본문 바로가기

벌새::Analysis

웹하드 정상 설치 파일 변조를 통한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.14)

최근 국내 인터넷뱅킹을 표적으로 한 악성코드 유포 행위가 활발하게 이루어지고 있으며, 이번에는 특정 웹하드 해킹을 통한 설치 파일을 변조하여 유포하는 행위가 확인되었습니다.

 

  가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11)

 

  보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12)

 

이미 기존에 파일 확장자 위장 방식, 응용 프로그램의 보안 취약점 유포 방식을 소개하였으며, 이번의 정상적인 프로그램의 설치 파일을 변조하는 방식까지 등장하여 공격자의 의도에 따라 다양한 감염이 이루어질 수 있음을 확인할 수 있습니다. 

해킹된 웹하드 설치 파일을 이용하여 초기 실행을 할 경우 설치를 위한 압축 해제 과정에서 사용자가 웹하드 프로그램의 추가적인 설치 진행이 없더라도 백그라운드 방식으로 자동 감염됩니다.

현재 확인된 웹하드 서비스의 설치 파일 2종(**disk_Setup.exe / setup.exe)에 대한 파일 변조로 인하여 내부에는 WinRAR SFX 실행 압축으로 제작된 btuua.exe 파일(MD5 : 1b5a46869539d62311b32c3ed8ed8896 - AhnLab V3 : Dropper/Win32.Banki (VirusTotal : 3/42))이 추가되어 있습니다.

  • ServiceInstall.exe (MD5 : 6a5fc55bd4e7aecab17dbf0476ef045e) - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 2/42)
  • WindowsDirectx.exe (MD5 : 856d63de7971f0b026bd7eacace45c59) - nProtect : Trojan/W32.KRBanker.159744 (VirusTotal : 2/42)

참고로 btuua.exe 파일 내부에는 2012년 7월 12일에 소개한 보안 취약점을 이용한 유포에서 소개한 파일명과 동일하게 구성되어 있습니다.

 

이런 상황에서 사용자가 해당 웹하드 프로그램을 설치하는 과정에서 사용자 몰래 감염이 이루어지며, 1차 감염으로 인한 정보는 다음과 같습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\ServiceInstall.exe
 - MD5 : 6a5fc55bd4e7aecab17dbf0476ef045e
 - AhnLab V3 : Trojan/Win32.Scar (VirusTotal : 2/42)

 

C:\WINDOWS\system32\WindowsDirectx.exe
 - MD5 : 856d63de7971f0b026bd7eacace45c59
 - nProtect : Trojan/W32.KRBanker.159744 (VirusTotal : 3/42)

감염된 환경에서는 ServiceInstall.exe 파일을 통해 서비스에 "WindowsDirectx" 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\WindowsDirectx.exe" 파일을 자동으로 실행하여 메모리에 상주하도록 구성되어 있습니다. 

이를 통해 WindowsDirectx.exe 파일은 일본(Japan)에 위치한 "211.5.108.56" 서버에 연결을 10초 간격으로 유지를 하면서 다음과 같은 추가적인 다운로드를 시도합니다. 

연결 정보를 살펴보면 Verify_m.php에 접속하여 다운로드 구성값을 확인하며, 추가적으로 1231.exe 파일을 다운로드하도록 되어 있습니다.

 

하지만 테스트 시점에서는 해당 파일에 대한 다운로드가 이루어지지 않았으며, 임의로 유사 변종 파일(※ 2012년 7월 14일 오전 8시경 서버 등록 추정)을 이용하여 추가적인 동작을 구현해 보았습니다. 

정상적으로 다운로드가 이루어질 경우 WinRAR SFX 실행 압축 파일로 제작된 파일을 받아 다음과 같은 파일을 생성합니다.

 

[생성 / 변경 파일 및 진단 정보]

C:\WINDOWS\CONFIG.INI


C:\WINDOWS\CretClient.exe
 - MD5 : 0491fcbb243666bd55c6c34a2013423c
 - AhnLab V3 : ASD.Prevention (VirusTotal : 6/42)

 

C:\WINDOWS\HDSetup.exe
 - MD5 : 7422638cd7f41a537ff2e84e16d2ef96
 - AhnLab V3 : Trojan/Win32.Banki (VirusTotal : 3/42)

 

C:\WINDOWS\system32\drivers\etc\hosts (파일 변경)

생성된 파일을 확인해보면 "C:\WINDOWS\CONFIG.INI" 구성 파일을 통해 홍콩(HongKong)에 위치한 "59.188.237.19" 서버 정보값이 포함되어 있으며, 감염된 환경에서 사용자가 특정 국내 금융권 사이트를 이용할 경우 자동으로 해당 서버로 연결됩니다. 

또한 기존과 마찬가지로 2개의 파일(CretClient.exe, HDSetup.exe)을 이용하여 인터넷뱅킹 이용시 가짜 공인인증서 창 생성 및 웹 브라우저 보안 설정을 변경하고 있습니다.

 

1. "C:\WINDOWS\CretClient.exe" 파일 기능

 

CretClient.exe 해당 파일은 사용자가 인터넷뱅킹을 이용할 경우 iexplore.exe 프로세스 하위에 CretClient.exe 프로세스를 생성하여 가짜 공인인증서 창을 생성하는 기능을 통해 사용자의 공인인증서를 탈취할 수 있습니다.

 

2. "C:\WINDOWS\HDSetup.exe" 파일 

HDSetup.exe 파일은 웹 브라우저의 인터넷 옵션 중 "보안" 탭을 클릭할 경우 하단에 "일부 설정은 시스템 관리자에 의해 관리됩니다."라는 노란바가 생성되는 것이 특징입니다.

 

또한 인터넷 보안 설정 중 "ActiveX 컨트롤 및 플러그인 - 스크립팅하기 안전하지 않는 것으로 표시된 ActiveX 컨트롤 초기화 및 스크립팅 (안전하지 않음)" 값을 "사용 안 함 (권장) → 사용 (안전하지 않음)"으로 변경을 합니다.

 

3. 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조 

이번 악성코드에서는 호스트 파일 변조를 통해 홍콩(HongKong)에 위치한 서버 IP 정보와 국민은행, 농협, 신한은행, 우리은행, 외환은행 주소(URL)가 포함되어 있으며, 특이한 점은 필리핀 관련 정보(?)를 소개하는 "1.co.kr" 주소가 포함되어 있습니다. 

해당 사이트의 성격은 알 수 없지만 과거 국내를 표적으로 한 사이버 범죄자들이 필리핀 등 동남아 국가에서 활동하였다는 언론 기사가 있다는 점에서 의심이 되는 부분입니다.

 

현재 테스트 과정에서는 이미 홍콩(HongKong) IP 서버로의 접근이 차단되어 추가적인 동작은 확인할 수 없었으며, 웹하드 서비스를 이용하시는 분들은 반드시 AhnLab V3 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.대박

 

만약 수동으로 감염 여부 및 치료를 원하시는 분들은 다음 내용을 참고하여 절차에 따라 주시기 바랍니다.

 

(1) 실행창에 [sc stop "WindowsDirectx"], [sc delete "WindowsDirectx"] 명령어를 순서대로 입력하여 동작 중인 서비스 중지 및 삭제를 진행합니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWSDIRECTX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsDirectx

이를 통해 등록된 "WindowsDirectx" 서비스 값 및 관련 레지스트리가 자동으로 삭제 처리됩니다.

 

(2) 윈도우 탐색기를 실행하여 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\CONFIG.INI
  • C:\WINDOWS\CretClient.exe
  • C:\WINDOWS\HDSetup.exe
  • C:\WINDOWS\system32\ServiceInstall.exe
  • C:\WINDOWS\system32\WindowsDirectx.exe

(3) 레지스트리 편집기(regedit) 편집기를 실행하여 다음의 등록값을 찾아 수동으로 삭제 및 변경하시기 바랍니다.

 

[생성 / 변경 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\HDSoft
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
 - 1201 = 3 :: 변경 전
 - 1201 = 0 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\WindowsDirectx
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security
 - DisableSecuritySettingsCheck = 1

 

"변경 후" 값은 "변경 전" 값으로 수정하시기 바라며, 삭제하지 않도록 하세요.

 

(4) "Microsoft Fix it 50267" 프로그램을 이용하여 변경된 호스트 파일을 정상적인 파일로 복원하시기 바랍니다.

 

  <Microsoft 고객지원> 호스트 파일을 기본값으로 다시 설정하는 방법

Microsoft Fix it 50267 프로그램을 실행하여 진행한 후에는 반드시 시스템 재부팅을 진행하시기 바랍니다. 

재부팅한 후에는 "C:\WINDOWS\system32\drivers\etc\hosts.old" 파일을 찾아 삭제를 하시기 바랍니다.

 

모든 절차가 완료된 후에는 반드시 국내외 유명 백신 프로그램을 이용하여 추가적인 정밀 검사를 권장하며, 이번 사례와 같이 웹하드 서비스를 이용할 목적으로 프로그램을 설치하는 과정에서 사용자 몰래 금융권 정보를 탈취하는 악성코드에 감염될 수 있다는 점을 명심하시기 바랍니다.

 

또한 공격자는 언제든지 다른 방식으로 정상적인 프로그램의 변경하여 유포할 수 있으므로 인터넷뱅킹을 이용하기 전에는 사전에 백신 프로그램을 이용하여 정밀 검사를 하는 습관을 가지시기 바랍니다.