작년 하반기경부터 유포되는 파밍(Pharming) 악성코드는 호스트 파일은 건드리지 않고 DNS 주소를 조작하여 사용자가 인터넷 접속시 (가짜) 포털 사이트 접속시 금융감독원 팝업창을 생성하여 금융 정보를 수집하는 행위를 수행하고 있습니다.

 

특히 DNS 주소를 조작하는 악성코드에 감염된 경우 악성 파일을 제거한 후 인터넷이 정상적으로 연결되지 않는 문제로 고생을 하는 경우가 있기에 위와 관련된 정보를 전체적으로 살펴보도록 하겠습니다.

관련 이슈는 작년에 블로그를 통해 광고 프로그램 설치로 인해 syotom.exe 악성 파일 감염 방식에 대해 간단하게 소개한 적이 있으며, 알약(ALYac) 보안 업체에서는 세부적인 분석 정보를 공개하고 있으므로 참고하시기 바랍니다.

  • h**p://**ronsil.com/toronbang/r/index.html (SHA-1 : 8804bfdb2d18f9b672653b7929d16e05f96a47c6) - MSE : VirTool:JS/Obfuscator.FG (VT : 11/57)
  • h**p://**ronsil.com/toronbang/r/main.html (SHA-1 : 24ce0d4408cea3ca9af01da3f5c936ef0b1eb4b1) - AhnLab V3 : HTML/Agent (VT : 23/57)
  • h**p://***-health.org/upload/log.exe (SHA-1 : f0171f3ba3e278747b8af4e17436c07f13108d7e) - avast! : Win32:Kukacka (VT : 14/57)

확인된 유포 방식은 보안 패치가 제대로 이루어지지 않은 PC 환경에서 특정 웹 사이트 접속시 취약점(Exploit)을 통해 자동으로 감염이 발생할 수 있는 것으로 보이므로, 바이로봇 APT Shield 2.0 또는 알약 익스플로잇 쉴드(ALYac Exploit Shield) 취약점 차단 솔루션을 이용하시길 권장합니다.

성공적으로 감염이 이루어진 환경에서는 변종에 따라 다양한 파일 아이콘 모양을 가지는 "C:\inst.exe" 악성 파일<SHA-1 : f0171f3ba3e278747b8af4e17436c07f13108d7e - avast! : Win32:Kukacka (VT : 14/57)>을 생성하는 외형적으로 매우 간단한 파일 구조를 가지고 있습니다.

 

하지만 위와 같은 감염으로 인해 발생하는 다양한 내부적 변화가 어떻게 금융 정보를 탈취하는지 확인해 보도록 하겠습니다.

 

1. syotom 시작 프로그램 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - syotom = C:\inst.exe

Windows 시작시 syotom 시작 프로그램 등록값을 이용하여 "C:\inst.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

2. Windows 방화벽 허용 목록 추가

"C:\inst.exe" 악성 파일이 외부 통신을 원활하게 하기 위하여 Windows 방화벽의 허용 목록에 "inst" 이름으로 자신을 등록합니다.

 

3. VBScript 방식의 DNS 주소 조작

암호화된 VBScript 코드를 이용하여 "Internet Protocol Version 4 (TCP/IPv4)" 속성의 DNS 서버 주소를 "127.0.0.1" 루프백(Loopback) IP 주소로 변경합니다.

 

4. 특정 QQ 블로그를 참조한 IP 주소 획득

특정 QQ 블로그 계정에 등록된 nickname 문자열을 파싱하여 "23.228.251.238" IP 주소와 같은 등록된 IP 주소를 받아와 파밍(Pharming) 사이트 접속시 이용합니다.

 

5. 공인인증서 수집 및 유출

감염이 성공한 PC에서는 자동으로 사용자 PC의 NPKI 폴더(\NPKI\CrossCert, \NPKI\KICA, \NPKI\ncasign, \NPKI\SignKorea, \NPKI\TradeSign, \NPKI\yessign)를 검사하여 "Applications\zipfldr.dll\NoOpenWithregsvr32 /s zipfldr.dll" 명령어를 이용하여 ZIP 압축 파일을 임시 폴더에 생성합니다.

공인인증서가 포함된 ZIP 압축 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\f53fd090044693a4b9e172e41c305cb9.zip" 파일 패턴으로 생성되어 특정 서버로 전송이 이루어집니다.

 

그러므로 위와 같은 인터넷뱅킹 악성코드에 감염된 사용자는 공인인증서가 저장되어 있었다면 반드시 폐기 후 재발급을 받으시기 바랍니다.

 

6. 네이버(Naver) 홈 페이지 변경

파밍(Pharming) 악성코드에 감염된 PC는 자동으로 홈 페이지 주소가 네이버(Naver)로 변경을 시도합니다.

이를 통해 웹 브라우저를 실행할 경우 자동으로 (가짜) 네이버(Naver) 웹 사이트로 연결되어 "안전한 인터넷뱅킹을 위한 차별화된 인터넷뱅킹 보안서비스 입니다."라는 금융감독원 팝업창을 생성하여, 국민은행, 농협, 신한은행, 우리은행, 하나은행, 우체국, 기업은행, 외환은행, 새마을금고로 접속하도록 유도할 수 있습니다.

사용자가 금융감독원 팝업창을 통해 은행 사이트에 접속할 경우 미국(USA)에 등록된 "23.228.251.240" IP 주소로 연결되는 것을 알 수 있습니다.

연결된 은행 사이트의 URL 주소는 정상적인 은행 사이트와 동일하며 "보다 안전한 인터넷 뱅킹의 이용을 위하여 2014.3.24(월) 인터넷뱅킹, 스마트뱅킹, 폰뱅킹.이 모든 서비스를 이용하시려면 (개인.기업)추가인증후 이용이 가능합니다."와 같은 메시지를 통해 개인정보 및 금융 정보를 모두 입력하도록 유도합니다.

 

■ inst.exe 파밍(Pharming) 악성코드 제거 후 인터넷 연결이 안되는 문제와 해결 방법

 

위와 같은 파밍(Pharming) 악성코드에 감염된 경우 (전용)백신, 수동 제거 방식으로 악성 파일과 시작 프로그램(syotom) 레지스트리 값을 제거하여 1차적으로 치료를 할 수 있습니다.

그런데 치료가 완료된 이후 웹 브라우저를 이용하여 인터넷 접속시 웹 페이지를 표시할 수 없는 문제가 발생하는 경우가 있습니다.

이런 경우에는 "제어판 → 네트워크 및 인터넷 → 네트워크 및 공유 센터 → 로컬 영역 연결" 메뉴를 실행한 후 생성된 "로컬 영역 연결 상태 → 속성 → Internet Protocol Version 4 (TCP/IPv4)" 속성값을 "다음 DNS 서버 주소 사용(127.0.0.1 / 127.0.0.1) → 자동으로 DNS 서버 주소 받기" 항목으로 변경하시기 바랍니다.

 

단, 주의할 점은 회사 네트워크 등의 특수한 네트워크 환경의 경우에는 내부에서 설정한 기본 및 보조 DNS 주소가 고정되어 있으므로 해당 DNS 주소를 확인하여 수정하시기 바랍니다.

 

대부분의 파밍(Pharming) 악성코드는 취약점(Exploit)을 이용한 감염 방식 또는 관리가 부실한 광고 프로그램을 통해 유포되는 경향이 매우 강하므로 취약점 차단 솔루션을 함께 사용하면서 광고 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..