본문 바로가기

벌새::Analysis

보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12)

최근 중국 계열의 사이버 범죄 조직이 국내 인터넷뱅킹 사용자를 표적으로 한 피싱(Phishing) 사이트, 보이스 피싱, 악성코드를 통한 금융 정보 탈취 행위가 활발하게 발견되고 있는 추세입니다.

 

  가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11)

 

  <ASEC Blog> 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형 (2012.7.11)

 

특히 2012년 6월 확인된 인터넷뱅킹에 사용되는 공인인증서 탈취 및 금융 정보 수집 행위에 대해 자세히 소개한 적이 있으며, 안랩(AhnLab)에서는 오늘자로 Trojan/Win32.Banki 변종이 발견되었다는 소식을 전하고 있습니다.

 

특히 주말을 이용하여 국내 웹 사이트를 중심으로 유포가 이루어지고 있는 온라인 게임핵 감염 악성코드에서 주로 사용하는 Adobe Flash Player, Oracle JRE 취약점을 이용한 악성 스크립트를 통해 인터넷뱅킹 악성코드가 유포되는 행위를 확인하였습니다. 

해당 악성 스크립트는 교육 관련 웹 사이트 소스에 추가된 악성 iframe을 통해 사이트 접속자 중 Adobe Flash Player, Oracle JRE 제품의 취약한 버전을 사용하는 사용자인 경우 자동으로 감염이 이루어지고 있습니다.

  • index.html (AhnLab V3 : JS/Exploit)
  • InMFkOx6.jpg (Microsoft : Exploit:Java/CVE-2011-3544.DZ)

이를 통해 최종적으로 다운로드되는 down_x.exe(=gondad.exe) 파일(MD5 : 7f83063af79de9592d58192ee39ddddc)을 통해 감염이 이루어지며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Agent.163591 (VirusTotal : 2/40) 진단명으로 진단되고 있습니다. 

최종 파일은 WinRAR SFX 압축 파일로 구성되어 있으며, 내부에는 다음의 2개의 파일이 존재합니다.

  • ServiceInstall.exe (MD5 : 44bb7d40017ae0de03cb58167d2d0192) - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 2/41)
  • WindowsDirectx.exe (MD5 : 8ab395191541c0f29aa35e459783c796) - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 1/41)
[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\gondad.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\oVynaL8K.vbs
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\down_x[1].exe

C:\WINDOWS\system32\ServiceInstall.exe
C:\WINDOWS\system32\WindowsDirectx.exe :: WindowsDirectx 서비스 등록 파일 / 메모리 상주 프로세스

압축이 해제된 파일은 시스템 폴더 내에 자신들을 생성하며, 생성된 ServiceInstall.exe 파일은 "C:\WINDOWS\system32\WindowsDirectx.exe" 파일을 서비스에 등록합니다.

 

"WindowsDirectx" 이름으로 등록된 서비스는 시스템 시작시 "C:\WINDOWS\system32\WindowsDirectx.exe" 파일을 자동으로 실행하여 메모리에 상주하도록 구성되어 있습니다. 

메모리에 상주한 WindowsDirectx.exe 파일은 15~20초 간격으로 일본(Japan)에 위치한 "211.5.108.62" 서버와 연결을 지속적으로 시도합니다. 

이를 통해 "wd=123" 체크 및 5.exe 파일을 서버로부터 받아오도록 하는 구성값(CONFIG.txt)을 체크하는 것을 확인할 수 있습니다. 

추가적으로 다운로드된 5.exe (MD5 : b97d36cb7a362e19d3b19ed8400b61e0) 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Banki (VirusTotal : 11/41) 진단명으로 진단되고 있습니다.

 

해당 5.exe 파일 역시 WinRAR SFX 압축 파일로 내부에는 3개의 파일로 구성되어 있으며, 2012년 6월경에 배포된 파일명과 동일한 패턴을 가지고 있습니다.

  • CretClient.exe (MD5 : d82908eeab669cd991d217beed61d57d) - AhnLab V3 : Trojan/Win32.Banki (VirusTotal : 6/42)
  • HDSetup.exe (MD5 : e9707989e1e5a34a8ce6a2d1e1d0ac70) - AhnLab V3 : Trojan/Win32.Banki (VirusTotal : 10/42)
[생성 / 변경 파일 등록 정보]

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\(Random)\5[1].exe
C:\WINDOWS\CONFIG.INI
C:\WINDOWS\CretClient.exe
C:\WINDOWS\HDSetup.exe
C:\WINDOWS\system32\drivers\etc\hosts :: 파일 변경

C:\WINDOWS\Temp\5.exe

 

인터넷 임시 폴더에 다운로드된 5.exe 파일은 윈도우 임시 폴더에 생성되어 3개의 파일을 "C:\WINDOWS" 폴더에 생성하며, CretClient.exe 파일은 공인인증서 관련 동작을 통한 탈취 행위를 담당하며 HDSetup.exe 파일은 호스트 파일(hosts) 변조 및 웹 브라우저 보안 설정을 변경합니다. (※ 해당 파일들의 기능은 2012년 6월 분석 정보를 참고하시기 바랍니다.) 

파일 속성값을 확인해보면 CONFING.INI 파일은 홍콩(HongKong)에 위치한 "59.188.237.5" 서버로 납치를 유도하며, CretClient.exe 파일은 언어가 중국어로 표시되어 있는 점을 확인할 수 있습니다. 

변조된 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts)은 "59.188.237.5" IP 서버와 국민은행, 농협, 신한은행, 우리은행, 외환은행을 표적으로 하고 있음을 확인할 수 있습니다.

 

즉, 감염된 환경에서 해당 은행에 접속할 경우 홍콩(HongKong)에 위치한 서버로 연결되어 외형적으로는 은행 사이트에 거의 유사하지만 입력되는 공인인증서 및 금융 정보는 외부로 유출이 이루어지게 됩니다.

 

이런 환경에서 신한은행 인터넷뱅킹(banking.shinhan.com) 사이트에 접속할 경우 어떤 동작이 있는지 확인해 보도록 하겠습니다. 

참고로 감염되지 않은 정상적인 PC 환경에서 신한은행 인터넷뱅킹(banking.shinhan.com / 59.7.252.100)에 접속할 경우, 기본적으로 제공되는 보안 관련 ActiveX 설치를 요구합니다. 

하지만 감염된 PC 환경에서는 보안 관련 ActiveX 설치와 관련된 부분은 존재하지 않으며, 신한은행 인터넷뱅킹 홈 페이지 주소(banking.shinhan.com) 표시와 콘텐츠가 거의 유사하게 제작되어 있습니다. 

실제 연결된 IP와 연결 과정에서 정상적인 신한은행(img.shinhan.com / 57.7.252.200) IP와 비교하면 상당히 유사한 IP 대역을 이용하고 있는 것을 확인할 수 있습니다. 

사용자가 인터넷뱅킹 로그인을 위해 접속을 하여 "공인인증서 로그인"을 클릭할 경우에는 신한은행의 경우 공인인증서 창이 생성되지 않으며 "Windows Script Host Runtime Library" 추가 기능 실행만이 표시됩니다.

 

대신 아이디(ID), 비밀번호를 통한 로그인 방식을 진행할 경우 다음과 같은 동작을 확인할 수 있습니다. 

우선 로그인 이후 "고객님 계좌가 위험한 지역에서 조회기록이 등록되 있습니다. 고객님의 안전을 위해 보안승급이 필요합니다."라는 메시지 창이 생성됩니다. 

그 이후 "신한은행 인터넷뱅킹 보안승급 서비스" 바로가기 페이지로 연결되어 바로가기 아이콘을 클릭하도록 유도합니다. 

다음 단계에서는 "개인정보를 위한 이용자 동의사항" 항목에서 이름과 주민등록번호를 입력하도록 유도하고 있습니다. 

다음 단계에서는 "보안 강화 서비스 신청하기" 항목을 통해 금융 정보를 비롯한 보안 카드 풀세트 정보를 수집하게 됩니다. 

현재 악성코드는 자신의 존재가 외부에 노출됨으로 인하여 추가적인 다운로드(del.exe)를 통해 자신을 삭제 처리를 시도하고 있지만, 해당 악성코드를 다운로드하는 Agent 파일은 여전히 서비스에 등록되어 차후에도 또 다른 악성코드 유포 통로로 활용될 것으로 보입니다.

 

그러므로 백신 프로그램을 이용한 정밀 검사 또는 다음과 같은 방식에 따라 수동으로 문제를 해결하시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsDirectx"], [sc delete "WindowsDirectx"] 명령어를 순서대로 입력하여 동작 중인 서비스 중지 및 삭제를 실행합니다. 

 

(2) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\gondad.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\oVynaL8K.vbs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\down_x[1].exe
  • C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\(Random)\5[1].exe
  • C:\WINDOWS\CONFIG.INI
  • C:\WINDOWS\CretClient.exe
  • C:\WINDOWS\HDSetup.exe
  • C:\WINDOWS\system32\drivers\etc\hosts
  • C:\WINDOWS\system32\ServiceInstall.exe
  • C:\WINDOWS\system32\WindowsDirectx.exe
  • C:\WINDOWS\Temp\5.exe

참고로 파일을 확인하기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 체크 해제 및 "숨김 파일 및 폴더 표시" 항목에 체크를 하시고 찾으시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 생성값이 존재할 경우 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\WindowsDirectx
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security
 - DisableSecuritySettingsCheck = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWSDIRECTX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDirectx

 

※ 파란색 값은 (1)번 조치로 인해 삭제됩니다.

참고로 해당 악성코드 감염을 빠르게 확인하는 방법으로는 인터넷 옵션의 "보안" 탭을 클릭하시면 하단에 노란색 바를 통해 "일부 설정은 시스템 관리자에 의해 관리됩니다."라는 메시지가 표시됩니다.

 

또한 해당 문제는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer" 레지스트리 값 삭제를 통해 해결할 수 있습니다.

 

(4) "Microsoft Fix it 50267" 파일을 다운로드하여 변경된 호스트 파일을 정상적인 호스트 파일로 수정을 합니다. 

   <Microsoft 고객지원> 호스트 파일을 기본값으로 다시 설정하는 방법

 

Microsoft Fix it 50267 툴을 실행하여 설치하신 후 시스템 재부팅을 반드시 진행하시기 바랍니다. 

그 후에는 변조되었던 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts.old)을 찾아서 삭제를 하시기 바랍니다.

 

이번 인터넷뱅킹 악성코드는 사용자가 이용하는 Adobe Flash Player, Oracle JRE 응용 프로그램의 취약점을 이용하였으므로 반드시 최신 버전을 사용하시기 바라며 앞으로도 유사한 방식으로 감염을 유발할 수 있으므로 주의하시기 바랍니다.