울지않는벌새 : Security, Movie & Society

hosts.ics 파일을 이용한 인터넷뱅킹 악성코드 주의 (2013.4.1)

벌새::Analysis

스팸성 블로그에 유명 소프트웨어 다운로드 링크를 이용하여 다양한 수익성 프로그램을 설치하는데 이용되는 특정 서버가 외부 해킹을 통해 설치 파일이 변조되어 인터넷뱅킹 악성코드를 유포하는 부분을 확인하였습니다.

 

  AhnLab Next V3 Beta : PUP / PUS 검사의 중요성 (2013.3.31)

 

해당 유포 방식과 관련된 내용은 AhnLab Next V3 보안 제품의 PUP / PUS 검사에 대한 글에서 확인하시기 바랍니다.

사용자의 부주의한 동의 과정을 거쳐 설치가 이루어지는 변조된 설치 파일(MD5 : 4fede2a0c083a2122187fe0e2a83fccb)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Scar (VT : 19/46) 진단명으로 진단되고 있습니다.

 

1. "C:\WINDOWS\system32\YouPin.exe" 파일

  • C:\WINDOWS\system32\YouPin.exe (MD5 : 4fede2a0c083a2122187fe0e2a83fccb) - AhnLab V3 : Trojan/Win32.Scar (VT : 19/46)

해킹을 통해 변조된 설치 파일은 다운로드를 통해 "C:\WINDOWS\system32\YouPin.exe" 파일로 생성되며, 자신을 시작 프로그램으로 등록하여 시스템 시작시 자동으로 실행되도록 등록합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - YouPin = C:\WINDOWS\system32\YouPin.exe

이를 통해 시스템 시작시마다 자동 실행된 YouPin.exe 파일은 다음과 같은 추가적인 악성 파일 다운로드 동작으로 연결됩니다.

  • h**p://www.**mwc.com/notepad.exe (MD5 : 895ad55f6b41fd2ce7bb6c08dcc16c19) - AhnLab V3 : Malware/Win32.Generic (VT : 19/43)
  • h**p://www.**mwc.com/mstsc.exe (MD5 : 3c8d3030ff1da542458e4db13c61d0b4) - AhnLab V3 : Trojan/Win32.Scar (VT : 19/46)
  • h**p://www.**mwc.com/csres.exe (MD5 : 69a324f9c7d68b43a2d1748faf53f093) - AhnLab V3 : Spyware/Win32.Agent (VT : 21/46)

특정 서버로부터 매번 다운로드되는 악성 파일들은 삭제된 파일이 존재할 경우 재감염을 유발할 수 있습니다.

 

2. notepad.exe (MD5 : 895ad55f6b41fd2ce7bb6c08dcc16c19) 파일

해당 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 YouPin1.exe ~ YouPin12.exe 파일을 다수 생성하며, 그 중에서 YouPin1.exe 파일을 통해 파일 생성 및 호스트 파일 변조를 수행합니다.

 

[생성 / 변경 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dfe32UYD.exe
 - MD5 : 7a44f753aeae17ae5c26307562da8ffe
 - Microsoft : PWS:Win32/OnLineGames.LH (VT : 7/46)

 

C:\WINDOWS\system32\drivers\etc\hosts :: 파일 변경

 

C:\WINDOWS\system32\drivers\xpV3001.sys :: 특정 조건에서 생성 추정(0 Byte)

이를 통해 생성된 파일을 살펴보면 임시 폴더에 80MB 이상의 비정상적인 크기를 가진 dfe32UYD.exe 파일을 생성하여 메모리에 상주하도록 제작되어 있습니다.

 

이를 통해 보안 제품의 악성 파일 수집 및 진단 방해와 사용자가 파밍(Pharming) 사이트에 접속하여 공인인증서를 입력할 경우 탈취하는 기능을 수행할 것으로 추정됩니다.

또한 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts)에 안랩 클라우드 서버(gms.ahnlab.com)를 루프백(Loopback)으로 등록하여 ASD 진단을 방해하고 있습니다.

 

3. csres.exe (MD5 : 69a324f9c7d68b43a2d1748faf53f093) / mstsc.exe (MD5 : 3c8d3030ff1da542458e4db13c61d0b4) 파일

추가로 다운로드되는 csres.exe, mstsc.exe 2개의 파일은 다음과 같은 유사한 기능을 수행합니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\drivers\etc\hosts.ics

 

C:\WINDOWS\Tasks\conime.exe
 - MD5 : 484ece8c56d043611f8f791e302fe9d8
 - AhnLab V3 : Trojan/Win32.Scar (VT : 21/46)

다운로드된 mstsc.exe 파일은 "예약된 작업" 폴더(C:\WINDOWS\Tasks) 내에 conime.exe 파일을 생성하며, Windows 탐색기를 통해서는 해당 실행 파일이 보이지 않는 점을 이용한 것으로 보입니다.(※ 파일 확인을 위해서는 GMER 도구를 사용하시기 바랍니다.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 감염 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe :: 감염 후

생성된 "C:\WINDOWS\Tasks\conime.exe" 파일은 정상적인 Winlogon 레지스트리 값에 자신을 추가하여 시스템 시작시 자동으로 실행되도록 등록되어 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
 - URL =
http://58.64.150.169:54322/1.txt

또한 Windows 기본 서비스 중 "BITS(Background Intelligent Transfer Service)" 항목에 "URL" 값을 추가하여 시스템 시작시 해당 서버에 접속하여 파밍(Pharming) 사이트 정보를 받아오도록 제작되어 있습니다.

이를 통해 등록 가능한 URL 주소는 현재 2개 IP(58.64.150.169:54322 / 98.126.57.146:12345)가 확인되고 있습니다.

C:\WINDOWS\system32\drivers\etc\hosts.ics

시스템 시작시마다 자동으로 실행되는 Windows 기본 서비스(BITS(Background Intelligent Transfer Service))를 통해 공격자는 파밍(Pharming) 사이트 접속이 차단될 경우 업데이트를 통해 새로운 사이트 목록을 전송하여, "C:\WINDOWS\system32\drivers\etc\hosts.ics" 파일에 기록합니다.

위와 같이 감염된 시스템에서 사용자가 웹 브라우저를 실행하여 금융권 웹 사이트를 접속할 경우 "C:\WINDOWS\system32\drivers\etc\hosts.ics" 파일을 참조하여 파밍(Pharming) 사이트로 접속이 이루어지는 동작을 확인할 수 있습니다.

특히 기존의 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조에서 발전된 위와 같은 방식은 호스트 파일 탐지를 통해 감염 여부를 판단하는 파밍캅(Pharming Cop)을 우회할 수 있습니다.

 

4. 파밍(Pharming) 사이트 살펴보기

 

현재 등록된 정보에서는 감염으로 인해 외환은행(keb.co.kr), 씨티은행(citibank.co.kr), 삼성전자 새마을금고(secbank.co.kr), 새마을금고(kfcc.co.kr), 기업은행(ibk.co.kr), 우체국(epost.go.kr), 신한은행(shinhan.com), 국민은행(kbstar.com), 하나은행(hanabank.com), 우리은행(wooribank.com), 농협(nonghyup.com)을 타켓으로 하고 있습니다.

피싱및 해킹(전화금융사기)인한 금융사기가 지속적으로 발생하고 있습니다.
11월18일부터 모든 은행권에서 전자금융사기 예방서비스를 시행합니다.
금융자산예방서비스를 실행후 사용해주세요.

사용자가 파밍(Pharming) 웹 사이트에 접속하여 제시된 메뉴를 클릭할 경우 금융 사기 관련 메시지를 통해 "금융자산 예방서비스"를 사용하도록 유도합니다.

사용자가 해당 금융권 사이트에 접속할 경우 메인 화면상에는 "전자금융사기 예방시스템 신청"이라는 배너창을 통해 접속을 유도하고 있습니다.

이를 통해 연결되는 화면에서는 이름(성명), 주민등록번호, 전화번호, 출금 계좌번호, 계좌 비밀번호, 사용자 아이디, 사용자 비밀번호, 이체 비밀번호를 수집합니다.(※ 주민등록번호, 이체 비밀번호 유효성 검사를 합니다.)

다음 단계에서는 보안 카드 일련번호와 전체 보안 카드 번호를 입력하도록 하고 있습니다.

정보 입력이 완료되면 "보안승급이 정상적으로 완료되였습니다. 30분뒤 사용해주세요."라는 메시지가 생성됩니다.

그 후 "예방서비스에 정상적으로 가입되였습니다."라는 메시지를 통해 사용자로부터 수집된 금융 정보로 실제 금전적 피해를 유발할 수 있습니다.

 

5. 그 외 시스템에 표시되는 정보

해당 악성코드 감염을 통해 시스템에 표시되는 프로세스 정보에서는 시스템 시작시 자동 실행되는 "C:\WINDOWS\Tasks\conime.exe" 프로세스는 정상적인 "C:\WINDOWS\system32\conime.exe" (Console IME) 시스템 파일과 이름이 동일하여 사용자에게 혼동을 유발하고 있습니다.

 

또한 정보 수집 기능을 가진 dfe32UYD.exe 프로세스의 경우 일부 시스템에서 CPU가 50% 수준을 유지하는 동작이 발생하는 부분도 확인할 수 있습니다.

그 외에 시스템 시작 과정에서 악성 파일 동작으로 인해 "Script Control" 창이 일시적으로 생성되는 현상이 발생하므로, 해당 창이 생성되는 PC 환경에서는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 하시기 바랍니다.

 

이번 인터넷뱅킹 악성코드는 국내에서 파밍(Pharming) 사이트 차단에 대비하여 시스템 시작시마다 업데이트를 통해 정보를 변경할 수 있으므로 사용자들은 이런 악성코드에 감염되지 않도록 다음과 같은 보안 수칙을 반드시 지키면서 인터넷을 이용하시기 바랍니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (1) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (2) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (3) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)

 

마지막으로 인터넷뱅킹 악성코드는 수시로 업데이트를 통해 파일 교체 및 연결 주소를 변경하므로, 인터넷뱅킹을 이용하는 사용자는 웹 사이트의 구조, 안내문의 맞춤법 등을 잘 살펴서 금융 피해를 당하는 일이 없도록 하시기 바랍니다.