울지않는벌새 : Security, Movie & Society

제로보드 게시판 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.8.2)

벌새::Analysis

국내 인터넷 사이트에서 많이 사용하는 제로보드(ZeroBoard) 게시판의 보안 취약점을 이용하여 인터넷뱅킹 악성코드가 유포되는 것을 확인하였습니다. 

유포 방식을 살펴보면 Adobe Flash Player, Oracle JRE 보안 패치가 이루어지지 않은 환경에서 특정 인터넷 게시판에 접속할 경우 자동으로 감염되는 것을 확인할 수 있습니다.

  • index.html (avast! : JS:Downloader-BPE [Trj])
  • RJsfJl7.jpg (Microsoft : Exploit:Java/CVE-2011-3544.FF)
  • hot4989.exe (MD5 : 6591831caf499a2e33a2950166f45c2f) - AhnLab V3 : Dropper/Win32.Banki (VirusTotal : 21/41)

주요 악성 스크립트 관련 진단명은 위와 같으며, 이를 통해 최종적으로 감염된 악성 파일을 살펴보도록 하겠습니다. 

  •  C:\WINDOWS\system32\bits.dll (MD5 : de6aac383e414e361295ee7370bf63bd) - AhnLab V3 : Trojan/Win32.Banki (VirusTotal : 21/41)

감염을 통해 시스템 폴더에 생성된 악성 파일은 숨김(H) 속성값을 가지며, "TransportUSB Module"라는 파일로 등록되고 있습니다. 

해당 파일은 서비스에 등록되어 시스템 시작시 svchost.exe 프로세스에 bits.dll 악성 파일을 추가하여 동작하도록 구성되어 있습니다. 

이를 통해 "jinjok001.3322.org" C&C 서버와 20초 간격으로 연결을 시도하고 있지만, 현재 테스트 과정에서는 정상적으로 연결이 이루어지지 않고 있습니다.

 

해당 악성 파일은 안랩(AhnLab) 진단명에서는 국내 인터넷뱅킹을 노리는 악성코드로 진단되고 있으며, 실제 파일을 보면 Gh0st 백도어(Backdoor) 계열로 감염된 환경에서 인터넷을 이용하는 과정에서 공격자의 명령에 따라 화면 캡처 등의 악의적인 동작을 통한 정보 유출이 있을 것으로 추정됩니다.(※ 이전에 해당 최종 파일 유포지는 국내 인터넷뱅킹을 뿌리고 있었으며, 이번 유포 파일은 수정된 상태입니다.) 

해당 악성 파일(bits.dll)이 서비스에 등록하여 자동 실행되는 과정에서 정상적인 "BITS(Background Intelligent Transfer Service)" 서비스를 이용하고 있으므로, 치료시 파일의 삭제 이외에 변경된 서비스 값을 수정해 주어야 합니다.

 

해당 악성코드 감염으로 인해 수동으로 문제를 해결하길 원하시는 분들은 다음의 절차에 따르시기 바랍니다.

 

(1) 실행창에 [sc stop "BITS"] 명령어를 입력하여 서비스를 중지하시기 바랍니다. 

 

(2) 윈도우 탐색기를 실행하여 "C:\WINDOWS\system32\bits.dll" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 수정하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
 - Start = 3 :: 변경 전
 - Start = 2 :: 변경 후
 - Type = 20 :: 변경 전
 - Type = 110 :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters
 - ServiceDll = C:\WINDOWS\system32\qmgr.dll :: 변경 전
 - ServiceDll = C:\WINDOWS\system32\bits.dll :: 변경 후

레지스트리 값 중 "변경 후" 값은 "변경 전" 값으로 수정하시기 바라며, 윈도우(Windows) 기본 서비스이므로 절대로 삭제를 하지 않도록 하시기 바랍니다.

 

(4) 실행창에 [sc start "BITS"] 명령어를 입력하여 중지되었던 서비스를 재실행하시기 바랍니다. 

모든 절차가 완료된 사용자는 추가적으로 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.

 

이번 유포 사례의 경우 개인 사용자는 Adobe Flash Player, Oracle JRE 최신 버전을 사용하지 않는 문제로 감염이 이루어지는 것이며, 웹 사이트 관리자는 취약점에 노출된 제로보드 게시판 패치를 하지 않는 문제로 악용되는 것이므로 반드시 보안 패치를 하시기 바랍니다.