. 분석 시점 당시 사이트 구조는 [표1]과 같았으나 다른 시점에서는 아래와 같이 다음을 대상으로 한 피싱 코드도 확보되었다.
하이웍스와 동일한 대상을 유출 정보로 하며 전송되는 메일 제목에만 차이를 두고있다.
- 메일 제목 : You’ve got a Daum message from [사용자 ip]
- 유출 내용 : 사용자 이메일, 패스워드, IP, User Agent
- 정보 전송 공격자 메일 : chriseuro512@gmail.com (해당 메일 주소도 [표1]에 포함)
해당 게시글에서 설명 된 위 사이트 외에도 이러한 구조로 관리되고 있는 다른 도메인들의 사이트가 존재한다. 이렇게 다양한 피싱 스크립트들을 포함해 특정 도메인으로 구성하여 공격에 사용하는 것으로 보인다.
각 메일 서비스는 다양한 기업에서 사용하는 경우도 많아 각별한 주의가 필요하며 피싱 스크립트는 메일을 통해 유포되기 때문에 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야한다.
[파일 진단]
- Phishing/HTML.Generic
- Phishing/PHP.Generic
- Phishing/HTML.FakeGW
[IOC]
- 메일 발신 주소
steveappeal77@gmail[.]com
chriseuro512@gmail[.]com
vnalu09@gmail[.]com
owemsgnaver@gmail[.]com
mabamimykel1@gmail[.]com
ethangivan2001@gmail[.]com
stevencooperjp@gmail[.]com - 파일 MD5
03E2BF06AF2D98E3F3572D8507FE6709
15B06706E87AF552E9A059ADAE8040AD
20D70BA1DFED279E7684E88D18F3CA20
2DE668B1F8BC757F5B3158C7C0FB6257
4780E8BFDE75B8C549837CAC991E5270
480F54237CE2D07D28DFD4EB249F497A
4B46C5F78A9D5BCCC3A9F83A47880573
4C0E44477B326600AB210862253355CE
5A44EC51689D7FCE81BDFBDB02899A93
6F398D5CD90F610CD0215579361103A2
7D2C13CDC0367F7A1196132BEB5C7092
7EE3E560003D69AD21395B3C02439659
89A5FB5CEE9167999ADD44F08C27F1D5
901F61246575445A3B73C98E3E0EE12A
9108D52B0D598D09385AC90F73A73A10
9C56571213E2DAD43B43E9F6E97F0E31
A2FE244AAF0EB4AB2A10FE869F412031
A719CFA77951577BD85698C0E1A6C8E4
C5A05E670851C66AAF4D2286AB2174D4
D677635CC401DF5A1983EA2BA1E41687
DC3CF59CDD1778F2E1A257B1779E4754
DF8A3B386CA80D6AB25CFE8B01C1B2FF
E74516705545047665D1DB616AA3F84F
EF9DB4A366AA21BF918ED25414F84E7F
F8D608DAAC359EB78451508DC2E3AD77
전체 피싱 코드에 대한 상세 분석과 추가 악성 도메인 사이트 등의 정보는 ‘차세대 위협 인텔리전스 플랫폼’ ATIP 에서 제공하고 있습니다.
Categories:악성코드 정보