2015년 4월 7일 밤부터 국내 유명 파일 자료실이 해킹되어 다운로드되는 프로그램 파일이 모두 악성 파일로 교체되는 일이 있었다는 소식이 있었습니다.
해당 파일 자료실이 해킹되어 악성 파일 유포가 이루어진 후 업체에서는 일시적으로 사이트 점검을 통해 접속이 이루어지지 않았던 것으로 기억되고 있습니다.
우선 해당 파일 자료실은 2013년 10월 12일경 해킹을 통한 Java 취약점(Exploit)을 이용해 악성코드<SHA-1 : 1b9317aa2cec71a5b7d825b874c9dcbf13d8ed8b - AhnLab V3 : Trojan/Win32.Magania, 알약(ALYac) : Trojan.Generic.AD.09122976 (VT : 47/54)> 유포가 있었던 것으로 기억하고 있으며, 이번에는 자료실에서 다운로드되는 정상적인 파일을 악성 파일로 교체하는 방식으로 유포가 이루어졌습니다.
이번 유포와 관련된 감염 방식을 살펴보면 사용자가 파일 자료실에 게시된 프로그램을 다운로드할 경우 서버에 저장된 악성 파일<SHA-1 : 0068ea5a27a45bffa1cafab38df902f144fbfab1 - AhnLab V3 : Dropper/Win32.Banki.R141666, 알약(ALYac) : Trojan.Dropper.AD.04087768 (VT : 38/56)>이 다운로드 되었으며, 2015년 4월 7일 오후 11시경부터 4월 8일 전후로 유포가 이루어졌을 것으로 추정됩니다.
해당 악성 파일은 유효하지 않은 "Microsoft Corporation" 디지털 서명이 포함되어 있으며, 속성값에서는 "Intel® JPEG Library - Retail Version" 파일로 등록되어 있습니다.
[생성 폴더 / 파일 및 진단 정보]
C:\Users\(사용자 계정)\AppData\Local\Temp\cd6de89c7ddb61bc67e026d53208636d.zip
C:\Users\(사용자 계정)\AppData\Local\Temp\Hs_
C:\o0n212\jvzexmzu.dll
- SHA-1 : 102c7a7e6785a29964a2dfd492ba7fd059c5ecba
- 알약(ALYac) : Spyware.KRBanker.csrss (VT : 24/57)
※ 해당 폴더 및 파일은 (6자리 영문+숫자)\(8자릴 영문+숫자).dll 패턴입니다.
C:\Windows\System32\smwn.ini
감염이 성공적으로 이루어지면 파일 자료실에서 다운로드된 파일은 자동 삭제 처리되며, 루트 드라이브에 숨김(H) 속성값을 가진 (6자리 영문+숫자) 폴더 내에 (8자리 영문+숫자).dll 악성 파일을 생성합니다.
Windows 시작시 다음과 같은 2개의 시작 프로그램 값을 등록하여 다음과 같은 정보를 체크합니다.
- GQ0A2oE2 = rundll32.exe C:\YQqGA4\GQ0A2oE2.dll,PoConSi
- systeo = C:\Windows\System32\svchost.exe
특정 QQ 계정에 등록된 IP 서버 주소(※ 홍콩(Hong Kong)에 등록된 43.249.28.248)를 받아와 사용자가 네이버(Naver) 접속시 해당 IP 서버로 연결하여 가짜 네이버(Naver) 메인 페이지를 노출하며, 사용자의 Mac Address, IP 주소를 체크합니다.(※ 분석 당시 감염자는 7,000대 이상으로 파악되고 있습니다.)
이후 사용자 PC에서 공인인증서(NPKI)를 검색하여 "C:\Users\(사용자 계정)\AppData\Local\Temp" 임시 폴더 영역에 ZIP 압축 파일로 생성한 후 "43.249.28.248" IP 서버로 전송할 수 있습니다.
자동 실행된 시작 프로그램 등록값을 통해 "C:\Windows\System32\rundll32.exe" 시스템 파일을 로딩하여 "C:\o0n212\jvzexmzu.dll" 악성 파일을 추가로 로딩된 "C:\Windows\System32\svchost.exe" 시스템 파일에 매핑하여 메모리에 상주시킵니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
- Start Page = www.naver.com :: 변경 후
감염된 환경에서는 Internet Explorer 웹 브라우저의 홈 페이지 주소를 네이버(Naver)로 변경합니다.
이로 인하여 사용자가 웹 브라우저를 실행하면 자동으로 네이버(Naver) 메인 페이지로 연결이 이루어지며, 화면에서는 금융감독원 배너창이 생성되는 것을 확인할 수 있습니다.
이렇게 연결된 네이버(Naver) 메인 페이지는 실제로는 홍콩(Hong Kong)에 위치한 "43.249.28.248:8020" IP 서버에 등록된 가짜 네이버(Naver) 웹 사이트입니다.
- 가짜 농협은행 : h**p://www.nonghyup.com.r
- 가짜 국민은행 : h**p://www.kbstar.com.r
- 가짜 기업은행 : h**p://www.ibk.co.kr.r
- 가짜 신한은행 : h**p://www.shinhan.com.r
- 가짜 외환은행 : h**p://www.keb.co.kr.r
- 가짜 우리은행 : h**p://www.wooribank.com.r
- 가짜 Standard Chartered : h**p://www.standardchartered.co.kr.r
- 가짜 우체국 : h**p://www.epostbank.go.kr.r
- 가짜 시티은행 : h**p://www.citibank.co.kr.r
- 가짜 광주은행 : h**p://www.kjbank.com.r
- 가짜 대구은행 : h**p://www.dgb.co.kr.r
- 가짜 부산은행 : h**p://www.busanbank.co.kr.r
이를 통해 금융감독원 배너에서 연결하는 12개의 국내 은행 사이트로 접속을 유도하고 있습니다.
만약 사용자가 은행 사이트와 매우 유사하게 제작된 가짜 사이트에 접속하여 메뉴를 클릭할 경우 "※보다 안전한 인터넷 뱅킹 이용을 위하여 2015.1.1(목) 인터넷뱅킹, 스마트뱅킹, 폰뱅킹.이 모든 뱅킹서비스 이용하시려면 (개인.기업) 본인(재)추가인증후 이용이 가능합니다.※" 메시지 창을 생성하여 다음과 같은 연결이 이루어집니다.
연결된 페이지에서는 전자금융사기예방서비스 가입을 위한 이름, 주민등록번호, 사업자 등록번호, 계좌 번호, 계좌 비밀번호를 수집한 후 다음 단계에서는 세부적인 금융 정보와 보안 카드 정보를 수집합니다.
■ 악성코드 제거시 유의 사항
감염된 사용자가 백신 프로그램을 통해 악성 파일만을 제거한 경우 시스템 시작시 RunDLL 창 생성을 통해 "C:\YQqGA4\GQ0A2oE2.dll을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다." 오류창을 생성할 수 있습니다.
그러므로 반드시 레지스트리 편집기(regedit)를 실행하여 시작 프로그램 영역에 등록된 2개의 등록값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- GQ0A2oE2 = rundll32.exe C:\YQqGA4\GQ0A2oE2.dll,PoConSi
- systeo = C:\Windows\System32\svchost.exe
이번 사례와 같이 취약점(Exploit)을 이용한 악성코드 유포가 아닌 정상적인 파일을 악성 파일로 바꿔치기하여 유포하는 경우에는 다운로드된 파일을 바로 실행할 것이 아니라 디지털 서명 및 파일 속성값, 백신을 통한 검사 등을 통해 점검을 하는 습관도 매우 중요할 것입니다.