본문 바로가기

벌새::Analysis

AncillaryAgent.exe 파일을 이용한 인터넷뱅킹 악성코드 유포 주의 (2013.7.14)

반응형

2013년 7월 8일~10일경부터 배포가 이루어지고 있는 것으로 보이는 국내에서 제작된 "ancillary (ts)" 검색 도우미 프로그램의 특정 파일이 변조되어 인터넷뱅킹 악성코드를 설치하는 부분을 발견하였습니다.

MD5 : 20a8e871c190d5e86bb1d1a5d7666be8

문제의 "ancillary (ts)" 검색 도우미 프로그램의 설치 파일(MD5 : 20a8e871c190d5e86bb1d1a5d7666be8)은 ASD 클라우드 기준으로 최소 15,000대 이상 설치된 것으로 추정되고 있습니다.

 

  • h**p://down.ancill***.kr/down/1.0.0.1/ancillary_ts.dll (MD5 : ef92cec5d21a47141316425d4b051350)
  • h**p://down.ancill***.kr/down/1.0.0.1/AncillaryAgent.exe (MD5 : b872bee276d2477a9039ec2173aa543b) - AhnLab V3 : PUP/Win32.WindViewer (VT : 16/47)

설치 과정을 살펴보면 특정 서버에서 2개의 파일(ancillary_ts.dll, AncillaryAgent.exe)을 다운로드하여 "C:\Program Files\ancillary\sidebar" 폴더 내부에 파일을 생성합니다.

 

■ 생성 파일(ancillary_ts.dll, AncillaryAgent.exe) 정보

생성된 "C:\Program Files\ancillary\sidebar\ancillary_ts.dll" 파일의 속성을 확인해보면 "Stimpack Inc." 디지털 서명과 파일 버전이 등록되어 있습니다.

하지만 "C:\Program Files\ancillary\sidebar\AncillaryAgent.exe" 생성 파일은 디지털 서명과 파일 버전이 포함되어 있지 않는 변조된 파일로 추정됩니다.(※ AncillaryAgent.exe 파일 사용자 수가 매우 적은 이유는 파일 생성 후 즉시 추가 동작을 통해 악성 파일 생성 후 자신도 변경되기 때문입니다.)

 

참고로 파일 보고 날짜를 보면 "ancillary (ts)" 프로그램 배포 초기에는 인터넷뱅킹 악성코드가 포함되어 있지 않았을 가능성이 있으며, 2013년 7월 13일 주말을 이용하여 AncillaryAgent.exe 파일이 변조된 것이 아닌가 생각됩니다.

 

2개의 파일을 다운로드 및 설치한 "ancillary (ts)" 프로그램은 "C:\Program Files\ancillary\sidebar\AncillaryAgent.exe" 파일 실행을 통해 다음과 같은 악의적 동작을 수행합니다.

 

■ "C:\Program Files\ancillary\sidebar\AncillaryAgent.exe" 실행 정보

 

AncillaryAgent.exe 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\8eda8.tmp" 파일(= AncillaryAgent.exe)을 생성하여 2개의 파일을 생성 및 수정합니다.

 

  • C:\Users\(사용자 계정)\AppData\Local\Temp\8ef6c.exe (MD5 : 791c346c27550010fa5a27dd236b13d8) - AhnLab V3 : Win-Trojan/Hupe.Gen (VT : 26/47)
  • C:\Program Files\ancillary\sidebar\AncillaryAgent.exe (MD5 : cb82760b28688db06d2b8f2ea0c348e8)

그 중에서 임시 폴더에 생성된 랜덤(Random)한 실행 파일(8ef6c.exe)은 인터넷뱅킹 악성코드를 설치하며, 이로 인하여 "ancillary (ts)" 검색 도우미 프로그램의 설치는 이루어지지만 인터넷뱅킹 악성코드에 의하여 "AncillarySide Class" 브라우저 도우미 개체(BHO) 등록 파일(C:\Program Files\ancillary\sidebar\ancillary_ts.dll)이 삭제 처리되어 광고 기능을 상실하게 됩니다.

 

■ "ancillary (ts)" 검색 도우미 프로그램 추가 정보

"ancillary (ts)" 검색 도우미 프로그램이 설치되는 과정에서 특정 서버로부터 추가적인 설치 파일(setup.exe / MD5 : 6fcfc2fd825d38664b2355defe9d8420)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\nsdE7FE.tmp\setup_anc1.exe" 파일로 생성이 이루어지는 동작을 확인할 수 있습니다.

 

생성된 파일은 분석 방해를 목적으로 가상 환경에서는 동작하지 않도록 패킹된 것으로 추정되며, 리얼 환경에서도 특정 조건에서만 설치가 이루어질 수 있습니다.

 

  • h**p://down.**cill.com/anc1/ver3p/ancill.dll (MD5 : 3b8903aaab5d5e6c338e8f77707b7d48)
  • h**p://down.**cill.com/anc1/ver3p/uninstall.exe

파일이 실행되면 특정 서버로부터 2개의 파일을 다운로드하여 "C:\Program Files\ancillary" 폴더에 파일을 생성하며, "C:\Program Files\ancillary\ancill.dll" 파일은 자신을 브라우저 도우미 개체(BHO)로 등록하여 사용자가 특정 조건으로 웹 사이트에 접속하는 과정에서 제휴 코드를 추가하는 방식으로 수익을 창출하는 것으로 보입니다.(※ 이 글에서는 "ancillary (ts)" 검색 도우미 프로그램보다는 인터넷뱅킹 악성코드에 대한 내용이 핵심이므로 이 정도 수준에서 더 이상 언급하지 않겠습니다. Addendum 계열 광고 프로그램도 은근히 해킹을 잘 당하는군! 부글부글)

아무튼 제어판에서 "ancillary (ts)" 검색 도우미 프로그램이 발견된 사용자는 단순히 광고 프로그램만 삭제할 것이 아니라 반드시 인터넷뱅킹 악성코드에 노출되었을 가능성이 있으므로 다음과 같은 정보를 바탕으로 조사를 하시기 바랍니다.

 

■ 인터넷뱅킹 악성코드 정보

 

AncillaryAgent.exe 파일을 통해 생성된 "C:\Users\(사용자 계정)\AppData\Local\Temp\8ef6c.exe" 악성 파일을 통해 설치된 인터넷뱅킹 악성코드는 기존의 온라인 게임핵(OnlineGameHack)과 감염 방식이 매우 유사하며, Windows XP 운영 체제에서는 시스템 파일 패치로 인해 치료에 어려움이 예상되므로 Windows 7 운영 체제 이상을 사용하시길 권장합니다.

 

  hosts.ics 파일을 이용한 인터넷뱅킹 악성코드 주의 (2013.4.1)

 

인터넷뱅킹 악성코드의 변화를 살펴보면 기존까지는 호스트 파일(hosts, hosts.ics)을 이용하여 사용자가 은행 사이트에 접속할 경우, 해외에 위치한 동일하게 제작된 가짜 은행 사이트로 납치하여 금융 정보를 탈취하였습니다.

 

  <AhnLab 블로그> 안랩, “메모리 해킹(수정)”으로 금융정보 및 금전 유출 시도하는 악성코드 분석 (2013.7.3)

 

하지만 최근에 발견된 인터넷뱅킹 악성코드는 감염된 환경에서 정상적인 은행 사이트에 접속하여 서비스를 이용하는 과정에서 금융권에서 제공하는 보안 솔루션 또는 공인인증서 모듈의 취약점을 악용하여 정보 유출을 유발하고 있으므로 감염시 매우 위험한 수준까지 발전한 상태입니다.

 

이 글에서 소개하는 인터넷뱅킹 악성코드는 호스트 파일 변조 방식이 아니라 5개의 특정 은행 사이트만을 타켓으로 공격하는 악성코드로 보입니다.

우선 감염이 정상적으로 이루어지면 미국(USA)에 위치한 "199.189.109.238" IP 서버에 사용자 Mac Address, 운영 체제(OS), 보안 제품, 파일 버전 등의 정보를 전송하는 동작을 확인할 수 있습니다.

[삭제되는 브라우저 도우미 개체(BHO) 파일 예시]

 

C:\Program Files\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll
C:\Program Files\EagleGet\eagleSniffer.dll
C:\Program Files\Java\jre7\bin\jp2ssv.dll
C:\Program Files\Java\jre7\bin\ssv.dll
C:\Program Files\Logitech\SetPointP\SetPointSmooth.dll

인터넷뱅킹 악성코드에 감염된 환경에서는 특징적인 부분이 사용자 PC에 설치된 브라우저 도우미 개체(BHO) 등록값을 모두 삭제 처리하여 감염 이후 "C:\Windows\System32\kakutk.dll" 파일의 동작에 방해가 되지 않도록 합니다. 단, Shockwave Flash Object 항목은 그대로 유지하여 웹 사이트 이용에 문제가 없도록 하고 있습니다.

 

이로 인하여 실제 감염된 사용자 중 네이버 툴바(Naver Toolbar), 알툴바(ALToolbar)와 같은 프로그램이 웹 브라우저에서 사라지는 증상이 발생할 수 있으며, 그 외의 정상적인 프로그램 중 브라우저 도우미 개체(BHO) 방식으로 구현되는 프로그램도 정상적인 동작이 이루어지지 않습니다.(※ 차후 이런 문제 해결을 위해서는 악성코드 제거 이후에 해당 프로그램을 삭제한 후 재설치하는 방식으로 문제를 해결하시기 바랍니다.)

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\7JChitiu7f.dll
 - MD5 : 542571a632150d2ea2a9d6e59e5f8ea1
 - AhnLab V3 : Win-Trojan/Wgames.Gen (VT : 15/47)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\A1.zip (= ws2help.dll)
C:\Users\(사용자 계정)\AppData\Local\Temp\B1.zip (= wshtcpip.dll)
C:\Users\(사용자 계정)\AppData\Local\Temp\C1.zip (= midimap.dll)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\hda6ffebHG.dll
 - MD5 : 3f2f0e7ed6e7d9a507f5feecd391a9e5
 - AhnLab V3 : Win-Trojan/Wgames.Gen (VT : 14/47)

 

C:\Windows\System32\drivers\2c665801.sys
 - MD5 : 37e8f4ec1d8ecd0b2c91cf04f890d233
 - AhnLab V3 : Win-Trojan/Wgames.Gen (VT : 17/47)

 

C:\Windows\system32\drivers\50cd6d87.sys :: 자가 삭제
 - MD5 : 355c26be20cc3d7edc1fc04080c26961
 - MSE : TrojanDownloader:Win32/Perkesh.gen!A (VT : 9/47)

 

C:\Windows\System32\kakutk.dll
 - MD5 : 516ff9e3fb4c96f3adfcf78a5387ca32
 - AhnLab V3 : Win-Trojan/Wgames.Gen (VT : 12/47)

 

C:\Windows\System32\safemono.dll :: 정상 파일(= wshtcpip.dll)

 

※ AhnLab V3 보안 제품이 설치된 환경인 경우 C:\AhnFlt2k.sys, C:\AhnRec2k.sys, C:\AhnRghNt.sys 정상 파일이 생성될 수 있습니다.

감염이 이루어진 환경에서는 기본적으로 AhnLab V3, 알약(ALYac) 등과 같은 국내에서 사용자 수가 많은 보안 제품에 대한 AVKiller 기능을 통해 백신 무력화를 시도하며, "C:\Windows\System32\kakutk.dll" 악성 파일이 핵심적인 기능을 수행합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IEHlprObj Class

게시자 : vrv

유형 : 브라우저 도우미 개체

CLSID : {AB705622-B25B-491B-A6BF-4A46FDDBC88E}

파일 : C:\Windows\System32\kakutk.dll

 

해당 악성 파일(kakutk.dll)은 브라우저 도우미 개체(BHO)로 자신을 등록하여 Windows 탐색기, Internet Explorer 웹 브라우저에 삽입되어 국내 5개 은행권 사이트 접속을 감시합니다.

 

  1. banking.nonghyup.com :: 농협
  2. wooribank.com :: 우리은행
  3. bank.cu.co.kr :: 신협
  4. kbstar.com :: KB국민은행
  5. epostbank.go.kr :: 우체국

특히 기존의 호스트 파일 변조 방식의 경우에는 국내 대다수 은행권 사이트를 표적으로 한 것과 달리 호스트 파일 변조없이 금융 정보를 탈취하는 해당 악성코드는 타켓으로 지정된 은행에 대한 정밀 공격이 가능하다는 장점이 있습니다.

감염된 환경에서 사용자가 웹 브라우저를 실행할 경우 미국(USA)에 위치한 "freedom.lfllja.com(206.217.192.170)" 서버와 연결을 시도하는 동작을 확인할 수 있습니다.

만약 KB국민은행 웹 사이트에 접속을 해보면 금융권에서 강조하는 녹색창의 보안 연결(https://)를 통해 정상적인 연결이 이루어지는 것을 볼 수 있으며, 이렇게 연결된 은행 사이트는 실제 KB국민은행이므로 사용자는 아무런 의심을 하지 못합니다.

이렇게 감염된 상태에서 금융권에서 제공하는 키보드 보안 솔루션 또는 공인인증서 관련 모듈의 취약점을 이용하여 메모리 해킹을 하여 사용자가 서비스를 이용하던 과정에서 실행되는 정상적인 보안 제품이 무력화 또는 악용되어 공인인증서(SignCert.der, SignPri.key), 금융 정보, 보안 카드가 유출될 수 있습니다.

 

  • h**p://banana.boolker.com/xin87842647df/lin.asp
  • h**p://banana.boolker.com/838483dfotp/lin.asp
  • h**p://green.boolker.com/po23924898df/lin.asp
  • h**p://banana.boolker.com/xin09923929mxd/lin.asp
  • h**p://green.boolker.com/po9819219mxd/lin.asp

참고로 수집된 정보는 해외에 위치한 서버로 전송되는 현재는 차단된 것으로 추정됩니다.

 

은행에서 안내하는 주요 증상으로는 보안 카드 비밀번호 한 세트(2개)를 입력시 동작이 중지되거나 인터넷뱅킹이 강제 종료되며 이를 통해 입력된 정보를 이용하여 실시간으로 계좌 이체 등이 발생할 수 있는 것 같습니다.

 

이는 기존과 달리 보안 카드 풀세트 번호를 입력하는 방식이 아니라 사용자가 입력한 보안 카드 1세트 정보를 실시간으로 탈취하여 금전 피해를 유발할 수 있으므로 이런 류의 인터넷뱅킹 악성코드에 감염되는 자체가 위험한 수준입니다.

 

■ 인터넷뱅킹 악성코드 수동 삭제 방법(Windows 7 운영 체제 기준)

 

Windows 7 운영 체제 환경에서 수동으로 치료할 수 있는 간단한 절차를 살펴보도록 하겠습니다.(※ 위에서도 언급하였지만 보안에 취약한 Windows XP 운영 체제는 더 이상 사용하지 마시기 바랍니다.)

 

(1) 웹 브라우저의 추가 기능 관리에 등록된 "IEHlprObj Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

(2) "보조 프로그램 → 명령 프롬프트""관리자 권한으로 실행"하여 바탕 화면에 띄우시기 바랍니다.

 

(3) Windows 탐색기, Internet Explorer 웹 브라우저 등 모든 프로그램을 종료한 후, Windows 작업 관리자를 실행하여 explorer.exe 프로세스를 종료하시기 바랍니다.

 

(4) 명령 프롬프트에 [del "C:\Windows\System32\kakutk.dll"] 명령어를 입력하여 실행하시면 "C:\Windows\System32\kakutk.dll" 파일이 삭제 처리됩니다.

(5) Windows 작업 관리자를 실행하여 "파일 → 새 작업(실행...)" 메뉴를 실행하여 "explorer.exe" 명령어를 입력하여 "확인" 버튼을 클릭하시기 바랍니다.

(6) GMER 도구를 다운로드 및 실행하여 "Services" 탭을 선택하여 "8자리 숫자+영문"으로 구성된 2개의 항목을 찾으시기 바랍니다.

확인된 서비스 값을 선택하여 마우스 우클릭을 통해 생성된 메뉴 중 "Delete ..." 항목을 선택하시기 바랍니다.

이를 통해 등록된 악성 서비스 등록값 및 드라이버 파일을 삭제할 수 있으며, 해당 파일들은 랜덤(Random)하게 생성되므로 유사한 패턴을 찾으시기 바랍니다.

참고로 2개 중 하나의 드라이버 파일은 감염 과정에서 자가 삭제 처리되어 파일을 찾을 수 없다는 메시지가 생성됩니다.

 

(7) 레지스트리 편집기(regedit)를 실행하여 감염시 생성된 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AB705622-B25B-491B-A6BF-4A46FDDBC88E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFDB2DC0-5AB0-4824-AD98-796CF0CD71BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB705621-B25B-491B-A6BF-4A46FDDBC88E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AB705628-B25B-491B-A6BF-4A46FDDBC88E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AB705622-B25B-491B-A6BF-4A46FDDBC88E}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_50CD6D87
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\2c665801
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\50cd6d87

 

그 외 임시 폴더에 생성된 악성 파일들은 감염 이후에는 동작하지 않으므로 보안 제품을 이용하여 정밀 검사를 통해 제거를 하시기 바라며, 해당 내용은 감염 파일에 따라 정보가 달라질 수 있으므로 절차를 이해하여 활용하는데 이용하시기 바랍니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4)

 

예전에도 악성코드 유포 방식에 대해 언급을 하였지만 국내에서 제작되어 무차별적으로 배포되는 불필요한 프로그램(PUP)은 법적인 문제로 인하여 국내 보안 제품에서는 정식 진단이 이루어지지 않는 문제가 있습니다.

 

이로 인하여 사이버 범죄자들은 관리가 제대로 이루어지지 않는 수익성 프로그램을 변조하는 등의 방식을 통해 악성코드 유포에 활발하게 이용하고 있습니다.

 

최근에는 국내 보안 제품에서는 불필요한 프로그램(PUP)에 대한 진단 정책을 추가하고 있지만, 이런 광고 프로그램이 사용자 PC에서 발견이 된다는 것은 그만큼 사용자의 잘못된 PC 사용에 문제가 있는 것이므로 단순히 보안 제품만을 의존하는 습관은 버리시기 바랍니다.

728x90
반응형