지난 주말(2013년 11월 2일~3일)경 국내에서 제작된 WinExpand 광고 프로그램이 설치된 PC 환경에서 인터넷 검색을 통해 노출되는 WinExpand 관련 광고를 통해 인터넷뱅킹 악성코드에 노출되는 부분이 확인되었습니다.
▷ 검색 도우미 : 윈익스팬드(WinExpand) (2012.10.5)
WinExpand 광고 프로그램은 2012년 하반기경부터 배포가 확인되어 최근까지도 지속적으로 설치가 이루어지고 있는 것으로 파악되고 있으며, 이번 악성코드 유포가 어떻게 진행되어 금전적 피해로 연결될 수 있는지 자세하게 살펴보도록 하겠습니다.
사용자가 다음(Daum) 블로그를 중심으로 한 스팸(Spam) 블로그 또는 신뢰할 수 없는 파일 자료실을 통해 원하는 프로그램을 다운로드<MD5 : 9cc2b195554d470cff8d166b3bf551c3 - nProtect : Adware/W32.KrAdword.371992 (VT : 26/46)>하여 실행할 경우 "유틸데이터 다운로더"와 같은 창이 생성되며, 해당 창에는 매우 좁은 영역에 다수의 제휴 프로그램을 등록하여 사용자의 부주의한 실행을 통해 불필요한 프로그램(PUP) 및 악성코드가 자동으로 설치될 수 있습니다.
이 과정에서 "툴바쇼핑도우미"로 등록된 WinExpand 검색 도우미 프로그램(MD5 : 2e619e69cd794f4480b049e94e3dc4ef - nProtect : Adware/W32.Agent.549424 (VT : 22/47)>이 다운로드되어 설치가 이루어집니다.
설치된 WinExpand 프로그램은 "C:\Program Files\WinExpand_s2vdk" 폴더에 파일을 생성하며, 예약 작업에 WinExpandUpdate_s2vdk 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files\WinExpand_s2vdk\WinxpendUP_s2vdk.exe" 파일을 자동 실행하여 광고 구성값 체크를 수행합니다.
특히 WinExpand 프로그램은 배포지에 따라 폴더명이 "WinExpand_(파트너 ID)" 패턴으로 등록되는 특징을 가지고 있으며, 현재 확인되는 파트너 ID는 다음과 같습니다.
wxp, f5, mon, nzym, nmog, ou10, seds, boa, flh4, im0s, jaq, nlbox, cyame, nows, ngmel, jema, nomon, nmae, nqil, nshe, tdawa, uttp, scq, test3, satil, lkre, utila, nemax, njbng, nor2, noame, lvu5, smve5, itrs5, ies5, itdw5, uk25, uz25, mrp5, mcv5, sftea, 9fle, imnw, nwtp, nwsps, nwuk2, nwiss, nwf4, nwshe, nwuza, nwdwns, nwmbg, nwzay, nwtb0, nwcvr, nwpop, nwmge, nwjmn, nwqle, test, fik, pcer, nzza, nwgn, nwcod, s2apa, s2co1, s2cmf, s2dwm, s2fvr, s2ggl, s2ind, s2itf, s2lif, s2sco, s2sre, s2uzg, s2use, s2vdk, s3ddt, s3aph, s4dnp, s4fhk, s4sud, s4swe, s4sse, s4sue, s4uwe, s5hge, s5pst, s6ocs, s6nrr
이렇게 설치된 환경에서 사용자가 인터넷 검색을 이용하는 과정에서 Internet Explorer 웹 브라우저의 브라우저 도우미 개체(BHO)에 등록된 "WinExpandB Class" 항목을 통해 웹 브라우저 상단바 영역에 ["(검색어)" 관련 프리미엄 링크] 광고가 노출되는 방식으로 운영이 이루어지고 있습니다.
문제는 해당 광고를 호출하는 광고 서버가 해킹으로 추정되는 공격을 통해 악성 URL 값을 추가하여 보안 패치가 이루어지지 않은 특정 환경에서 Exploit 공격 방식으로 자동 감염을 유발하였습니다.
최초 유포 확인 과정에서는 알약(ALYac) 무료 백신에서 일부 스크립트 파일에 대해 JS:Exploit.BlackHole.PL 진단명으로 차단을 하였으며, 실제 Windows 7 운영 체제에서는 최종 악성 파일이 다운로드되어도 감염으로 연결되지는 않았습니다.
▷ 알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)
또한 기존에 블로그를 통해 소개한 알약(ALYac) 무료 백신 사용자를 위해 추가적으로 설치를 권장하는 Malwarebytes Anti-Exploit 프로그램을 통해 공격을 차단하는 모습도 확인할 수 있었습니다.
이제 당시 유포되었던 Exploit 관련 정보를 살펴보도록 하겠으며, 해당 Exploit 공격은 Windows 7 운영 체제에서도 유효하지만 최종적으로 다운로드된 PE 파일은 Windows XP 운영 체제만 타켓으로 감염을 시키는 것으로 확인되고 있습니다.
최초 시작점은 WinExpand 광고가 웹 브라우저에 노출되는 과정에서 연결되는 광고 서버에 삽입된 외부 악성 스크립트를 통해 이루어지고 있었습니다.
이를 통해 호출된 "css.js → css.html <MD5 : 8ee1385a3a7299c9644fc77849935365 - 알약(ALYac) : JS:Exploit.BlackHole.PL (VT : 14/47)>" 악성 스크립트를 불러와 사용자 PC에서 취약점이 존재한지 체크를 수행합니다.
진단명에서는 해외 BEK(Blackhole Exploit Kit) 툴로 제작된 스크립트로 진단하지만 실제 내부를 살펴보면 중국에서 제작된 것으로 알려진 공다팩(GongDa Pack)으로 보이며, 노란색 영역은 최종 파일이 위치한 URL 값이 포함되어 있는 것이 특징입니다.
- h**p://gw.samyoung**.com/f_cs/swfobject.js :: Adobe Flash Player 체크
- h**p://gw.samyoung**.com/f_cs/jpg.js :: Oracle Java 체크
- hp://gw.samyoung**.com/f_cs/count.js :: 카운터(Counter)
만약 해당 스크립트에 노출된 PC 환경에서 Adobe Flash Player, Oracle Java 프로그램이 최신 버전이 아니라 취약점에 노출된 구버전을 사용하는 경우에는 자동으로 다음과 같은 최종 파일을 받아오게 됩니다.
- h**p://gw.samyoung**.com/f_cs/psPF4.jpg (MD5 : d1a0665d3a6e88c386abf1ae628e3be4) - MSE : Exploit:Java/CVE-2012-0507 (VT : 19/47) :: JAR 압축 포맷
- h**p://www.***hwavillage.co.kr/image/m1111.exe (MD5 : 7668c50213f2e12e028e8c34df09db8c) - AhnLab V3 : Backdoor/Win32.Agent (VT : 35/47)
테스트 PC 환경에서는 2012년 2월경 보안 패치가 이루어진 것으로 알려진 Oracle Java 취약점을 통해 최종 악성 파일(m1111.exe)이 다운로드되어 자동 실행되며, Windows 7 운영 체제에서는 실행 후 감염이 이루어지지 않고 자동 삭제 처리가 됩니다.
이에 드랍(Drop)된 악성 파일이 어떤 기능을 수행하는지 모니터링을 위해 Windows XP 운영 체제에서 테스트를 진행하였습니다.
1. 최종 파일(m1111.exe) 실행을 통해 추가 다운로드 및 악성코드 정보
Exploit 공격 방식을 통해 최종적으로 다운로드된 m1111.exe 악성 파일은 홍콩(HongKong)에 위치한 서버로부터 2종의 추가 악성 파일을 다운로드 및 실행합니다.
(1) BHO 등록 기능 : MD5 : 749b4bd62d6426f267c07039b01b30de - AhnLab V3 : Trojan/Win32.OnlineGameHack (VT : 31/47)
안랩(AhnLab) 업데이트 파일(MUpdate2)로 위장한 m1101.exe 파일은 Internet Explorer 웹 브라우저의 "도구 모음 및 확장 프로그램" 영역에 "EyeOnIE Class", "BhoPlugin Module" 브라우저 도우미 개체(BHO)를 등록합니다.
(2) "64to32" 서비스 등록 : MD5 : bd79fdf12ba23ae3ced7deeabd226807 - AhnLab V3 : Backdoor/Win32.Agent (VT : 34/47)
추가적으로 다운로드된 main1101.exe 파일은 "64to32" 서비스 항목을 등록하여 시스템 시작시 [%SystemRoot%\System32\svchost.exe -k netsvcs] 파일을 자동 실행하여 "C:\WINDOWS\system32\64to32.dll" 서비스 등록 파일을 로딩하여 원격 서버와 통신을 시도합니다.
(3) 생성 파일 및 진단 정보
- MD5 : 50a55b82503e25adef1448a5dc80a404
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VT : 24/47)
C:\WINDOWS\system32\Windows32.dll :: BHO 등록 파일
- MD5 : 90225eeb00a9f938beb77fe192ad8793
- AhnLab V3 : Spyware/Win32.Eyoni (VT : 18/47)
C:\WINDOWS\system32\Windowsxp.ini
C:\WINDOWS\system32\Windowsxp32.ini
생성된 파일들은 시스템 폴더 내에 위치하며 "64to32" 서비스 항목을 통해 시스템 시작시 자동 실행되어 "121.127.226.224" 웹 서버에 주기적으로 연결하여 2종의 다운로드 파일에 대한 버전 정보(Windowsxp.ini, Windowsxp32.ini)를 체크합니다.
이를 통해 감염된 시스템에서는 차후 보안 제품에서 진단되지 않는 악성 파일을 추가적으로 업데이트를 할 수 있습니다.
이름 : EyeOnIE Class
유형 : 브라우저 도우미 개체
CLSID : {6E28339B-7A2A-47B6-AEB2-46BA53782379}
파일 : C:\WINDOWS\system32\Windows32.dll
이름 : BhoPlugin Module
유형 : 브라우저 도우미 개체
CLSID : {E9C0568A-0146-9ACE-2347-9ACE13568ABD}
파일 : C:\WINDOWS\system32\Windows32.dll
"EyeOnIE Class", "BhoPlugin Module" 브라우저 도우미 개체(BHO)로 등록된 "C:\WINDOWS\system32\Windows32.dll" 악성 파일은 사용자가 Internet Explorer 웹 브라우저를 동작할 때 실행되어 다음과 같은 기능을 수행합니다.
일반적인 인터넷뱅킹 악성코드는 호스트 파일(C:\Windows\System32\drivers\etc\hosts 또는 C:\Windows\System32\drivers\etc\hosts.ics)을 조작하여 사용자를 가짜 은행 사이트로 접속을 유도합니다.
하지만 이번 사례와 같은 인터넷뱅킹 악성코드는 호스트 파일은 건드리지 않고 브라우저 도우미 개체(BHO) 방식으로 추가하여 악성 파일(Windows32.dll)에 등록된 국내 은행 사이트에 접속시 가짜 사이트로 납치가 이루어지도록 제작되어 있습니다.
특히 보안 제품의 진단을 우회할 목적으로 은행 사이트 주소는 암호화 처리가 되었으며, 다음과 같은 국내외 은행 10곳이 표적으로 지정되어 있습니다.
- 국민은행 : kkc.hg5ee.com (210.56.52.225)
- 우리은행 : woc.hg5ee.com (210.56.52.225)
- 신한은행 : shc.hg5ee.com (210.56.52.225)
- 농협은행 : non.s8flo0.com (210.56.52.228)
- 하나은행 : han.s8flo0.com (210.56.52.228)
- 외환은행 : ken.s8flo0.com (210.56.52.228)
- 새마을금고 : kfc.s46ts.com (210.56.52.229)
- 스탠다드차타드은행 : noc.s46ts.com (210.56.52.229)
- 우체국예금보험 : post.s46ts.com (210.56.52.229)
- 시티은행 : tyc.d4wt0.com (210.56.52.224)
또한 사용자 PC에 저장된 공인인증서 파일(%s\signPri.key, %s\signCert.der)을 검색하여 수집하는 기능이 포함되어 있습니다.
2. 각 은행별 인터넷뱅킹 악성코드 동작 정보
인터넷뱅킹 악성코드에 감염된 환경에서 "국민은행" 웹 사이트에 접속시 어떤 동작을 수행하는지 대표적 사례로 살펴보도록 하겠습니다.
(1) 국민은행 : kkc.hg5ee.com (210.56.52.225)
정상적인 환경에서 국민은행 웹 사이트에 접속할 경우 주소 표시줄에는 보안 연결(https://)을 통한 녹색으로 표시가 이루어지는 것이 정상입니다.
하지만 감염된 환경에서 국민은행 웹 사이트에 접속해보면 주소 표시줄에 표시된 URL 주소는 동일하지만, 보안 연결(https://)이 아니며 "KB인터넷뱅킹 개인정보강화" 배너를 상위에 배치하여 접속을 유도하고 있습니다.
해당 접속 과정에 연결된 실제 주소를 확인해보면 홍콩(HongKong)에 위치한 "kkc.hg5ee.com (210.56.52.225)" 서버로 연결된 가짜 국민은행 웹 사이트임을 확인할 수 있습니다.
다음 단계에서는 "개인정보를 위한 이용자 동의사항" 체크와 이름 및 주민등록번호를 수집하고 있습니다.
다음 단계에서는 금융 정보 수집을 목적으로 핸드폰 번호, 계좌 번호, 계좌 비밀번호, 이체 비밀번호, 보안카드 일련번호, 공인인증서 비밀번호를 입력하도록 되어 있으며, 하단에는 보안카드 풀세트 정보를 모두 입력하도록 되어 있습니다.
정보 수집이 완료된 후에는 "개인정보 강화후 2시간이 지나야 인터넷뱅킹을 이용하실수 있습니다."라는 메시지 창을 생성합니다.
그 후 국민은행 메인 페이지로 자동 연결되면서 "개인정보강화 이용안내" 메시지를 상단에 배치하여 2시간 동안 인터넷뱅킹을 이용할 수 없다는 메시지를 출력하고 있습니다.
국민은행 이외에 나머지 타켓 은행 모두 동일한 패턴으로 개인정보 및 금융 정보를 수집하며, 각 은행별 메인 페이지에 출력되는 안내창만 확인해 보도록 하겠습니다.
(2) 우리은행 : woc.hg5ee.com (210.56.52.225)
(3) 신한은행 : shc.hg5ee.com (210.56.52.225)
(4) 농협은행 : non.s8flo0.com (210.56.52.228)
(5) 하나은행 : han.s8flo0.com (210.56.52.228)
(6) 외환은행 : ken.s8flo0.com (210.56.52.228)
(7) 새마을금고 : kfc.s46ts.com (210.56.52.229)
(8) 스탠다드차타드은행 : noc.s46ts.com (210.56.52.229)
(9) 우체국예금보험 : post.s46ts.com (210.56.52.229)
(10) 시티은행 : tyc.d4wt0.com (210.56.52.224)
3. 악성코드 제거 방법
현재 대부분의 보안 제품에서 해당 악성코드에 대한 진단 및 치료를 제공하고 있지만, 원격 서버 연결을 통해 지속적인 변종 감염의 위험성이 존재하므로 수동으로 처리할 수 있는 방법을 소개해 드리겠습니다.
(1) 실행창에 다음의 명령어를 순서대로 입력 및 실행하여 "64to32" 서비스를 종료 및 삭제할 수 있습니다.
- sc stop "64to32"
- sc delete "64to32"
그 후 "C:\WINDOWS\system32\64to32.dll" 파일을 찾아 수동으로 삭제하시기 바랍니다.
(2) "C:\WINDOWS\system32\Windows32.dll" 파일을 찾아 확장자명을 "Windows32.dll → Windows32.dll-Malware"로 변경한 후 Windows 재부팅을 하시기 바랍니다.
재부팅된 이후 "C:\WINDOWS\system32\Windows32.dll" 파일을 찾아 수동으로 삭제하시기 바랍니다.
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제 및 "변경 후 → 변경 전"으로 수정하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BhoPlugin.EyeOnIE.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6E28339B-7A2A-47B6-AEB2-46BA53782379}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E92B03AB-A707-11d2-9CBD-0000F87A369H}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9C0568A-0146-9ACE-2347-9ACE13568ABD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4CF9A0D2-ED75-40CB-98C0-36DF6A30E040}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A2D5957F-6D1A-44CE-BFBA-D448EAAB8781}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782379}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E92B03AB-A707-11d2-9CBD-0000F87A369H}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E9C0568A-0146-9ACE-2347-9ACE13568ABD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = Windows32 :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
- ExcludeFromKnownDlls = (공란) :: 변경 전
- ExcludeFromKnownDlls = usp10.dll :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_64TO32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\64to32
(4) 제어판에서 "WinExpand" 광고 프로그램을 찾아 삭제하시기 바랍니다.
올해 여름에도 광고 프로그램이 설치되는 과정에서 인터넷뱅킹 악성코드에 노출되는 문제에 대해 언급한 적이 있었으며, 최근에는 메모리 해킹 방식의 진화로 인하여 실제 정상적인 인터넷뱅킹을 이용하는 과정에서 입력하지 않은 타인의 계좌로 송금이 이루어질 수 있습니다.
그러므로 위와 같은 악성코드 위험에 노출되지 않기 위해서는 매월 정기적으로 제공하는 MS 보안 업데이트를 비롯하여 Adobe Flash Player, Oracle Java(※ 프로그램이 설치된 환경에서만), Adobe Reader 제품에 대한 최신 버전 사용을 결코 망설이지 마시기 바랍니다.
또한 사용자의 실수에 의해 설치되는 다양한 광고 프로그램은 단순히 광고 기능만 제공하는 것이 아니라 위와 같은 악성코드 감염의 통로가 될 수 있다는 점에서 불필요한 프로그램(PUP)이 설치되어 있지 않도록 PC 관리에 신경쓰시기 바랍니다.
☞ hosts.ics 파일을 이용한 인터넷뱅킹 악성코드 주의 (2013.4.1) 외 7건
☞ AncillaryAgent.exe 파일을 이용한 인터넷뱅킹 악성코드 유포 주의 (2013.7.14)