울지않는벌새 : Security, Movie & Society

국내 9개 금융 기관을 노리는 인터넷뱅킹 악성코드 유포 주의 (2012.10.19)

벌새::Analysis

올해 상반기부터 중국(China) 사이버 범죄 조직은 국내 인터넷뱅킹 서비스를 표적으로 악성코드를 제작하여 다양한 방식으로 국내 인터넷 사용자들에게 감염을 유발시키고 있는 상태입니다.

 

  가짜 공인 인증서를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.6.11)

 

  보안 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.12)

 

  웹하드 정상 설치 파일 변조를 통한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.14)

 

  Google Code 서비스를 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.7.18)

 

  제로보드 게시판 취약점을 이용한 국내 인터넷뱅킹 악성코드 유포 주의 (2012.8.2)

 

초기에는 이들 악성코드가 호스트(Hosts) 파일 변조를 통해 사용자가 금융권 웹 사이트 접속시 가짜 은행 사이트로 연결을 시도하였지만, 최근에는 호스트 파일 변조없이 파일을 통해 이루어지고 있는 것으로 알려져 있습니다.

 

이번에 살펴볼 악성 파일은 국내 9개 금융 기관을 대상으로 인터넷뱅킹을 이용할 경우 외부 서버로 연결되어 금융 정보 및 공인 인증서를 탈취하는 방식이며, 보안 패치가 제대로 이루어지지 않은 PC로 인터넷을 이용하는 과정에서 자동으로 감염되어 설치가 되는 것으로 추정됩니다. 

이를 통해 최종적으로 다운로드된 bbb.exe 파일(MD5 : 228b1732198b22a9db9975ddae0be5be)은 WinRAR SFX 실행 압축 방식으로 제작되어 있으며, AhnLab V3 보안 제품에서는 Dropper/Win32.Banki (VirusTotal : 1/43) 진단명으로 진단되고 있습니다.

 

참고로 알약(ALYac) 보안 제품에서는 관련 파일들을 Spyware.PWS.KRBanker.A 진단명으로 진단할 예정입니다.

 

해당 파일이 실행되면 ad.exe 실행 압축 파일과 Sad.exe 파일이 생성되며, ad.exe 압축 파일을 통해 추가적인 악성 파일이 윈도우 폴더(C:\WINDOWS)에 생성되는 방식을 가지고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\1.bmp
C:\WINDOWS\2.bmp
C:\WINDOWS\3.bmp
C:\WINDOWS\4.bmp
C:\WINDOWS\5.bmp
C:\WINDOWS\6.bmp
C:\WINDOWS\7.bmp
C:\WINDOWS\8.bmp
C:\WINDOWS\9.bmp

 

C:\WINDOWS\ad.exe
 - MD5 : e7953849b30cb013cd32a34c1c633f54
 - AhnLab V3 : ASD.Prevention (VirusTotal : 1/43)

 

C:\WINDOWS\capicom.dll :: CAPICOM Module(Microsoft 정상 파일)

 

C:\WINDOWS\Demos.exe :: 메모리 상주 프로세스
 - MD5 : f89cbf71025ecd0b6f005ff0e2d7c5a7
 - AhnLab V3 : Win-Trojan/Banker.910848.G (VirusTotal : 3/43)

 

C:\WINDOWS\MyKB.exe
 - MD5 : 63e012da304706d39291594938e2dcae
 - AhnLab V3 : Trojan/Win32.Banki (VirusTotal : 1/43)

 

C:\WINDOWS\Sad.exe :: 서비스(My Service Demos) 등록 파일
 - MD5 : 77f9ef2cb4a068a49e6b9376df78517d
 - AhnLab V3 : Dropper/Win32.Banki (VirusTotal : 2/43)

 

C:\WINDOWS\system32\capicom.dll :: CAPICOM Module(Microsoft 정상 파일)

우선 악성 파일 감염으로 생성된 bmp 그림 파일(1.bmp ~ 9.bmp)은 공인 인증서 창에서 표시될 이미지로 추정되며, 국내 9개 금융 기관(KB국민은행, 우리은행, NH농협, KEB 외환은행, 하나은행, IBK 기업은행, 신한은행, 우체국 예금보험, 새마을금고)을 표적으로 제작된 것을 확인할 수 있습니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
MYSERVICEDEMOS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyServiceDemos

감염이 이루어진 환경에서는 "My Service Demos" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\Sad.exe" 파일을 자동으로 실행하도록 구성되어 있습니다. 

이를 통해 Sad.exe 서비스 파일은 "C:\WINDOWS\ad.exe" 실행 압축 파일을 시스템 시작시 매번 재실행하여 이전에 생성된 파일 중 삭제된 경우 재설치를 시도하며, "C:\WINDOWS\Demos.exe" 파일을 로딩한 후 종료됩니다. 

  • KB국민은행(kbstar.com) → h**p://184.105.203.52
  • 우리은행(wooribank.com) → h**p://184.105.203.52:81
  • NH농협(banking.nonghyup.com) → h**p://184.105.203.52:82
  • KEB 외환은행(keb.co.kr) → h**p://184.105.203.52:83
  • 하나은행(hanabank.com) → h**p://184.105.203.52:84
  • IBK 기업은행(mybank.ibk.co.kr) → h**p://184.105.203.52:85
  • IBK 기업은행(www.ibk.co.kr) → h**p://184.105.203.52:86
  • 신한은행(banking.shinhan.com) → h**p://184.105.203.52:87
  • 우체국 예금보험(epostbank.go.kr) → h**p://184.105.203.52:88
  • 새마을금고(ibs.kfcc.co.kr) → h**p://184.105.203.52:89

메모리에 상주하는 Demos.exe 파일은 사용자가 국내 9개 금융 기관 웹 사이트에 접속할 경우 미국(USA)에 위치한 특정 IP 서버(184.105.203.52)로 연결하도록 구성되어 있습니다.(※ 해당 IP 사이트 주소는 정보 차원에서 제공하며, 만약 접속으로 인한 금융 피해가 발생할 수 있으므로 함부로 접속하지 마시기 바랍니다.)


실제 테스트는 KB국민은행을 통해 확인해 보았으며, 나머지 금융 기관에서도 유사한 방식으로 동작할 것으로 보입니다. 

KB국민은행 웹 사이트에 접속을 시도하면 주소 표시줄에 https 보안 접속이 이루어진 것처럼 표시하고 있습니다. 

하지만 연결 과정을 확인해보면 최초 사용자가 입력한 KB국민은행 URL 주소(h**p://www.kbstar.com) 이후에 184.105.203.52 IP 서버로 연결이 이루어지는 동작을 확인할 수 있습니다. 

실제 감염되지 않은 PC 환경에서 KB국민은행 웹 사이트를 접속해보면 주소 표시줄에는 보안 접속을 표시하는 녹색 영역에 "h**ps://www.kbstar.com"으로 표시되며, 연결 과정을 살펴보면 사용자가 주소 표시줄에 입력한 "h**p://www.kbstar.com → h**ps://www.kbstar.com"으로 정상적으로 연결되는 것을 확인할 수 있습니다.

 

특히 정상적인 연결 상태에서는 자물쇠 모양의 인증서를 통해 해당 사이트가 VeriSign 인증을 통해 신뢰할 수 있는 사이트로 확인되는 것을 보실 수 있습니다. 

가짜 KB국민은행 웹 사이트에서는 주소 표시줄에서는 정상적인 URL 주소를 표시하지만, 콘텐츠 영역에 마우스를 위치할 경우 184.105.203.52 IP 서버가 표시되는 부분을 통해 정상 여부를 판단할 수도 있습니다. 

감염된 사용자가 인터넷뱅킹을 목적으로 로그인 페이지로 진입하여, 공인 인증서 로그인 또는 아이디(ID)와 비밀번호를 입력하는 방식의 로그인을 시도할 경우 2가지 방식으로 동작이 이루어질 것으로 보입니다.

 

우선 공인 인증서 로그인을 시도할 경우 "C:\WINDOWS\MyKB.exe" 파일이 실행되어 가짜 공인 인증서 창이 생성되며, 사용자가 공인 인증서를 추가할 경우 다음의 위치에 존재하는 인증서 파일을 수집하여 특정 FTP 서버에 전송을 합니다. 

  • \NPKI\KICA
  • \NPKI\SignKorea
  • \NPKI\yessign

해당 공인 인증서 창 생성 동작은 테스트 PC에서는 정상적으로 구현되지 않는 관계로 생략합니다. 

만약 아이디(ID)와 비밀번호를 입력하는 방식의 로그인을 시도한 경우에는 해당 계정 정보가 외부로 전송되는 동작을 확인할 수 있습니다. 

그 이후에는 "고객님 계좌가 위험한 지역에서 조희기록이 등록되여 있습니다. 고객님의 안전을 위해 보안승급이 필요 합니다."라는 메시지 창이 생성됩니다.(※ 아직까지도 맞춤법이 잘못 표시되고 있습니다.) 

메시지의 확인 버튼을 클릭하면 "KB인터넷뱅킹 보안승급 서비스" 페이지로 연결이 이루어지며, 해당 페이지 모습은 각 금융 기관마다 다른 형태로 표시될 수 있습니다.

예를 들어 우리은행, 새마을금고에서는 동일한 이미지를 통해 "우리인터넷뱅킹 보안승급 서비스""새마을금고 인터넷뱅킹 보안서비스" 페이지를 생성합니다.

"보안승급 바로가기" 버튼을 클릭하면 동의 약관과 함께 이름(실명), 주민등록번호를 입력하는 양식이 생성됩니다.

그 이후에는 출금계좌번호, 출금계좌 비밀번호, 핸드폰 번호, 보안카드 일련번호, 보안카드 일련보호 풀세트를 모두 작성하는 양식이 생성됩니다. 

 이렇게 작성된 정보는 모두 외부로 전송되어 사이버 범죄자는 공인 인증서 재발급 및 계좌 이체 등의 방식으로 금전적 피해를 유발하게 됩니다.

 

여기에서 중요한 부분은 ① 최초 감염 후 사용자가 인터넷뱅킹 서비스를 이용할 때까지 외부 연결 등 불필요한 동작을 전혀 하지 않는다는 점 ② 웹 브라우저 주소 표시줄에 정상적인 URL 도메인 주소가 표시된다는 점 ③ 금융 기관 웹 사이트에서 제공하는 보안 ActiveX가 표시될 수 있다는 점 등입니다.

 

이번 악성코드를 수동으로 제거하기 위해서는 다음의 절차에 따라 문제를 해결하시기 바랍니다.

 

(1) Windows 작업 관리자를 실행하여 Demos.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(2) 실행창에 [sc delete "MyServiceDemos"] 명령어를 입력하여 서비스를 삭제하시기 바랍니다. 

 

(3) 다음의 파일들을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\1.bmp
  • C:\WINDOWS\2.bmp
  • C:\WINDOWS\3.bmp
  • C:\WINDOWS\4.bmp
  • C:\WINDOWS\5.bmp
  • C:\WINDOWS\6.bmp
  • C:\WINDOWS\7.bmp
  • C:\WINDOWS\8.bmp
  • C:\WINDOWS\9.bmp
  • C:\WINDOWS\ad.exe
  • C:\WINDOWS\Demos.exe
  • C:\WINDOWS\MyKB.exe
  • C:\WINDOWS\Sad.exe

모든 절차가 완료된 사용자는 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 진행하시기 바라며, 추가적으로 윈도우(Windows), Adobe Flash Player, Oracle Java 프로그램을 최신 버전으로 업데이트 하시기 바랍니다.(※ Oracle Java 프로그램이 설치되지 않은 환경에서는 설치할 필요가 없습니다.)


국내 인터넷뱅킹을 노리는 범죄 조직은 지속적으로 국내외 백신 프로그램에서 전혀 진단되지 않는 변종 파일을 이용하여 유포를 시도하고 있으며, 감염으로 인한 피해는 막대한 재산상의 금전적 피해로 유발될 수 있으므로 인터넷뱅킹을 이용하실 때에는 웹 사이트를 꼼꼼하게 확인하시는 습관을 가지시기 바랍니다.