울지않는벌새 : Security, Movie & Society

웹하드 접속시 인터넷뱅킹 악성코드 유포 주의 (2014.1.28)

벌새::Analysis

최근 2주 연속으로 주말을 이용하여 국내 특정 웹하드 웹 사이트에 접속할 경우 보안 패치가 제대로 이루어지지 않은 사용자의 경우 취약점(Exploit)을 이용한 악성코드 자동 감염을 통해 인터넷뱅킹 악성코드가 설치되는 이슈가 발생하고 있는 것으로 확인되고 있습니다.

이번에 확인된 인터넷뱅킹 악성코드는 감염시 국내 금융 사이트와 유사하게 제작한 파밍(Pharming) 사이트로 납치를 하여 금융 정보를 탈취하는 방식이며, 여전히 사용자 PC에 설치된 응용 프로그램의 보안 업데이트를 하지 않는 사용자들은 쉽게 감염될 수 있습니다.

감염 방식을 살펴보면 웹하드의 특정 소스에 악성 iframe 스크립트<SHA-1 :  273c8757641d5eb52447db4678744b054aa3e834 - Kaspersky : HEUR:Trojan.Script.Iframer (VT : 2/50)>를 추가하여 보안 패치가 이루어지지 않은 사용자가 웹하드에 접속할 경우 해킹된 웹 사이트에서 취약점 코드를 받아오도록 되어 있습니다.

  • h**p://****.or.kr/bbs_sun/files/job_alliance/3937CA4F/404.html (SHA-1 : df9674d6bc389352bd049527b9d430f9384ce033) - MSE : Exploit:JS/DonxRef.A (VT : 11/49)
  • h**p://****.or.kr/bbs_sun/files/job_alliance/3937CA4F/VgvkKm8.jpg (SHA-1 : ad6e21722aacb869ac2b63d3c92ebbe40855e632) - avast! : Java:CVE-2012-0507-UK [Expl] (VT : 22/48)

확인된 취약점으로는 Oracle Java 플러그인의 CVE-2012-0507 보안 취약점을 이용하여 또 다른 웹 서버로부터 smss.exe 파일<SHA-1 : 97648fe28ab151ee91a1c058795ac3aca6dcb8c7 - nProtect : Trojan/W32.KRBanker.25088.G (VT : 37/49)>을 다운로드 및 실행하도록 제작되어 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\Program Files\Common Files\smss.exe
 - SHA-1 : 97648fe28ab151ee91a1c058795ac3aca6dcb8c7
 - nProtect : Trojan/W32.KRBanker.25088.G (VT : 37/49)

 

smss.exe 파일명은 다운로드 파일에 따라 종속적으로 변경될 수 있습니다.

 

C:\koreaautoup.bmp

 

C:\Windows\System32\drivers\etc\hosts :: 파일 변조
 - AhnLab V3 : BinImage/Host

 

C:\Windows\System32\drivers\etc\hosts.ics
 - AhnLab V3 : BinImage/Host

다운로드된 악성 파일은 "C:\Program Files\Common Files\smss.exe" 파일과 같이 마이크로소프트(Microsoft) 관련 파일로 위장하여 등록되어 실행되어, 공격자가 등록한 유동적인 웹 서버로부터 추가적인 다운로드를 시도합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run
 - koreanproc = C:\Program Files\Common Files\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - koreaonce = C:\Program Files\Common Files\smss.exe

특히 다양한 시작 프로그램(Run) 항목에 자신을 등록하여 Windows 시작시 자동으로 실행되며, 이를 통해 부팅시마다 웹 서버에 새로운 업데이트 정보가 존재할 경우 다운로드를 통해 재감염을 반복적으로 할 수 있습니다.

또한 "C:\Windows\System32\drivers\etc" 폴더에 존재하던 정상적인 호스트 파일(hosts)을 변조하며, 부가적으로 동일한 정보를 담고 있는 "C:\Windows\System32\drivers\etc\hosts.ics" 호스트 파일을 추가하고 있습니다.

 

해당 호스트 파일은 10MB 대용량으로 제작되어 있으며, 내부에는 국내 은행, 네이버(Naver), 다음(Daum) 웹 사이트에 접속시 파밍(Pharming) 사이트로 납치를 위한 IP 정보(126.126.155.24 / 126.15.109.65)가 포함되어 있습니다.

 

특히 Windows 부팅시 기존에 생성된 호스트 파일(hosts, hosts.ics)을 삭제한 후 재생성하며 6분 주기로 호스트 파일을 삭제 및 재생성하여 기존의 파밍(Pharming) 사이트가 차단된 경우 새로운 IP 정보로 갱신할 수 있습니다.

프로세스 정보를 잠시 살펴보면 메모리에 상주하는 "C:\Program Files\Common Files\smss.exe" 악성 파일은 백그라운드 방식으로 iexplore.exe 프로세스를 실행하여 특정 웹 페이지를 오픈하여 중국(China)에서 서비스하는 카운터(Counter) 정보를 체크합니다.

  • h**p://ihwarang.co.kr/css/index.rar (SHA-1 : c385d0dc55e35998b42ad5f4805a7250af0197cb) - nProtect : Trojan/W32.Agent.100864.VT (VT : 27/49) :: 2014년 1월 26일
  • h**p://junaudio.com/css/index.rar (SHA-1 : f8690cb1dc0bd73e115f80ee80d79402994eb61c) - AVG : BackDoor.Generic17.BDRR (VT : 25/50) :: 2014년 1월 27일

대표적인 추가 다운로드 정보를 살펴보면 PE 파일이지만 실시간 감시를 우회할 목적으로 RAR 압축 파일처럼 등록된 index.rar 파일을 다운로드합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\cxtdf.exe
 - SHA-1 : f8690cb1dc0bd73e115f80ee80d79402994eb61c
 - AVG : BackDoor.Generic17.BDRR (VT : 25/50)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\iiuaw.exe
 - SHA-1 : c385d0dc55e35998b42ad5f4805a7250af0197cb
 - nProtect : Trojan/W32.Agent.100864.VT (VT : 27/49)

 

※ 해당 파일들은 Windows 부팅시마다 (5자리 영문).exe 파일명으로 생성될 수 있습니다.

다운로드된 index.rar 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp" 임시 폴더 내에 마이크로소프트(Microsoft) 파일로 위장한 (5자리 영문).exe 파일 패턴으로 생성되어 실행되며, Windows 부팅시마다 웹 서버로부터 업데이트 체크를 통해 악성 파일을 다운로드 및 생성될 수 있습니다.

 

[추가 생성 폴더 / 파일 및 진단 정보]

 

C:\Windows\91019387
C:\Windows\91019387\svchsot.exe
 - SHA-1 : c385d0dc55e35998b42ad5f4805a7250af0197cb
 - nProtect : Trojan/W32.Agent.100864.VT (VT : 27/49)

 

C:\Windows\System32\Tasks\At1
C:\Windows\System32\Tasks\At10
C:\Windows\System32\Tasks\At11
C:\Windows\System32\Tasks\At12
C:\Windows\System32\Tasks\At13
C:\Windows\System32\Tasks\At14
C:\Windows\System32\Tasks\At15
C:\Windows\System32\Tasks\At16
C:\Windows\System32\Tasks\At17
C:\Windows\System32\Tasks\At18
C:\Windows\System32\Tasks\At19
C:\Windows\System32\Tasks\At2
C:\Windows\System32\Tasks\At20
C:\Windows\System32\Tasks\At21
C:\Windows\System32\Tasks\At22
C:\Windows\System32\Tasks\At23
C:\Windows\System32\Tasks\At24
C:\Windows\System32\Tasks\At3
C:\Windows\System32\Tasks\At4
C:\Windows\System32\Tasks\At5
C:\Windows\System32\Tasks\At6
C:\Windows\System32\Tasks\At7
C:\Windows\System32\Tasks\At8
C:\Windows\System32\Tasks\At9
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At10.job
C:\Windows\Tasks\At11.job
C:\Windows\Tasks\At12.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At14.job
C:\Windows\Tasks\At15.job
C:\Windows\Tasks\At16.job
C:\Windows\Tasks\At17.job
C:\Windows\Tasks\At18.job
C:\Windows\Tasks\At19.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At20.job
C:\Windows\Tasks\At21.job
C:\Windows\Tasks\At22.job
C:\Windows\Tasks\At23.job
C:\Windows\Tasks\At24.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job
C:\Windows\Tasks\At5.job
C:\Windows\Tasks\At6.job
C:\Windows\Tasks\At7.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At9.job

 

  국내 음란 동영상을 이용한 백도어(Backdoor) 유포 주의 (2013.7.18)

 

해당 악성코드 감염 부분은 예전 음란 동영상을 이용한 백도어(Backdoor) 감염과 유사성이 강하므로 참고하시기 바랍니다.

 

웹 서버로부터 다운로드된 index.rar 악성 파일은 임시 폴더(C:\Users\(사용자 계정)\AppData\Local\Temp)에 생성된 후, "C:\Windows\91019387\svchsot.exe" 악성 파일을 등록합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - 91019387 = C:\Windows\91019387\svchsot.exe

생성된 파일은 기본적으로 시작 프로그램(Run) 영역에 자신을 등록하여 Windows 부팅시 자동 실행되도록 구성되어 있습니다.

특히 예약 작업에 1시간 간격으로 자동 실행되도록 "A1~A24" 작업 스케줄러로 등록되어 매 시간마다 "C:\Windows\91019387\svchsot.exe" 파일을 자동 실행하여 특정 서버와 통신을 통해 업데이트 정보를 받아올 수 있습니다.

사용자 입장에서는 "C:\Windows\System32\svchost.exe" 정상 프로세스 이름과 유사하여 쉽게 눈치챌 수 없으므로, 전문 프로세스 관리툴(Process Explorer)을 이용하여 파일 경로까지 확인할 필요가 있습니다.

126.126.155.24 daum.net
126.126.155.24
www.daum.net
126.126.155.24 hanmail.net
126.126.155.24 naver.com
126.126.155.24
www.naver.com

126.15.109.65 daum.net
126.15.109.65
www.daum.net
126.15.109.65 hanmail.net
126.15.109.65 naver.com
126.15.109.65
www.naver.com

시스템 감염이 이루어진 환경에서 사용자가 네이버(Naver), 다음(Daum) 웹 사이트로 접속시 호스트 파일에 등록된 파밍(Pharming) 사이트로 자동 접속이 이루어지며, 이를 통해 포털 사이트 메인 화면에 금융감독원 팝업창이 생성되는 동작을 확인할 수 있습니다.

 

해당 팝업창에서는 국민은행, 농협, 신한은행, 우리은행, 스탠다드차타드은행(SC제일은행), 우체국예금보험, 기업은행, 외환은행, 새마을금고 바로가기가 표시되어 있습니다.

연결된 포털 사이트 URL 값을 확인해보면 전부 그림 파일로 제작되어 있으며, 웹 브라우저에서는 포털 사이트 주소가 정상적으로 표시되지만 실제로는 가짜 포털 사이트로 납치되어 금융감독원 팝업창을 표시하고 있는 것입니다.

포털 사이트에 생성된 금융감독원 팝업창을 통해 국민은행 웹 사이트에 접속할 경우 "kisa.kbstar.com" 도메인으로 표시되고 있으며, 실제 정상적인 환경에서는 해당 주소는 존재하지 않습니다.

접속된 파밍(Pharming) 사이트에서는 "※ 인터넷 뱅킹 예방서비스 2013.9.26(목) 이후 모든 서비스가 한층더 업그레이드 되었습니다. 이 모든 서비스를 이용하시려면 뱅킹서비스 고객 본인(재)인증후  이용이 가능합니다."와 같은 메시지 창 생성을 통해 인터넷뱅킹을 위한 본인 인증을 유도할 수 있습니다.

다음 단계에서는 "전자금융거래 기본약관" 제시를 통해 이름과 주민등록번호를 입력하여 계좌 정보 및 보안 카드 정보를 입력하도록 제작되어 있는 것으로 보입니다.

대표적인 파밍(Pharming) 사이트의 모습을 살펴보면 일부는 조잡한 화면이지만, 외환은행과 같은 경우에는 자칫 실수를 할 수 있을 정도로 깔끔하게 제작되어 있으므로 피해가 있을 가능성도 존재합니다.

이렇게 감염된 환경에서 악성코드 제거가 이루어지지 않은 상태로 사용하는 과정에서 파밍(Pharming) 사이트 관련 IP 주소를 차단할 경우에는 사용자가 은행 사이트에 접속시 "WARNING 파밍 사이트에 대한 차단 안내" 창으로 연결이 이루어지고 있습니다.

또한 네이버(Naver), 다음(Daum) 포털 사이트의 경우에는 IP 차단으로 인해 "Internet Explorer에서 웹 페이지를 표시할 수 없습니다."와 같은 메시지로 연결이 되지 않을 수 있습니다.

 

그러므로 자신도 모르게 감염된 사용자가 은행 사이트 또는 포털 사이트 접속이 위와 같이 차단 메시지가 뜨거나 연결이 이루어지지 않을 경우에는 악성 파일 및 변조된 호스트 파일이 존재한다는 것을 의미하므로 점검을 하시기 바랍니다.

 

기본적으로 이번 웹하드 접속시 인터넷뱅킹 악성코드에 감염되는 사례는 사용자 PC에 설치된 Windows, Adobe Flash Player, Oralce Java 등과 같은 응용 프로그램을 구버전으로 인해 발생하고 있으므로 항상 최신 버전으로 업데이트하시기 바랍니다.

 

마지막으로 위와 같은 방식의 악성코드는 1회 감염된 후에는 사용자가 제거를 하지 않을 경우 주기적인 업데이트 체크를 통해 새로운 악성코드 재감염을 꾸준하게 유발할 수 있으며, 일부 사용자의 경우 호스트 파일만을 치료하여 문제 해결을 하려고 하지만 6분 주기로 호스트 파일 체크를 통해 수정을 하므로 아무런 효과가 없으므로 반드시 악성 파일을 함께 제거해 주셔야 합니다.