2014년 10월 26일경부터 국내에서 운영되는 다수의 광고 프로그램을 해킹하여 인터넷뱅킹 및 온라인 게임 계정 정보를 탈취하는 사이버 공격이 활발하게 전개되고 있는 증거가 지속적으로 확인되고 있습니다.
이로인하여 최근 안랩(AhnLab) 진단 통계에서는 Trojna/Win32.killav 진단이 치솟는 상황이 발생하였으며, 부주의하게 국내에서 제작된 광고 프로그램이 설치되는 PC에서는 악성코드 감염에 감염되었을 것으로 추정됩니다.
이번 악성코드 유포에 활용된 광고 프로그램은 티콘(T-Con)을 비롯하여 뉴스플러스(NewsPlus), PCYac, SearchNQ, WingSearch 등 다양한 광고 프로그램의 설치 파일 또는 업데이트 파일이 변조되어 유포가 이루어진 것으로 보입니다.
이에 분석글에서는 2014년 10월 28일에 변조된 뉴스플러스(NewsPlus) 광고 프로그램의 설치 파일<SHA-1 : 82ee2f0b39335bcd727ae4817989708753a88640 - AhnLab V3 : Trojan/Win32.KillAV.R122078, 알약(ALYac) : Trojan.Dropper.OnlineGames.pip, MSE : Trojan:Win32/Estiwir (VT : 31/54)>을 통해 메모리 해킹 악성코드 감염을 통해 인터넷뱅킹 과정에서 금융 정보를 탈취하는 사례에 대해 살펴보도록 하겠습니다.
- C:\Users\(사용자 계정)\AppData\Local\np_setup.exe (SHA-1 : 7dc9ea67b4d2bebed8e3581d10f0ea9be1cff883) :: 뉴스플러스(NewsPlus) 광고 프로그램 설치 파일
- C:\Users\(사용자 계정)\AppData\Local\Temp\89b74.exe (SHA-1 : 021ff70e02d8a52a7e671c3f74dbfe1d6e37870b) - AhnLab V3 : Trojan/Win32.Wgames.R122491, 알약(ALYac) : Trojan.Dropper.OnlineGames.pip (VT : 35/53) :: (5자리 영문+숫자).exe 파일 패턴으로 생성됩니다.
변조된 설치 파일이 실행되면 광고 프로그램과 함께 사용자 몰래 다음과 같은 악성코드가 자동 설치되도록 구성되어 있습니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\89ac8.tmp
- SHA-1 : 82ee2f0b39335bcd727ae4817989708753a88640
- AhnLab V3 : Trojan/Win32.KillAV.R122078 (VT : 31/54)
C:\Users\(사용자 계정)\AppData\Local\Temp\8s2eWqqka :: midimap.dll (정상 파일)
C:\Users\(사용자 계정)\AppData\Local\Temp\A1.zip :: ws2help.dll (정상 파일)
C:\Users\(사용자 계정)\AppData\Local\Temp\B1.zip :: wshtcpip.dll (정상 파일)
C:\Users\(사용자 계정)\AppData\Local\Temp\C1.zip :: version.dll (정상 파일)
C:\Users\(사용자 계정)\AppData\Local\Temp\D1.zip :: midimap.dll (정상 파일)
C:\Users\(사용자 계정)\AppData\Local\Temp\Qyu.dll :: wshtcpip.dll 악성 파일
- SHA-1 : 231e11c28e91ae6deab0adab97bf63e09a4e718e
- AhnLab V3 : Trojan/Win32.OnlineGameHack.R122444 (VT : 21/54)
- 알약(ALYac) : Spyware.OnlineGames.pip
C:\Users\(사용자 계정)\AppData\Local\Temp\wbHbwrY.dll
- SHA-1 : 8011f0f3264c2c0caa97d15565bc3ddb206a42a2
- AhnLab V3 : Trojan/Win32.OnLineGames.R122005 (VT : 27/54)
C:\Users\(사용자 계정)\AppData\Local\Temp\wuOyWs.dll
- SHA-1 : 00b5c06ab66a7fff44c30011a557a8c05896ff42
- BitDefender : Gen:Variant.Zusy.112306 (VT : 20/53)
C:\Users\(사용자 계정)\AppData\Local\Temp\yhsys
C:\Users\(사용자 계정)\AppData\Local\Temp\yhsys\doit.rar
- SHA-1 : 317cc83a42047b9d84008e32afd4b6d19ebfda7d
- Hauri ViRobot : Bin.S.Agent.729259 (VT : 2/54)
C:\Windows\System32\drivers\6da825cc.sys
- SHA-1 : 99bab23f4935449d4ac2927d531c0d0bfd93474c
- AhnLab V3 : Trojan/Win32.OnLineGames.R122369 (VT : 20/52)
- 알약(ALYac) : Trojan.KillAV.sysdll
C:\Windows\System32\midimap.dll :: 패치된 시스템 파일(= wbHbwrY.dll)
- SHA-1 : 8011f0f3264c2c0caa97d15565bc3ddb206a42a2
- AhnLab V3 : Trojan/Win32.OnLineGames.R122005 (VT : 27/54)
C:\Windows\System32\ntbsGa :: WSHTCPIP.DLL (정상 파일)
C:\Windows\System32\ws2tcpip.dll :: WSHTCPIP.DLL (정상 파일), = ntbsGa
C:\Windows\System32\wshtcpip.dll :: = Qyu.dll
- SHA-1 : 231e11c28e91ae6deab0adab97bf63e09a4e718e
- AhnLab V3 : Trojan/Win32.OnlineGameHack.R122444 (VT : 21/54)
- 알약(ALYac) : Spyware.OnlineGames.pip
[삭제 파일]
C:\Windows\System32\WSHTCPIP.DLL
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID :: 알약(ALYac) : Trojan.Dropper.OnlineGames.ver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\6da825cc
악성코드 감염 과정에서 사용자 PC 정보(Mac Address, 운영 체제(OS) 종류, 보안 제품 사용 여부, 버전 등)를 수집하여 미국(USA)에 위치한 "66.79.183.142" IP 서버에 전송합니다.
또한 악성코드 감염 과정에서 AhnLab V3 Lite, 알약(ALYac), 네이버 백신(Naver Vaccine)과 같은 안티 바이러스(Anti-Virus) 제품 무력화 기능을 수행하며, "C:\Windows\System32\drivers\6da825cc.sys" 악성 드라이버 파일(※ 설치시마다 해시값 변경) 을 통해 지속적으로 백신 무력화를 수행할 수 있습니다.
1. 브라우저 도우미 개체(BHO) 삭제
- C:\Program Files\Java\jre7\bin\jp2ssv.dll (삭제)
- C:\Program Files\Java\jre7\bin\ssv.dll (삭제)
해당 악성코드에 감염된 PC 환경에서는 Internet Explorer 웹 브라우저의 브라우저 도우미 개체(BHO) 레지스트리 키값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects) 삭제 및 등록 파일을 삭제하여 자신의 동작에 방해되지 않도록 변경합니다.
2. "C:\Windows\System32\wshtcpip.dll" 악성 파일
해당 악성코드는 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일<Winsock2 도우미 DLL (TL/IPv4)>을 삭제 처리한 후 동일한 파일명을 가진 "C:\Windows\System32\wshtcpip.dll" 악성 파일(mndll DLL)을 생성하여 웹 브라우저 동작시 자동 로딩되어 악의적 기능을 수행합니다.(※ 해당 악성 파일은 생성시마다 해시값이 변경됩니다.)
또한 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일의 정상적인 기능 수행을 위해 "C:\Windows\System32\ws2tcpip.dll" 파일로 복제 생성하여 동작을 구현하고 있습니다.
해당 악성 파일은 농협(banking.nonghyup.com), 우리은행(wooribank.com), 외환은행(keb.co.kr) 3곳을 표적으로 제작되어 있는 것을 확인할 수 있습니다.
인터넷뱅킹 관련 악성코드 개념
일반적인 인터넷뱅킹 악성코드는 감염된 환경에서 포털 사이트 접속시 호스트 파일 변조를 통해 가짜 포털 사이트로 접속을 하여 금융감독원 팝업창을 생성하여 다수의 가짜 금융 사이트로 접속을 유도하는 구조입니다.
하지만 메모리 해킹 악성코드는 감염된 환경에서 금융 사이트 접속시 정상적으로 인터넷뱅킹을 이용할 수 있으며, 이 과정에서 계좌 번호 교체 또는 고의적인 오류를 유발하여 보안 카드 번호 또는 전체 번호를 입력하도록 할 수 있는 고도화된 공격 방식입니다.
실제 해당 메모리 해킹 악성코드에 감염된 환경에서는 정상적인 우리은행 웹 사이트 접속을 통해 보안 솔루션 동작 및 인터넷뱅킹 서비스를 이용할 수 있는 것처럼 동작하므로 사용자를 매우 쉽게 속일 수 있습니다.
하지만 금융 사이트에서 제공하는 AhnLab Online Security (AOS) 보안 솔루션을 통해 감염 여부를 눈치챌 수 있는 부분이 있는데, 실행된 AOS의 PC 검사 메뉴를 실행할 경우 정상적으로 업데이트가 이루어지지만 메인 화면이 잠시 생성된 후 자동으로 사라지는 증상을 통해 악성코드 검사를 방해하고 있습니다.
해당 메모리 해킹 악성코드는 금융 사이트에서 배포하는 악성 프로그램에 의해 웹 페이지가 변조되는 것을 차단해주는 보안 브라우저 솔루션(INISAFE SandBox)의 취약점을 이용하여 성공적으로 특정 페이지를 변조할 수 있는 것으로 보입니다.
이를 통해 인터넷뱅킹 과정에서 입력되는 공인인증서(SignCert.der, SignPri.key), 공인인증서 비밀번호, 계좌 비밀번호, 이체 비밀번호, 보안 카드 정보 등 금융 정보를 수집하여 외부로 유출할 수 있습니다.
위와 같은 정보 입력을 유도한 후 최종적으로 인터넷뱅킹 과정에서 오류 메시지를 생성하여 시간을 벌어 수집된 정보를 바탕으로 계좌 이체를 통한 금전적 피해를 유발할 수 있습니다.
3. 악성코드 제거 방법
이번에 확인된 악성코드의 경우 사용자가 파일을 잘못 삭제할 경우 인터넷을 이용할 수 없는 문제가 발생할 수 있으며, 일부 안티 바이러스(Anti-Virus) 제품 중에서도 파일 진단을 통한 삭제를 하는 과정에서 패치된 시스템 파일을 치료하지 못할 수 있으므로 주의하시기 바랍니다.(※ 이 글에서는 핵심적인 시스템 파일을 복구하는 방법에 대해서만 다루도록 하겠습니다.)
(1) "C:\Windows\System32\midimap.dll" 악성 파일 치료 방법
정상적인 시스템에서 필수적으로 존재하는 "C:\Windows\System32\midimap.dll" 시스템 파일(Microsoft MIDI Mapper)이 악성코드 감염으로 인해 파일 자체가 Windows 7 운영 체제를 기준으로 "16,896KB (정상 파일) → 18,432KB (악성 파일)" 형태로 패치됩니다.
패치된 midimap.dll 악성 파일의 속성값으로는 감염 여부를 판단하기 매우 어려우므로, 만약 보안 제품에서 해당 파일을 진단할 경우에는 파일 삭제 후 정상적인 midimap.dll 시스템 파일을 추가해야 합니다.
"C:\Windows\System32\midimap.dll" 시스템 파일 패치를 위해 악성코드 감염시 "C:\Users\(사용자 계정)\AppData\Local\Temp" 폴더 내에 확장자가 존재하지 않는 파일 형태로 백업을 해두므로 사용자가 확장자가 없는 파일의 속성값을 확인하여 "Microsoft MIDI Mapper" 파일을 찾으시기 바랍니다.
수집된 파일(Microsoft MIDI Mapper)의 이름을 midimap.dll 파일명으로 변경한 후 "C:\Windows\System32\midimap.dll" 악성 파일은 삭제한 후 관리자 권한으로 "C:\Windows\System32" 시스템 폴더 내에 복사(이동)하시면 문제를 해결할 수 있습니다.
(2) "C:\Windows\System32\wshtcpip.dll" 악성 파일 치료 방법
인터넷 통신과 관련된 기능을 담당하는 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일<Winsock2 도우미 DLL (TL/IPv4)>이 삭제된 경우에는 인터넷 연결이 이루어지지 않는 치명적인 문제가 발생하므로 악성 파일 삭제 후에는 반드시 정상적인 파일로 복구를 해야 합니다.
(a) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 "C:\Windows\System32\wshtcpip.dll" 악성 파일을 "C:\Windows\System32\wshtcpip.dll-Malware" 형태로 파일 이름을 변경하시기 바랍니다.
(b) "C:\Windows\System32\ws2tcpip.dll" 파일을 찾아 파일명을 WSHTCPIP.DLL 파일명으로 변경한 후 Windows 재부팅을 진행하시기 바랍니다.
(c) Windows 재부팅 이후에는 "C:\Windows\System32\wshtcpip.dll-Malware" 악성 파일을 찾아 삭제하시기 바랍니다.
■ 총평
위와 같이 특정 인터넷뱅킹 서비스를 표적으로 정밀하게 제작된 메모리 해킹 악성코드는 국내 인터넷 사용자들이 부주의하게 설치가 쉽게 이루어지는 광고 프로그램을 통해 유포가 이루어지고 있다는 점에서 파급 효과가 매우 클 수 있습니다.
유포 관련 정보를 확인하던 중 특정 광고 업체에서 운영하는 서버에 저장된 다양한 광고 프로그램 파일이 2014년 10월 27일 동일한 시간대에 악성 파일로 변경된 것을 발견할 수 있을 정도로 공격자는 더욱 쉬운 감염 방식을 찾고 있습니다.
PC를 이용하는 과정에서 자신의 부주의로 설치된 광고 프로그램이 단순히 인터넷 검색 및 웹 사이트 접속시 광고창을 생성하여 불편함을 주는 프로그램으로만 인식하고 방치할 경우, 자신도 모르게 업데이트 또는 새로운 광고 프로그램이 설치되는 과정에서 위와 같은 정교한 악성코드에 노출될 수 있습니다.
그러므로 PC 사용에 전혀 도움을 주지 않으며 사용자의 눈을 속여 설치를 강요하는 광고 프로그램이 설치되지 않도록 각별히 주의하시기 바라며, 주기적으로 설치된 프로그램을 검사하여 광고 프로그램을 찾아 삭제하는 현명한 PC 사용자가 되시기 바랍니다.