어제밤(2014년 3월 4일) 늦은 시간에 특정 광고 배너가 포함된 티스토리(Tistory) 블로그를 보던 중 광고 배너를 통해 인터넷뱅킹 악성코드가 유포되고 있는 부분을 발견하였습니다.

해당 블로그 상에서 취약점(Exploit) 방식으로 유포되는 것으로 확인된 악성코드가 어떤 경로를 통해 노출이 이루어지고 있는지 확인해 보았습니다.

확인 결과 블로그 하단 영역에 추가한 CPC 광고 배너로 알려진 특정 광고 서버에 악성 iframe이 추가되어 노출이 발생하며, 이를 통해 접속한 사용자 PC에 설치된 특정 응용 프로그램의 보안 패치가 이루어지지 않은 경우 자동 감염(Drive-By Download) 방식으로 설치가 이루어질 수 있습니다.

  • h**p://kong***.com/index.html (SHA-1 : bfab03cfdc1bf7d6a00390cceda84219b71f726f) - MSE : Exploit:JS/DonxRef.A (VT : 15/50)
  • h**p://kong***.com/jpg.js :: Oracle Java 취약점(CVE-2012-0507) 체크
  • h**p://kong***.com/swfobject.js :: Adobe Flash Player 취약점 체크
  • h**p://kong***.com/ocHSih7.jpg (SHA-1 : eb166c84aa6108d3a9f87be37eecc50dd521b46f) - AhnLab V3 : Java/Exploit (VT : 23/50)

이를 통해 최종적으로 다운로드된 파일<SHA-1 : 3738caaeb59fe87429c23b053eb1d873f0dba6ea - nProtect : Trojan/W32.KRBanker.24789 (VT : 39/50)>은 "C:\Users\(사용자 계정)\AppData\Local\Temp\log.exe" 파일로 생성된 후 악성코드 설치 후 자가 삭제 처리됩니다.

 

[생성 파일 및 진단 정보]

 

C:\koreaautoup.bmp
C:\Program Files\Common Files\log.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스

 - SHA-1 : 3738caaeb59fe87429c23b053eb1d873f0dba6ea

 - nProtect : Trojan/W32.KRBanker.24789 (VT : 39/50)


C:\Windows\System32\drivers\etc\hosts :: 파일 수정

 - SHA-1 : 52056CAF58E2CB7E924FA4953463F1873B3BCEEF

 

C:\Windows\System32\drivers\etc\hosts.ics

 - SHA-1 : 52056CAF58E2CB7E924FA4953463F1873B3BCEEF

감염된 환경에서는 "C:\Program Files\Common Files" 폴더 내에 마이크로소프트(Microsoft) 관련 파일로 위장한 log.exe 악성 파일을 생성하며, 파일 속성을 보면 "중국어(간체, PRC)"로 언어가 표시되는 것이 특징입니다.(※ 해당 파일명은 최종 파일명에 따라 변경될 수 있습니다.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - koreaautoup = C:\Program Files\Common Files\log.exe

이렇게 생성된 파일은 Windows 시작시 "C:\Program Files\Common Files\log.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 다음과 같은 외부 통신을 시도합니다.

자동 실행된 파일(log.exe)은 특정 서버를 오픈하여 중국(China)의 특정 QQ 계정에 등록된 정보를 통해 추가적인 악성 파일을 받아오도록 제작되어 있으며, 테스트 당시에는 파일을 받아오지는 않았습니다.

 

  웹하드 접속시 인터넷뱅킹 악성코드 유포 주의 (2014.1.28)

 

해당 동작은 기존의 웹하드를 통해 유포된 인터넷뱅킹 악성코드와 거의 유사하므로 참고하시기 바랍니다.

  • C:\Windows\System32\drivers\etc\hosts :: 파일 수정
  • C:\Windows\System32\drivers\etc\hosts.ics

또한 자동 실행되어 메모리에 상주한 log.exe 악성 파일은 6분 주기로 호스트 파일 2개를 삭제 후 재생성하는 방식으로 업데이트를 진행합니다.

 

  국내 무료 백신 : 알약(ALYac) 2.5.0.1 (2013.5.30)

 

특히 호스트 파일 변조(생성) 과정에서 알약(ALYac) 무료 백신의 호스트 파일 보호 기능을 통한 알림창 생성 기능을 방해하도록 제작되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 URL 주소) :: 감염 전
 - Start Page =
http://www.naver.com :: 감염 후

인터넷뱅킹 악성코드에 감염된 환경에서는 사용자가 지정한 Internet Explorer 웹 브라우저의 홈 페이지 주소를 네이버(Naver)로 변경하는 동작이 있습니다.

 

그 이유는 변조(생성)된 호스트 파일에서 답을 찾을 수 있는데 감염된 사용자가 웹 브라우저를 실행할 경우 무조건 네이버(Naver)를 오픈하도록 설정하여 가짜 네이버(Naver) 웹 사이트로 연결이 이루어지도록 하기 위해서입니다.

실제 변조된 호스트 파일(hosts, hosts.ics)을 확인해보면 "114.182.15.232" IP 서버로 은행, 포털 사이트 접속시 연결되도록 구성되어 있으며, 이를 통해 감염된 환경에서 포털 사이트 접속시 다음과 같은 모습을 볼 수 있습니다.

사용자가 네이버(Naver)에 접속하면 가짜 네이버(Naver) 웹 사이트로 연결하여 "yessign 금융결제원 전자인증센터" 팝업창을 생성하여 금융 사기에 따른 보안 관련 인증 절차를 진행하도록 유도합니다.

다음(Daum) 사이트의 경우에는 "금융감독원에서 보안관련 인증 절차를 진행하고 있습니다."라는 팝업창을 생성하여 은행 사이트로 접속하도록 유도합니다.

네이트(NATE) 사이트에서도 "yessign 금융결제원 전자인증센터" 팝업창을 생성하여 안전한 인터넷뱅킹을 위한 보안서비스를 위해 은행 사이트 접속을 유도하고 있습니다.

 

위와 같이 국내 인터넷 사용자들이 많이 사용하는 포털 사이트(네이버, 다음, 네이트) 또는 인터넷 쇼핑몰을 중심으로 접속시 팝업창 생성을 통한 은행, 증권 등 금융권 사이트로 접속을 유도하여 금융 정보를 탈취할 수 있습니다.

 

이처럼 인터넷뱅킹 악성코드에 감염된 사용자가 팝업창에서 안내하는 은행 사이트를 방문하였을 경우 볼 수 있는 화면을 소개해 드리도록 하겠으며, 연결시 인터넷 주소가 은행 사이트와 동일하거나 매우 유사한 주소를 이용하는 경우가 있습니다.

 

(1) 국민은행

국민은행 접속시 보안 관련 인증 절차 안내창이 생성되어 "확인" 버튼을 클릭하도록 유도하고 있습니다.

또한 국민은행의 다른 콘텐츠를 클릭할 경우에는 "보안관련 인증절차를 받으시면 더욱 안전한 인터넷 뱅킹을 이용하실수 있습니다. 절차진행후 이용하여 주십시오." 메시지 창을 통해 무조건 공격자가 원하는 단계로 연결이 됩니다.

연결된 공인인증센터에서는 사용자의 이름, 주민등록번호를 입력하여 금융 정보(계좌 번호, 비밀번호, 보안 카드 등)를 입력하도록 할 것으로 추정됩니다.

 

(2) 신한은행

 

(3) 기업은행

기업은행을 비롯하여 일부 은행 사이트 접속시에는 "※ 최근 카드회사 3사의 개인정보유출 관련문제로 인터넷 뱅킹의 금융개인 모든정보를 한층더 업그레이드 하셔야합니다. 지금 바로 서비스 신청하셔야합니다. 본서비스는 필수 학목입니다." 메시지 창을 생성하여 공인인증센터로 연결되도록 되어 있습니다.

 

(4) 우리은행

 

(5) 우체국예금보험

 

(6) 하나은행

 

(7) 외환은행

 

(8) 새마을금고

 

그 외 농협의 경우에는 파밍(Pharming) 사이트 차단 안내를 통해 연결이 이루어지지 않도록 가장 빠르게 대응이 이루어지고 있는 것으로 확인되고 있습니다.

 

이처럼 사용자 PC에 몰래 설치될 수 있는 인터넷뱅킹 악성코드는 수집된 정보를 바탕으로 막대한 금전적 피해를 유발할 수 있다는 점에서 감염되지 않도록 PC 보안에 신경을 쓰시기 바랍니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (1)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (2)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (3)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4)

 

제공되는 링크 내용을 잘 확인하여 Windows, Adobe Flash Player, Oracle Java 등 각종 응용 프로그램의 업데이트에 신경쓰시기 바라며, 불필요한 프로그램(PUP)과 같은 프로그램이 설치되어 자신도 모르게 추가적인 악성코드 감염에 노출되지 않도록 하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바