울지않는벌새 : Security, Movie & Society

고클린 업데이트 기능을 이용한 파밍(Pharming) 악성코드 유포 주의 (2015.10.23)

벌새::Analysis

국내 최대 사용자 수를 가지고 있는 고클린(GoClean) PC 최적화 프로그램이 최근 해킹되어 업데이트 서버를 통해 파밍(Pharming) 악성코드를 유포한 것으로 확인되고 있습니다.

고클린 업체는 해당 해킹건과 관련하여 1차 해킹(2015년 10월 22일 오후 6시~8시), 2차 해킹(2015년 10월 23일 오후 3시~4시)을 통해 인터넷뱅킹 정보를 수집하는 파밍(Pharming) 악성코드 유포건을 사과하고 있습니다.

새버전(1.4.5)이 나왔습니다. 업그레이드를 시작합니다.

 

새버전(2.4.4)이 나왔습니다. 업그레이드를 시작합니다.

공개된 정보를 참고하여 감염 방식을 살펴보면 특정 시간대에 고클린 프로그램을 실행할 경우 "고클린 업그레이드" 알림창을 생성하여 확인 버튼을 클릭하도록 유도하였습니다.(※ 공격자가 사용한 고클린 업그레이드 창 문구 및 형식 자체는 기존의 정상적인 고클린 업그레이드 패턴과 동일하게 구성되어 있습니다.)

사용자가 확인 버튼을 클릭할 경우 고클린 업데이트 서버에 등록된 구성값이 변조되어 외부 서버에서 파일을 다운로드 및 자동 실행되도록 구성되어 있습니다.

업데이트 서버에 등록된 정보를 확인해보면 실제 고클린 1.4.5 버전 관련 구성 요소가 모두 포함되어 있으며, 이 중에서 주목할 파일은 GoClean.exe, ReadMe.txt 2개의 파일입니다.

다운로드된 파일들은 기존의 고클린 1.4.4 최신 버전을 패치하며 ReadMe.txt 파일은 GoClean.exe 파일로 변경될 것으로 추정되며, 해당 파일은 고클린 프로그램에서 사용하는 "Irongate Inc" 디지털 서명을 차용하고 있습니다.

업데이트가 완료된 후 사용자가 고클린 프로그램을 실행할 경우 "고클린(GoClean) 버전 1.4.5"로 표시되는 형태로 프로그램이 동작하는 것을 알 수 있습니다.(※ 고클린 1.4.5 버전은 실제로는 존재하지 않습니다.)

 

하지만 위와 같은 허위 업그레이드 과정에서 사용자 몰래 다음과 같은 파밍(Pharming) 악성코드를 감염을 진행합니다.

  • GoClean.exe (SHA-1 : aab0787621531d31c860512b4e29ed07873a93d8) - Microsoft : Backdoor:Win32/Venik.J (VT : 4/56)
  • GoClean.exe (SHA-1 : 5c46c379e9915602dc0256776f98f8d8f065460f) - AhnLab V3 : Malware/Win32.Generic, BitDefender : Gen:Trojan.Heur2.RP.Du1@aK7jwYlj (VT : 11/55)

고클린 업데이트 기능을 통해 확인된 악성코드는 2종으로 확인되고 있으며, 유포 직전 중국(China)에서 AhnLab V3 보안 제품을 대상으로 테스트를 진행한 것으로 추정됩니다.

 

설치 과정을 살펴보면 GoClean.exe 악성 파일 실행을 통해 "C:\Users\(사용자 계정)\AppData\Local\Temp\vmcqp.exe" 파일을 임시 생성하여 다음과 같은 설치를 진행한 후 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 및 진단 정보]

 

C:\guouj :: 숨김(H) 속성, D 드라이브가 존재하는 PC에서는 D 드라이브에 생성 가능

C:\guouj\hhvgx.dll
 - SHA-1 : 2187f50d62cf8fa1b46bcbc93c4ce7808eff54d6
 - BitDefender : Gen:Trojan.Heur.lC9@t0ddRVmi (VT : 14/55)

 

C:\guouj\home.htm
C:\Windows\System32\drivers\etc\hosts :: 파일 수정
C:\Windows\System32\drivers\etc\hosts.ics

해당 악성코드는 C 드라이브 또는 D 드라이브에 랜덤(Random)한 이름을 가진 폴더(5~9자리 영문 소문자 추정)를 생성하여 내부에 (5자리 영문 소문자).dll 악성 파일(파일 설명 : IE plugin image decoder support DLL)을 생성하며, 생성된 악성 DLL 파일은 랜덤(Random)한 Hash값을 가집니다.

특히 생성된 폴더는 Windows 기본값에서 노출되지 않도록 숨김(H) 속성값을 가지고 있으므로 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하시고 찾으시기 바랍니다.

 

또한 생성된 악성 DLL 파일은 AhnLab V3 (ASDSvc.exe), 알약(ALYac) (AYRTSrv.aye) 백신 프로그램의 기능을 무력화를 시도합니다.

  • h**p://107.163.241.195:12354/show.php

이후 미국(USA)에 위치한 "107.163.241.195" IP 서버에서 암호화 처리된 AD.ZIP 압축 파일 포맷을 가진 파일을 다운로드하여 복호화를 통해 다음과 같이 호스트 파일을 변조합니다.

 

참고로 파밍(Pharming) 사이트 접속이 차단되는 것을 예방할 목적으로 감염된 환경에서는 10분 주기로 AD.ZIP 파일을 서버에서 다운로드하여 변경된 IP 정보를 기반으로 호스트 파일을 지속적으로 변조할 수 있습니다.

성공적으로 호스트 파일 변조가 이루어진 경우 국내 금융 사이트, 포털 사이트, 로또 관련 사이트, 인터넷 쇼핑몰 사이트에 접속시 "107.163.159.225 / 23.231.144.50" IP 서버로 연결되도록 구성되어 있습니다.

또한 원활한 서버 접속을 목적으로 통신사에서 제공하는 DNS 서버가 아닌 네임서버(NameServer) 주소를 "기본 설정 DNS 서버 : 127.0.0.1 / 보조 DNS 서버 : 8.8.8.8"로 변경합니다.

이를 통해 사용자가 웹 브라우저를 이용하여 포털 사이트를 접속할 경우 금융감독원 팝업창이 생성되어 다양한 금융 사이트로 접속하도록 유도하는 모습을 확인할 수 있습니다.

예를 들어 감염된 환경에서 국민은행에 접속할 경우 "www.kbstar.com.ki" URL 주소로 연결되어 메뉴를 클릭할 경우 "※ 보다 안전한 인터넷 뱅킹의 이용을 위하여 2014.3.24(월) 인터넷뱅킹, 스마트뱅킹, 폰뱅킹.이 모든 서비스를 이용하시려면 (개인.기업)추가인증후 이용이 가능합니다.※" 메시지 창이 생성됩니다.

이후 보안 프로그램이 동작하는 것처럼 화면을 구성하여 사용자가 정상적으로 금융 사이트에 접속한 것처럼 속입니다.

다음 화면에서는 "전자금융사기 예방서비스" 화면이 표시되어 이름, 주민등록번호, 계좌번호, 계좌비밀번호를 입력하도록 요구합니다.

사용자가 유효한 주민등록번호를 입력하여 정보를 입력한 경우 다음 단계에서는 휴대폰 번호, 아이디(ID), 비밀번호, 이체 비밀번호, 인증서 비밀번호, 보안카드 일련번호, 보안카드 전체 번호를 입력하도록 요구합니다.

만약 보안카드가 아닌 OTP 사용자의 경우에도 일회용 비밀번호를 요구하는 부분도 확인할 수 있습니다.

 

■ 파밍(Pharming) 악성코드 수동 삭제 방법

 

해당 파밍(Pharming) 악성코드에 감염된 경우 정상적인 rundll32.exe 프로세스를 활용하여 악성 DLL 파일을 로딩하는 구조입니다.

그러므로 Windows 작업 관리자를 실행하여 메모리에 상주하는 rundll32.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

이후 C 또는 D 루트 드라이브에 숨김(H) 속성값을 가진 폴더 중 랜덤(Random)한 이름을 가진 폴더를 찾아 내부에 악성 파일(DLL 파일)이 존재한다면 폴더 자체를 삭제하시기 바라며, 악성 파일 여부는 바이러스토탈(VirusTotal) 온라인 서비스에 파일을 업로드하여 확인하시기 바랍니다.

c:\guouj\hhvgx.dll을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다.

위와 같이 악성 폴더(파일)만을 정상적으로 제거한 후 Windows 부팅 과정에서 RunDLL 창이 생성되는 문제가 발생할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - EvtMgr = c:\windows\system32\rundll32.exe "c:\guouj\hhvgx.dll",Getlua

RunDLL 창 생성으로 고생하시는 분들은 레지스트리 편집기(regedit)를 실행하여 시작 프로그램(Run) 등록값 중 EvtMgr 항목이 존재할 경우 삭제하시면 문제가 해결됩니다.

또한 악성 파일 및 레지스트리 값을 모두 제거한 후에도 포털 사이트 접속시 금융감독원 창이 생성되는 경우에는 다음의 변조된 호스트 파일을 반드시 삭제하시기 바랍니다.

  • C:\Windows\System32\drivers\etc\hosts
  • C:\Windows\System32\drivers\etc\hosts.ics

또한 제어판의 "네트워크 및 인터넷 → 네트워크 및 공유 센터" 메뉴를 실행하여 "로컬 영역 연결" 항목을 실행하시기 바랍니다.

 

생성된 "로컬 영역 연결 상태" 창의 "속성" 버튼을 클릭하여 "Internet Protocol Version 4 (TCP/IPv4)" 항목을 더블 클릭하시기 바랍니다.

생성된 속성창에서 "다음 DNS 서버 주소 사용 → 자동으로 DNS 서버 주소 받기"로 변경을 하시기 바랍니다.

 

위와 같은 모든 절차가 완료된 후에는 정상적으로 인터넷 연결 및 포털 사이트 등을 접속시 파밍(Pharming) 사이트로 연결되는 문제가 해결됩니다.

 

이번 고클린(GoClean) 프로그램의 업데이트 기능을 통해 악성코드를 유포 행위는 대규모 사용자를 보유하고 있는 프고그램 업데이트 서버 관리가 그동안 부실하게 이루어지고 있었던 것으로 보이므로, 최근에 고클린 업그레이드 창이 생성된 사용자의 경우에는 반드시 백신 프로그램을 이용한 정밀 검사를 해보시기 바랍니다.