본문 바로가기

벌새::Analysis

가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11)

최근 휴대폰 문자 발송을 통해 가짜 국내 금융권 웹 사이트 주소로 접속을 유도하여 금융 정보를 비롯한 개인정보를 수집하던 피싱(Phishing) 공격이 올해 활발하게 이루어지고 있었습니다.

 

그런데 단순히 피싱 사이트 방식이 아닌 악성 파일 유포를 통해 감염된 PC에서 인터넷뱅킹 서비스를 이용할 경우 공인 인증서 탈취 및 개인정보 수집을 하는 악성코드가 다수 확인되고 있기에 관련 정보를 확인해 보았습니다.

 

  <하우리(Hauri)> 당신의 인증서는 안전한가요? (2012.6.11)

 

  <nProtect 대응팀 공식 블로그> [긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 (2012.6.11)

 

현재 유포 방식은 국내 웹하드, 토렌트, 인터넷 방송 등 다양한 정상적인 설치 파일을 외부의 해킹을 통해 악성 파일로 변조하여 사용자가 의심없이 다운로드하여 실행하는 순간 백그라운드 방식으로 자동 설치가 이루어지고 있습니다. 

변조된 일부 설치 파일의 압축을 해제해보면 그림과 같이 정상적인 프로그램의 설치 파일(Install_LiveManagerPlayer.exe, uTorrent.exe)과 함께 공격자가 추가한 악성 파일이 함께 포함되어 있는 것을 확인할 수 있습니다. 

이렇게 변조된 설치 파일을 실행할 경우 사용자 화면에서는 정상적인 µTorrent 프로그램이 설치되는 것처럼 보이지만, 백그라운드 방식으로 다음과 같은 악성 파일이 자동으로 설치됩니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\CONFIG.INI

 

C:\WINDOWS\CretClient.exe
 - MD5 : 8bf0bb8f5a088d01d6158826f327d2a6
 - AhnLab V3 : Trojan/Win32.Banki, nProtect : Trojan/W32.KRBanker.643072.D

 

C:\WINDOWS\HDSetup.exe
 - MD5 : 6e6fcfb0e9d4f95add875b894ca164c7
 - AhnLab V3 : Trojan/Win32.Banki, nProtect : Trojan/W32.KRBanker.425984.C

 

C:\WINDOWS\system32\drivers\etc\hosts :: 변경 전 파일 크기(734 Bytes), 변경 후 파일 크기(162 Bytes) 

 

1. C:\WINDOWS\CONFIG.INI 

CONFIG.INI 파일은 감염된 PC에서 프로그램이 지정한 국내 특정 은행 사이트에 접속시 연결이 이루어지는 홍콩(HongKong)에 위치한 특정 서버 주소가 포함되어 있습니다.

 

2. C:\WINDOWS\CretClient.exe 

CretClient.exe 악성 파일은 사용자가 Internet Explorer 웹 브라우저를 이용하여 국내 특정 은행 사이트 접속시 iexplore.exe 프로세스에 추가되어 동작하며, 인터넷뱅킹에 필요한 공인 인증서의 위치값이 지정되어 있습니다. 

참고로 CretClient.exe 악성 파일의 속성값을 확인해보면 중국어(간체, PRC)로 표시되어 있는 것으로 보아, 중국 계열의 사이버 범죄 조직에서 제작한 파일로 추정되고 있습니다.

 

3. C:\WINDOWS\HDSetup.exe

 

(1) 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조 

해당 악성 파일은 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트 파일을 그림과 같이 변조하여, 사용자가 KB국민은행, 농협, 우리은행, KEB 외환은행에 접속을 시도할 경우 홍콩(HongKong)에 위치한 서버로 연결을 시도합니다.

 

(2) 인터넷 보안 설정 수정(추가)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
 - 1201 = 3 :: 변경 전
 - 1201 = 0 :: 변경 후

해당 레지스트리 값을 3(기본값)에서 0(변경값)으로 수정하여 인터넷 보안 수준을 낮추는 역할을 수행하며, 이를 통해 사용자가 접속한 웹 사이트에서 다양한 악의적인 행위가 가능하도록 합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security
 - DisableSecuritySettingsCheck = 1

또한 추가적인 Internet Explorer 웹 브라우저의 보안 정책값(DisableSecuritySettingsCheck)을 추가하여 보안 설정 체크를 하지 않도록 하고 있습니다. 

이로 인하여 인터넷 옵션의 "보안" 탭에 접근해보면 하단에 "일부 설정은 시스템 관리자에 의해 관리됩니다."라는 문구를 확인할 수 있으며, 인터넷 영역 보안 설정 항목 중 "ActiveX 컨트롤 및 플러그 인" 항목에서 "스크립팅하기 안전하지 않은 것으로 표시된 ActiveX 컨트롤 초기화 및 스크립팅 (안전하지 않음)" 설정값이 "사용 안 함 (권장) → 사용 (안전하지 않음)"으로 변경된 것을 확인할 수 있습니다.

 

이렇게 감염된 PC 환경에서 KB국민은행, 농협, 우리은행, KEB 외환은행 웹 사이트에 접속을 할 경우 어떤 악의적인 동작이 있는지 농협 인터넷뱅킹(banking.nonghyup.com)을 예시로 살펴보도록 하겠습니다. 

사용자가 농협 인터넷뱅킹(banking.nonghyup.com) 홈 페이지에 접속을 할 경우 그림과 같이 웹 브라우저의 주소 표시줄에는 정상적으로 도메인 주소가 표시되는 것을 확인할 수 있습니다. 

하지만 실제 접속된 서버 IP 정보를 확인해보면 정상적인 농협 인터넷뱅킹 홈 페이지(121.157.108.31)가 아닌 홍콩(HongKong)에 위치한 123.***.109.*** 서버로 접속되어 있는 것을 확인할 수 있습니다.

 

또한 공격자는 해당 사이트 접속 과정에서 중국(China)에서 서비스되는 카운터(Counter) 기능을 통해 실제 감염된 PC 사용자 통계를 확인하는 동작도 이루어집니다.

 

일반적으로 인터넷 사용자는 웹 브라우저 주소 표시줄의 URL 주소가 정상적인 도메인으로 표시가 이루어졌으므로 전혀 의심을 하지 않은 상태에서 공인 인증서를 통한 로그인을 시도하게 됩니다. 

실제 정상적인 농협 인터넷뱅킹에서 제공하는 인증서 창을 확인해보면 "인증서 선택"이라는 문구와 함께 좌측과 같은 모양을 하고 있는 반면, 감염된 PC에서는 "전자 서명 작성"이라는 문구와 함께 우측과 같은 거의 유사한 가짜 인증서 창을 생성합니다. 

이 과정에서 프로세스 정보를 살펴보면 Internet Explorer 웹 브라우저 프로세스(iexplore.exe) 하위에 CretClient.exe 악성 프로세스가 추가되어 가짜 인증서 창을 생성하는 동작을 확인할 수 있습니다.

 

만약 사용자가 공인 인증서를 C 드라이브 기본값에 저장하고 있는 경우 자동으로 표시될 것이며, 다른 외장 저장 매체에 보관 중인 경우 사용자가 "인증서 찾기" 기능을 통해 공인 인증서를 추가하고 인증서 암호를 입력할 경우 공인 인증서 파일 및 암호는 외부에 전송될 수 있습니다. 

이 과정에서 추가적인 메시지 창을 통해 "고객님 계좌가 위험한 지역에서 조회기록이 등록되여 있습니다. 고객님의 안전을 위해 보안승급이 필요합니다."라는 맞춤법이 잘못된 안내창을 표시합니다. 

확인 버튼을 클릭하면 "보안승급 바로가기" 버튼이 포함된 페이지로 이동이 되며, 이는 해당 악성코드 감염을 통해 공인 인증서 파일은 탈취할 수 있지만 사용자의 추가적인 개인(금융)정보 및 보안 카드 번호는 확인할 수 없기 때문에 다음과 같은 동작으로 정보를 수집합니다. 

다음 단계에서는 예전 피싱(Phishing) 사이트와 마찬가지로 이름과 주민등록번호를 입력하도록 한 후, 다음 페이지에서 보안 카드 일련 번호를 비롯한 각종 금융 정보를 수집하게 됩니다.

 

위와 같은 방식으로 공인 인증서 파일 탈취 및 금융 정보가 유출된 사용자는 공격자에 의해 인터넷뱅킹을 통한 금전적 피해가 발생하게 되므로 앞으로 인터넷뱅킹을 이용하실 때에는 매우 주의가 요구됩니다.

 

만약 해당 악성코드 감염자 중 백신 프로그램을 이용한 문제 해결이 불안하신 분들은 다음과 같은 방식으로 감염된 사용자는 문제를 해결하시기 바랍니다.

 

(1) 다음의 파일을 백신 프로그램 또는 수동으로 찾아 삭제하시기 바랍니다.

  • C:\WINDOWS\CONFIG.INI
  • C:\WINDOWS\CretClient.exe
  • C:\WINDOWS\HDSetup.exe

(2) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제 및 수정하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\HDSoft
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
 - 1201 = 3 :: 변경 전
 - 1201 = 0 :: 변경 후
HKEY_CURRENT_USER\Software\WinRAR SFX
 - C%%WINDOWS = C%%WINDOWS
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security
 - DisableSecuritySettingsCheck = 1

 

"변경 후" 값은 "변경 전" 값으로 수정하시기 바랍니다. 

백신 프로그램을 이용한 치료 후 또는 수동으로 문제 해결을 한 후에 Internet Explorer 웹 브라우저를 실행하였을 경우 그림과 같이 "현재의 보안 설정 수준 때문에 컴퓨터가 위험에 노출되어 있습니다."라는 메시지가 생성되시는 분들은 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다. 

인터넷 옵션의 "보안" 탭을 실행하여 "인터넷" 항목을 선택한 상태에서 하단의 "기본 수준" 버튼을 클릭하여 문제를 해결하시기 바랍니다.

 

(3) 마이크로소프트(Microsoft)사에서 제공하는 "Microsoft Fix it 50267" 툴을 다운로드 및 실행하여 변조된 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts)을 수정하시기 바랍니다. 

Microsoft Fix it 50267 툴을 실행하시면 "동의함" 항목에 체크를 하시고 다음으로 진행하여 자동으로 변조된 호스트 파일을 정상 파일로 수정을 하게 됩니다. 

수정이 완료되면 적용을 위해 시스템 재부팅을 요구하므로 재부팅을 진행하시기 바라며, 재부팅 이후에는 다음과 같은 추가적인 조치를 진행하시기 바랍니다. 

재부팅 이후 수정된 호스트 파일이 정상적으로 등록된 것을 확인할 수 있으며, 변조된 호스트 파일은 hosts.old 파일로 백업되어 있으므로 "C:\WINDOWS\system32\drivers\etc\hosts.old" 파일을 찾아 삭제하시기 바랍니다.

 

모든 조치가 완료된 사용자는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 차후 해당 악성코드는 또 다른 변화를 통해 지속적으로 인터넷뱅킹 사용자를 노릴 것으로 보입니다.

 

특히 현재 확인된 유포 방식이 정상적인 공식 홈 페이지에서 제공하는 설치 파일을 바꿔치기하는 수법으로 감염을 시키고 있으므로 항상 백신 프로그램의 실시간 감시를 켜시고 인터넷을 이용하시기 바랍니다.