본문 바로가기

벌새::Analysis

DNS 서버 주소 변경을 통한 파밍(Pharming) 사이트 연결 주의 (2014.4.29)

반응형
● 해당 정보를 공유해주신 바이러스 제로 시즌 2 보안 카페 매니저(ViOLeT)님께 감사드립니다.

 

최근 확인되지 않은 악성코드 감염을 통해 네트워크 설정 중 DNS 서버 주소를 변경하여 포털 사이트 접속시 금융감독원 보안 인증창을 생성하는 행위를 확인하였습니다.

 

이를 통해 사용자가 팝업창에서 표시한 금융기관 접속시 가짜 은행 사이트로 접속을 유도하여 금융 정보를 탈취하며, 추가적인 ActiveX 설치를 통해 백도어(Backdoor)에 감염되는 문제가 발생할 수 있습니다.

확인된 DNS 서버는 네트워크 설정 중 "Internet Protocol Version 4 (TCP/IPv4)" 속성값의 "기본 설정 DNS 서버" 주소를 통신사에서 제공하는 주소가 아닌 "107.183.16.***" IP 주소로 변경하여 동작이 이루어집니다.(※ 유무선 공유기 사용자의 경우 공유기 DNS 서버 주소가 변경되었을 수도 있습니다.)

DNS 서버 주소가 변경된 네트워크 환경에서 사용자가 네이버(Naver) 포털 사이트에 접속할 경우 네이버(Naver) 주소는 동일하지만 실제로는 가짜 사이트로 연결되어 금융감독원 팝업창이 생성되어 다수의 은행 사이트(국민은행, 농협, 신한은행, 우리은행, 하나은행, 우체국, 기업은행, 외환은행, 새마을금고)로 접속을 유도합니다.

참고로 네이버(Naver) 접속시 인터넷뱅킹을 표적으로 하는 범죄조직에서 많이 사용하는 카운터(Counter) 값을 확인할 수 있었습니다.

이를 통해 KB국민은행 웹 사이트에 접속시 동일하게 제작된 가짜 웹 사이트로 접속이 이루어지고 있으며, 추가적으로 이니텍(INITech) ActiveX로 위장한 악성 ActiveX 설치창이 생성되는 동작을 확인할 수 있습니다.

  • h**p://204.**.65.***:802/INITECH.CAB

해당 INITECH.CAB ActiveX는 유효한 "Shenzhen Hua'nan Xingfa Electronic Equipment Firm" 게시자로 서명되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Windows\AxInstSV
C:\Windows\Downloaded Program Files\Safe.INF
C:\Windows\Downloaded Program Files\Safe.ocx

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C680CAB-83A9-43D5-8BEE-8A1A542F2E52}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{39820D08-557A-4967-893C-8FC944F80987}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D09DB1E-9667-4EC2-B170-B9255B5ED8E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Safe.Module
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{045CA883-92DD-4955-88FA-65C0CE77BD45}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{3C680CAB-83A9-43D5-8BEE-8A1A542F2E52}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/Downloaded Program Files/Safe.ocx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
 - C:\Windows\Downloaded Program Files\Safe.ocx = 1

 

사용자가 ActiveX 설치를 진행할 경우 Safe Module이 설치되며 홍콩(HongKong)에 위치한 "53593***.com (113.10.138.33)" 웹 서버로부터 10개의 URL 값 중에서 추가적인 악성 파일 다운로드를 시도하는 동작을 확인할 수 있습니다.

다운로드된 파일<SHA-1 : c8931991aff7434c4c85ca9d4e953e5c04800c18 - AhnLab V3 : Dropper/Win32.OnlineGameHack, MSE : TrojanDropper:Win32/Farfli.E (VT : 16/51)>은 중국에서 제작된 파일로 보이며, 2014년 4월 25일 오후 7시 39분경 서버에 등록되어 국내에서는 2014년 4월 26일 오전 9시경 유포가 확인된 것으로 추정됩니다.

 

해당 파일에 대한 분석은 해보지 않았지만 키로깅(Keylogging)을 통한 정보 유출 가능성이 있는 백도어(Backdoor) 기능 및 추가적인 악성 파일 다운로드가 존재할 것으로 판단됩니다.(※ 파일 분석 정보는 차후 공개 가능시 제공할 예정입니다.)

가짜 은행 사이트의 경우에는 메뉴를 클릭시 "※ 인터넷 뱅킹 예방서비스 2014.4.14(목) 이후 모든 서비스가 한층더 업그레이드 되었습니다. 이 모든 서비스를 이용하시려면 뱅킹서비스 고객 본인(재)인증후 이용이 가능합니다."라는 메시지 창을 생성합니다.

이를 통해 공인인증센터 페이지로 연결하여 이름, 주민등록번호 입력을 통해 금융 정보(계좌 번호, 비밀번호, 보안카드 등)를 수집하여 금전적 피해를 유발할 수 있습니다.

 

그 외 확인된 은행 파밍(Pharming) 사이트의 모습은 KB국민은행과 동일한 형태로 진행되므로 접속 화면만 보여드리겠습니다.(※ 우체국은 접속시 정상적인 사이트로 연결되었습니다.)

 

(1) 농협

 

(2) 신한은행

 

(3) 우리은행

 

(4) 하나은행

 

(5) 기업은행

 

(6) 외환은행

 

(7) 새마을금고

DNS 변경을 통해 파밍(Pharming) 사이트로 접속이 이루어지는 사용자는 반드시 안티 바이러스(Anti-Virus) 제품을 이용하여 정밀 검사를 통해 감염된 악성 파일을 제거하셔야 하며, 추가적으로 DNS 변경을 통해 정상적인 인터넷 접속이 이루어지도록 수정해야 합니다.

변경을 위해서는 "제어판 → 네트워크 및 인터넷 → 네트워크 및 공유 센터" 메뉴에서 "로컬 영역 연결"을 클릭하여 생성된 "로컬 영역 연결 상태 → 속성" 버튼을 클릭하여 "로컬 영역 연결 속성" 창의 "Internet Protocol Version 4 (TCP/IPv4)" 항목의 속성을 선택하여 "자동으로 IP 주소 받기""자동으로 DNS 서버 주소 받기"를 선택하시기 바랍니다.

 

그 외 유무선 공유기 사용자의 경우에는 공유기 관리자 모드에 접속하여 DNS 서버 설정값이 특정 수동 IP 주소로 변경되어 있는지 확인하시기 바라며, 반드시 공유기 관리자 계정을 설정하여 외부에서 변경을 할 수 없도록 보안 조치를 하시기 바랍니다.

 

마지막으로 DNS 서버 변경 방식은 기존의 호스트 파일(C:\Windows\System32\drivers\etc\hosts, C:\Windows\System32\drivers\etc\hosts.ics) 변조 방식과는 다르게 호스트 파일 보호 기능을 가진 보안 제품을 우회할 수 있기에 주의가 요구됩니다.

728x90
반응형