hosts.ics를 이용한 파밍 사이트 접속유도 Posted By ASEC , 2013년 4월 25일 인터넷 사용이 일반화 되면서 인터넷뱅킹을 통해 은행을 직접 가지 않더라도 책상 앞에서 손쉽게 온라인 송금이 가능하고, 직접 매장에 가지 않더라도 온라인 쇼핑몰을 통해 손쉽게 물건을 구매할 수 있는 편리한 세상이 되었다. 그러나 이러한 기술 발전의 이면에는 조그만 부주의가 큰 손실을 가져오기도 한다. 최근 올바른 홈페이지 주소를 입력하여도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있어 이러한 사고의 예방을 위해 파밍 기법에 대해 소개하고자 한다. 일반적으로 사용자들의 금융정보를 가로채기 위해 공격자들은 악성코드 감염을 통해 사용자의 hosts 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화 된 공격방법이기 때문에 대부분의 보안프로그램들은 사용자 시스템의 hosts파일을 모니터링…
구글 코드 웹 페이지로 유포된 Banki 트로이목마 변형 Posted By ASEC , 2012년 7월 18일 온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다. ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다. 금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다. ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다. 이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게…
개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형 Posted By ASEC , 2012년 7월 11일 ASEC에서는 금일 7월 11일 오전 국내 금융 업체에서 제공하는 온라인 뱅킹에 사용되는 개인 금융 정보의 탈취를 노리는 Banki 트로이목마의 변형을 발견하였다. 이번에 발견된 개인 금융 정보의 탈취를 목적으로한 Banki 트로이 목마의 변형은 기존 다른 변형들과 동일하게 RARSfx 형태로 압축되어 있다. 그리고 해당 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (704,512 바이트)와 HDSetup.exe (430,080 바이트) 파일 3개를 포함하고 있다. 해당 Banki 트로이목마에 감염되면 해당 RARSfx 파일 내부에 압축되어 있는 파일들을 다음 경로에 생성하게 된다. C:WINDOWSCretClient.exe (704,512 바이트) C:WINDOWSHDSetup.exe (430,080 바이트) 그리고 생성된 HDSetup.exe (430,080 바이트)는 cmd.exe를 실행 백그라운드로 실행 시킨 후 감염된 시스템에 존재하는 hosts 파일에 CONFIG.INI (29 바이트)에 기록되어 있는 특정 IP 주소를 참조하여 다음의 내용으로 덮어 쓰게 된다. cmd /c echo 59.***.***.55 http://www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com http://www.wooribank.com wooribank.com pib.wooribank.com bank.keb.co.kr http://www.keb.co.kr > C:WINDOWSsystem32driversetchosts 아래 이미지와 같이 덮어쓰여진 hosts 파일에는 국내 금융 업체들의…
Redirected Hostfile Entries 진단명 해결 방법 Posted By ASEC , 2009년 8월 26일 Redirected Hostfile Entries 진단명은 윈도우의 hosts 파일이 변조되었을 시 나타나는 진단명 입니다. 해결 방법은 아래 설명 드리는 대로 수정을 권해 드립니다. 1) 내컴퓨터를 켠 후 C:WINDOWSsystem32driversetc 로 이동합니다. 2) [시작] – [모든 프로그램] – [보조프로그램]에서 메모장(notepad.exe)을 실행합니다. 3) hosts 파일을 마우스로 선택 후 드래그 앤 드롭으로 메모장에서 열도록 합니다. 4) 127.0.0.1 localhost 로 입력되어 있는 부분을 제외한 모든 내용을 삭제하신 후 저장합니다. (내용 추가) 위에 안내해 드린대로 한 후 파일이 저장이 안된다면 아래 안내해 드리는 방법대로 해주시기 바랍니다. [시작] – [실행] – [cmd] 라고 입력 후 [확인] 버튼을 눌러 실행된 검은 콘솔 창에서 아래 명령어를 실행시켜 주시기 바랍니다. attrib -r -s -h C:WINDOWSsystem32driversetchosts 그리고 저장을 해보시기 바랍니다.
