주말을 이용하여 국내 게임 아이템 거래 사이트에 접속할 경우 보안 패치가 제대로 이루어지지 않은 PC 환경에서 취약점(Exploit)을 통한 인터넷뱅킹 악성코드에 자동 감염될 수 있는 부분에 대해 살펴보도록 하겠습니다.
- go.js (SHA-1 : 817bcf914e1285a914529ed107e13099e8301a14) - avast! : JS:Iframe-DVS [Trj]
- index.html (SHA-1 : d33911b8b7d091ef526a49cff37516226bf44b2a) - MSE : VirTool:JS/Obfuscator.FG
- ww.js (SHA-1 : f2ff64e78b7245b270640e6df23d3addf8974aa0) - nProtect : Script/W32.Agent.ADN
- ww.html (SHA-1 : 5e8fee698bb65c6a8800698fd3e67dac4c049a6f) - MSE : Exploit:JS/CVE-2010-0806.gen!C
- main.html (SHA-1 : 1bcd04fb2e6d8de064a70a5882828ea579b7f9d6) - Hauri ViRobot : VBS.CVE-2014-6332.Gen[h]
- index.js (SHA-1 : b87d4974e2bc7ea6307d8054d23b06e9f14e307a) - MSE : VirTool:JS/Obfuscator.EM
해당 웹 사이트는 특정 광고 서버에 추가된 악성 스크립트를 통해 Internet Explorer, Oracle Java 등의 다중 보안 취약점(CVE-2010-0806, CVE-2014-6332)을 통해 다음과 같은 악성 파일이 자동 다운로드 및 실행될 수 있습니다.
- 2015년 6월 12일 : ww.exe / qq.exe (SHA-1 : fc6cc96de7f9c79a78fd9fc5e7717ca6af7bcd56) - AhnLab V3 : Trojan/Win32.Banki, Hauri ViRobot : Trojan.Win32.R.Agent.153648[h]
- 2015년 6월 13일 : z.exe (SHA-1 : 61b0b8838be80ce2c7e030cfadbdddc265e28205) - 알약(ALYac) : Trojan.Generic.AD.12015763, MSE : PWS:Win32/Bzub.gen
- 2015년 6월 14일 : z.exe (SHA-1 : 0549ce9e20f9428690416a6c41866a6dc0205cde) - AhnLab V3 : Trojan/Win32.Banki.C885713, 알약(ALYac) : Trojan.Generic.AD.12015763, Hauri ViRobot : Trojan.Win32.R.Agent.109648[h] (VT : 11/57)
자동 다운로드되는 파일은 "Shanghai easy kradar Information Consulting Co. Ltd." 디지털 서명이 포함되어 있으며, 특히 유효한 디지털 서명으로 인하여 유포 초기에 AhnLab V3 보안 제품의 클라우드 평판 기반 실행 차단 기능을 손쉽게 우회하여 감염에 성공하는 부분을 확인하였습니다.
- C:\Files\Product.dat
- C:\Files\Setup.exe (SHA-1 : 55b167f2aa85b24d9da7f0c4e0ab142765eb140a) - 알약(ALYac) : Trojan.Generic.AD.04237884 (VT : 12/57)
최초 감염이 이루어지면 "C:\Files" 폴더에 파일을 생성한 후 "C:\Files\Setup.exe" 파일 실행을 통해 다음과 같은 랜덤(Random)한 폴더 및 파일명으로 자가 복제 방식으로 설치가 이루어집니다.
C:\du9uvq :: 숨김(H) 속성, 랜덤(Random) 폴더명
C:\du9uvq\Cahoqtf.exe :: 시작 프로그램(EvtMgr) 등록 파일, 메모리 상주 프로세스, 랜덤(Random) 파일명
- SHA-1 : 55b167f2aa85b24d9da7f0c4e0ab142765eb140a
- 알약(ALYac) : Trojan.Generic.AD.04237884 (VT : 12/57)
C:\du9uvq\Product.dat
C:\du9uvq\logo.gif
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- EvtMgr = c:\du9uvq\Cahoqtf.exe /Klaunchp
해당 악성코드는 Windows 시작시 유효한 "Shanghai easy kradar Information Consulting Co. Ltd." 디지털 서명이 포함된 "c:\du9uvq\Cahoqtf.exe /Klaunchp" 파일을 시작 프로그램(EvtMgr)으로 등록하여 자동 실행합니다.
- 기본 설정 DNS 서버 : 127.0.0.1
- 보조 DNS 서버 : 8.8.8.8
실행된 악성 파일은 "cmd.exe /c ipconfig /flushdns" 명령어를 통해 네임서버(NameServer)를 변경 및 갱신합니다.
또한 AhnLab V3, 알약(ALYac) 백신에 대한 무력화 기능(AYRTSrv.aye, ASDSvc.exe, V3Lite.exe)을 수행하도록 제작되어 있습니다.
참고로 실제 테스트를 해보면 악성 파일 진단은 이루어지지 않더라도 AhnLab V3 Lite 무료 백신의 경우 효과적으로 제품을 보호하고 있는 동작을 확인할 수 있었습니다.
GET /index.php HTTP/1.1
User-Agent: Mozilla/4.0 (compatible)
Host: 100.43.130.131:805
Cache-Control: no-cache
감염된 PC 환경에서는 주기적으로 미국(USA)에 위치한 "100.43.130.131:805" 서버를 통해 다음과 같은 특정 웹 사이트에 대한 접속을 체크하여 파밍(Pharming) 사이트로 연결을 시도할 수 있습니다.
목록을 살펴보면 국내 포털 사이트(네이버, 다음, 네이트, 줌), 인터넷 쇼핑몰(G마켓), 로또 관련 사이트(lottirich, nlotto), 금융 사이트 등으로 구성되어 있으며, 접속시 미국(USA)에 위치한 "98.126.32.179" IP 서버로 연결되어 가짜 사이트로 연결됩니다.
실제 네이버(Naver) 메인 페이지에 접속할 경우 금융감독원 팝업창을 생성하여 15개 은행(국민은행, 농협, 신한은행, 우리은행, 한국씨티은행, 우체국, 기업은행, 외환은행, 새마을금고, SC제일은행, 수협, 신협, 부산은행, 광주은행, 경남은행)을 표적으로 가짜 사이트 접속을 유도하고 있습니다.
※ 보다 안전한 인터넷 뱅킹의 이용을 위하여 2014.3.24(월) 인터넷뱅킹, 스마트뱅킹, 폰뱅킹.이 모든 서비스를 이용하시려면 (개인.기업)추가인증후 이용이 가능합니다.※
예를 들어 국민은행 사이트에 접속할 경우 "www.kbstar.com.ir" URL 주소로 연결되어 메뉴를 클릭할 경우 추가 인증을 유도하는 메시지 창이 생성됩니다.
이를 통해 "전자금융사기예방서비스" 페이지로 연결되어 개인(이름, 주민등록번호) 및 금융 정보(계좌 번호, 계좌 비밀번호, 보안 카드, OTP 등)을 모두 입력하도록 하여 정보를 탈취할 수 있습니다.
■ 파밍(Pharming) 악성코드 제거 방법
해당 악성코드는 감염시 다양한 폴더 및 파일명으로 생성되기 때문에 이 분석글의 파일명과 다를 수 있습니다.
(a) Windows 작업 관리자를 실행하여 프로세스 설명(Description)에 표시된 "搜狐影音" 한자어가 존재할 경우 해당 프로세스를 찾아 종료하시기 바랍니다.
(b) 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크한 후 루트(Root) 폴더에 존재하는 폴더 중 숨김(H) 속성값을 가진 폴더 내에서 "(임의의 파일명).exe, Product.dat, logo.gif" 파일이 포함되어 있는 경우 폴더 자체를 삭제하시기 바랍니다.
(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.(※ EvtMgr 시작 프로그램 등록값은 고정입니다.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- EvtMgr = c:\du9uvq\Cahoqtf.exe /Klaunchp
(d) "제어판 → 네트워크 및 인터넷 → 네트워크 및 공유 센터"에서 "로컬 영역 연결" 메뉴를 실행하여 생성된 "로컬 영역 연결 상태" 창의 속성 버튼을 클릭하여 "Internet Protocol Version 4 (TCP/IPv4)" 항목을 더블 클릭하시기 바랍니다.
이를 통해 "다음 DNS 서버 주소 사용" 항목 체크값을 "자동으로 DNS 서버 주소 받기"로 변경하시기 바랍니다.
모든 조치가 완료된 후에는 반드시 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 위와 같은 취약점(Exploit)을 이용한 악성코드에 자동 감염이 이루어지지 않도록 Windows, Adobe Flash Player, Oracle Java, Microsoft Silverlight와 같은 프로그램을 항상 최신 버전을 사용하시기 바랍니다.
또한 바이로봇 APT Shield 2.0 또는 알약 익스플로잇 쉴드 1.0(ALYac Exploit Shield 1.0)과 같은 취약점 차단 솔루션을 백신 프로그램과 함께 사용하시면 더욱 안전하게 PC를 보호할 수 있습니다.
마지막으로 웹 브라우저를 통해 평소 접속하던 국내 웹 사이트 접속시 위와 같이 중국어로 표시된 페이지가 표시되는 경우에는 PC가 파밍(Pharming) 악성코드에 감염되었을 가능성이 매우 높다는 점을 명심하시고 악성코드 감염을 사전에 예방하도록 노력하시기 바랍니다.