본문 바로가기

벌새::Analysis

DNS 서버 주소 변경을 통한 파밍(Pharming) 사이트 연결 주의 (2014.4.29)

● 해당 정보를 공유해주신 바이러스 제로 시즌 2 보안 카페 매니저(ViOLeT)님께 감사드립니다.

 

최근 확인되지 않은 악성코드 감염을 통해 네트워크 설정 중 DNS 서버 주소를 변경하여 포털 사이트 접속시 금융감독원 보안 인증창을 생성하는 행위를 확인하였습니다.

 

이를 통해 사용자가 팝업창에서 표시한 금융기관 접속시 가짜 은행 사이트로 접속을 유도하여 금융 정보를 탈취하며, 추가적인 ActiveX 설치를 통해 백도어(Backdoor)에 감염되는 문제가 발생할 수 있습니다.

확인된 DNS 서버는 네트워크 설정 중 "Internet Protocol Version 4 (TCP/IPv4)" 속성값의 "기본 설정 DNS 서버" 주소를 통신사에서 제공하는 주소가 아닌 "107.183.16.***" IP 주소로 변경하여 동작이 이루어집니다.(※ 유무선 공유기 사용자의 경우 공유기 DNS 서버 주소가 변경되었을 수도 있습니다.)

DNS 서버 주소가 변경된 네트워크 환경에서 사용자가 네이버(Naver) 포털 사이트에 접속할 경우 네이버(Naver) 주소는 동일하지만 실제로는 가짜 사이트로 연결되어 금융감독원 팝업창이 생성되어 다수의 은행 사이트(국민은행, 농협, 신한은행, 우리은행, 하나은행, 우체국, 기업은행, 외환은행, 새마을금고)로 접속을 유도합니다.

참고로 네이버(Naver) 접속시 인터넷뱅킹을 표적으로 하는 범죄조직에서 많이 사용하는 카운터(Counter) 값을 확인할 수 있었습니다.

이를 통해 KB국민은행 웹 사이트에 접속시 동일하게 제작된 가짜 웹 사이트로 접속이 이루어지고 있으며, 추가적으로 이니텍(INITech) ActiveX로 위장한 악성 ActiveX 설치창이 생성되는 동작을 확인할 수 있습니다.

  • h**p://204.**.65.***:802/INITECH.CAB

해당 INITECH.CAB ActiveX는 유효한 "Shenzhen Hua'nan Xingfa Electronic Equipment Firm" 게시자로 서명되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Windows\AxInstSV
C:\Windows\Downloaded Program Files\Safe.INF
C:\Windows\Downloaded Program Files\Safe.ocx

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C680CAB-83A9-43D5-8BEE-8A1A542F2E52}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{39820D08-557A-4967-893C-8FC944F80987}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D09DB1E-9667-4EC2-B170-B9255B5ED8E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Safe.Module
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{045CA883-92DD-4955-88FA-65C0CE77BD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{3C680CAB-83A9-43D5-8BEE-8A1A542F2E52}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/Downloaded Program Files/Safe.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
 - C:\Windows\Downloaded Program Files\Safe.ocx = 1

 

사용자가 ActiveX 설치를 진행할 경우 Safe Module이 설치되며 홍콩(HongKong)에 위치한 "53593***.com (113.10.138.33)" 웹 서버로부터 10개의 URL 값 중에서 추가적인 악성 파일 다운로드를 시도하는 동작을 확인할 수 있습니다.

다운로드된 파일<SHA-1 : c8931991aff7434c4c85ca9d4e953e5c04800c18 - AhnLab V3 : Dropper/Win32.OnlineGameHack, MSE : TrojanDropper:Win32/Farfli.E (VT : 16/51)>은 중국에서 제작된 파일로 보이며, 2014년 4월 25일 오후 7시 39분경 서버에 등록되어 국내에서는 2014년 4월 26일 오전 9시경 유포가 확인된 것으로 추정됩니다.

 

해당 파일에 대한 분석은 해보지 않았지만 키로깅(Keylogging)을 통한 정보 유출 가능성이 있는 백도어(Backdoor) 기능 및 추가적인 악성 파일 다운로드가 존재할 것으로 판단됩니다.(※ 파일 분석 정보는 차후 공개 가능시 제공할 예정입니다.)

가짜 은행 사이트의 경우에는 메뉴를 클릭시 "※ 인터넷 뱅킹 예방서비스 2014.4.14(목) 이후 모든 서비스가 한층더 업그레이드 되었습니다. 이 모든 서비스를 이용하시려면 뱅킹서비스 고객 본인(재)인증후 이용이 가능합니다."라는 메시지 창을 생성합니다.

이를 통해 공인인증센터 페이지로 연결하여 이름, 주민등록번호 입력을 통해 금융 정보(계좌 번호, 비밀번호, 보안카드 등)를 수집하여 금전적 피해를 유발할 수 있습니다.

 

그 외 확인된 은행 파밍(Pharming) 사이트의 모습은 KB국민은행과 동일한 형태로 진행되므로 접속 화면만 보여드리겠습니다.(※ 우체국은 접속시 정상적인 사이트로 연결되었습니다.)

 

(1) 농협

 

(2) 신한은행

 

(3) 우리은행

 

(4) 하나은행

 

(5) 기업은행

 

(6) 외환은행

 

(7) 새마을금고

DNS 변경을 통해 파밍(Pharming) 사이트로 접속이 이루어지는 사용자는 반드시 안티 바이러스(Anti-Virus) 제품을 이용하여 정밀 검사를 통해 감염된 악성 파일을 제거하셔야 하며, 추가적으로 DNS 변경을 통해 정상적인 인터넷 접속이 이루어지도록 수정해야 합니다.

변경을 위해서는 "제어판 → 네트워크 및 인터넷 → 네트워크 및 공유 센터" 메뉴에서 "로컬 영역 연결"을 클릭하여 생성된 "로컬 영역 연결 상태 → 속성" 버튼을 클릭하여 "로컬 영역 연결 속성" 창의 "Internet Protocol Version 4 (TCP/IPv4)" 항목의 속성을 선택하여 "자동으로 IP 주소 받기""자동으로 DNS 서버 주소 받기"를 선택하시기 바랍니다.

 

그 외 유무선 공유기 사용자의 경우에는 공유기 관리자 모드에 접속하여 DNS 서버 설정값이 특정 수동 IP 주소로 변경되어 있는지 확인하시기 바라며, 반드시 공유기 관리자 계정을 설정하여 외부에서 변경을 할 수 없도록 보안 조치를 하시기 바랍니다.

 

마지막으로 DNS 서버 변경 방식은 기존의 호스트 파일(C:\Windows\System32\drivers\etc\hosts, C:\Windows\System32\drivers\etc\hosts.ics) 변조 방식과는 다르게 호스트 파일 보호 기능을 가진 보안 제품을 우회할 수 있기에 주의가 요구됩니다.

  • 박씨 2014.05.06 17:08 댓글주소 수정/삭제 댓글쓰기

    네이버에 접속하니까 <Shenzhen Hua'nan Xingfa Electronic Equipment Firm에서 배포한 'NAVERActiveXControl.cab'추가기능을 설치하려고 합니다>라는 창이 뜨는데요 악성코드에 감염된 것인가요? 네트웍설정에 들어가보니 ip주소는 그대로 있더라구요

    • 현재 어떤 경로를 통해 해당 문제가 발생하는지에 대한 정보가 없습니다.

      만약 공유기를 사용 중인 환경이라면 공유기 관리자 모드에서 DNS 서버 주소가 정상인지 확인하시기 바라며, 만약 특정 IP로 DNS 주소가 변경된 경우에는 공유기 초기화를 진행한 후 비밀번호 지정 등의 보안 설정을 하시기 바랍니다.

      http://hummingbird.tistory.com/5355

  • 멋진혁이 2014.05.06 17:14 댓글주소 수정/삭제 댓글쓰기

    저도 감염된것 같은데 어떻게 해야하나요?

    • 현재 어떤 경로를 통해 해당 문제가 발생하는지에 대한 정보가 없습니다.

      만약 공유기를 사용 중인 환경이라면 공유기 관리자 모드에서 DNS 서버 주소가 정상인지 확인하시기 바라며, 만약 특정 IP로 DNS 주소가 변경된 경우에는 공유기 초기화를 진행한 후 비밀번호 지정 등의 보안 설정을 하시기 바랍니다.

      http://hummingbird.tistory.com/5355

  • mermer 2014.05.17 10:15 댓글주소 수정/삭제 댓글쓰기

    저도 어제 하룻동안 동일한 증상으로 ip, dns 서버 등에는 문제가 없었는데
    사용하는 공유기를 통해 유, 무선 인터넷 사용하는 기기는
    파싱 사이트로 접속이 되더군요 익스/크롬 모두요..
    아직 xp를 사용 중이라 그런가 싶어 포맷 하기 직전에 이것저것 봤는데
    해당 공유기로 wifi 쓰는 안드로이드 휴대폰 단말기에서도 같은 증상!!
    그런데 모바일에서는 3g/4g 망에서는 정상 접속 되어서
    단말기, 컴퓨터 문제가 아니라 공유기 서버망을 통해
    들어올 수 있을까 싶어 인터넷 업체 불러 공유기 좀 봐달라했는데
    오늘은 아침부터 인터넷 모두 정상 작동 -.-;;; 해서 기사님 그냥 가시고~
    일단 포맷 후 동일증상 있을 시에는 공유기 제공 업체에 압박을 해서라도
    다음날 아닌 현상 일어나는 그 날 그 시간에 바로 원격으로 봐달라해야겠습니다~

    • 이 문제는 공유기의 Wi-Fi 환경에서 발생하며 모바일의 3G/4G 환경에서는 발생하지 않습니다.

      그러므로 공유기 사용자라면 반드시 http://hummingbird.tistory.com/5355 게시글을 참고하여 공유기 초기화를 한 후 세부적인 보안 설정(비밀번호 설정, 원격 제어 차단)을 하시기 바랍니다.

  • 갓피아 2014.05.19 10:55 댓글주소 수정/삭제 댓글쓰기

    바이러스제로 카페에서 보고 왔어요.

    근대 이 악성코드는 어떤식으로 감염이 되는건가요?

    그냥 웹상에서 자기도 모르게 감염이 되는건가요?

    아님 누군가가 공유기에 직접 침투해서 이루어지는건가요?

    • 제가 듣기로는 공유기 취약점을 이용한 DNS 변조 방식은 악성코드 감염이 아니라 공유기 보안 설정을 제대로 하지 않은 경우 원격에서 설정을 임의로 수정할 수 있는 취약점이 있는 것으로 보입니다.

      특히 공유기의 원격 제어를 허용한 환경에서 발생 가능한 것 같습니다.

  • 질무 2014.05.19 16:10 댓글주소 수정/삭제 댓글쓰기

    궁금점이 있는데요..

    공유기 설정에서 DNS 서버가 바뀐 것인데

    실제 맨 위의 사진 처럼 호스트 상의 IP4 설정 창에서의 DNS 서버 IP가

    저렇게 변경이 되서 나타나나요?

    • 이 글에서는 공유기 환경으로 테스트한 것이 아니라 공유기 DNS 서버 주소가 변경된 것으로 PC의 네트워크 설정이 변경된 것으로 수정해서 표시한 것입니다. 이해를 돕기 위해서..

      공유기 환경의 경우에는 PC 네트워크 속성값은 변경되지 않고 공유기 관리자 설정의 DNS 서버 주소가 변경되었을 것으로 생각됩니다.

      http://hummingbird.tistory.com/5355

      링크 게시물도 참고해 주시기 바랍니다.