국내 인터넷뱅킹 정보를 수집할 목적으로 제작된 파밍(Pharming) 악성코드가 시디스페이스(CDSpace) 가상 드라이브 프로그램의 업데이트 서버를 통해 2016년 9월 10일 오후 3시경부터 유포되는 것이 확인되어 살펴보도록 하겠습니다.

 

 

해당 악성코드 감염 방식을 살펴보면 시디스페이스(CDSpace) 구버전이 설치된 환경에서 업데이트를 시도할 경우 "C:\Program Files\CDSpace\CDSpace8\CDSpaceUpdate.exe" 파일이 생성되어 최신 버전으로 패치가 이루어지는 과정에서 다음과 같이 악성 파일이 다운로드될 수 있습니다.

 

  • h**p://update.cdspace.com/CDSpace******/CDSpace8.exe (SHA-1 : 51a1b3f8774f3cd5049c361bed0e93952f7bbc14 - ESET :  a variant of Win32/Spy.Agent.OXX)

 

다운로드된 악성 파일은 외부 서버가 아닌 CDSpace 정식 업데이트 서버에서 다운로드되고 있으며 이는 서버 관리자 권한이 탈취된 것으로 보입니다.

 

 

이를 통해 "C:\Program Files\CDSpace\CDSpace8\CDSpace8.exe" 구버전 파일은 악성 파일로 패치가 이루어집니다.

 

 

패치된 CDSpace8.exe 악성 파일은 Windows 방화벽 설정을 변경하여 외부와의 통신이 차단되지 않도록 "快快游戏" 이름으로 허용 프로그램에 추가합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - CDSpace8 = C:\Program Files\CDSpace\CDSpace8\CDSpace8.exe

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 (사용자 Mac Address) = C:\Program Files\CDSpace\CDSpace8\CDSpace8.exe

또한 기존의 CDSpace8 시작 프로그램 등록값 외에 사용자 Mac Address 값을 기반으로 한 시작 프로그램 항목을 추가하여 Windows 시작 시 "C:\Program Files\CDSpace\CDSpace8\CDSpace8.exe" 악성 파일이 자동 실행되도록 구성합니다.

 

자동 실행된 CDSpace8.exe 악성 파일은 "users.qzone.qq.com" 서비스에 등록된 특정 계정 정보를 체크하여 미국(USA)에 위치한 "98.126.13.26" IP 주소값을 받아옵니다.

 

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
 - AutoConfigURL = http://127.0.0.1:1172/F240ED201BD1CF1C4248E

이를 기반으로 웹 브라우저 실행을 통해 포털 사이트 접속 시 자동 구성 스크립트에 추가된 "127.0.0.1:1172/F240ED201BD1CF1C4248E" 주소를 통해 Proxy Auto-Config (PAC) 스크립트를 체크하도록 구성되어 있습니다.

 

 

난독화된 스크립트에는 15개의 국내 은행 주소가 포함되어 있으며, 사용자가 해당 주소에 접근할 경우 동일하게 제작된 가짜 금융 사이트로 연결하도록 하는 역할을 수행합니다.

 

이는 국내 백신 프로그램들이 파밍(Pharming) 악성코드 대응 방식으로 호스트(Hosts) 파일을 감시함에 따라 호스트 파일 수정없이 가짜 사이트로 연결할 수 있도록 2016년 1월경부터 도입된 방식입니다.

 

 

이를 통해 사용자가 포털 사이트 메인에 접속할 경우 금융감독원 메시지창이 생성되어 보안 인증 절차를 진행하도록 각 은행으로 접속을 유도하는 행위를 확인할 수 있습니다.

 

 

특히 사용자로 하여금 빠른 접근을 하도록 Internet Explorer 웹 브라우저의 홈 페이지 주소를 네이버(Naver)로 변경을 시도합니다.

 

하지만 웹 브라우저에서 표시된 URL 주소와는 다르게 실제로 접속된 네이버(Naver) 메인 페이지 주소는 "www.naver.com.org" 임을 알 수 있습니다.

 

 

또한 금융감독원에 표시된 국내 금융권 주소의 경우에도 웹 브라우저 상에서는 정상적인 URL 주소로 표시가 이루어집니다.

 

  1. KB국민은행 : www.kbstar.com.org
  2. NH농협 : www.nonghyup.com.org
  3. 신한은행 : www.shinhan.com.org
  4. 우리은행 : www.wooribank.com.org
  5. 한국씨티은행 : www.citibank.co.kr.org
  6. 우체국 : www.epostbank.go.kr.org
  7. IBK기업은행 : www.ibk.co.kr.org
  8. KEB하나은행 : www.keb.co.kr.org
  9. 새마을금고 : www.kfcc.co.kr.org
  10. SC제일은행 : www.standardchartered.co.kr.org
  11. 수협 : www.suhyup.co.kr.org
  12. 신협 : www.cu.co.kr.org
  13. 부산은행 : www.busanbank.co.kr.org
  14. 광주은행 : www.kjbank.com.org
  15. 경남은행 : www.knbank.co.kr.org

 

하지만 실제 연결된 금융 사이트 URL 주소는 "98.126.13.26" IP 주소를 통해 연결되는 내부 주소로 구성된 파밍(Pharming) 사이트입니다.

 

 

이를 통해 동일한 디자인을 한 가짜 금융 사이트 접속 시 "보다 안전한 인터넷뱅킹 이용을 위하여 2016년9월10일부로 인터넷뱅킹 스마트폰뱅킹 텔레뱅킹 이 모든 서비스를 이용하시려면 (개인.기업)추가인증을 하신후 이용이 가능합니다" 메시지를 생성하여 다음과 같은 개인/금융 정보를 입력하도록 유도합니다.

 

 

연결된 "전자금융사기예방서비스"에서는 개인정보 및 금융 정보, 보안카드/OTP 인증코드를 모두 입력하도록 한 후 계좌에 입금된 금전을 인출하는 행위가 이루어집니다.

 

 

감염된 CDSpace8.exe 악성코드는 실행 시마다 NPKI 공인인증서를 스캔하여 존재할 경우 "C:\Users\%UserName%\AppData\Local\Temp\DFD2FD\(드라이브명)_npki" 폴더에 복사한 후 임시 폴더(%Temp%)에 ZIP 압축 파일 형태로 저장합니다.

 

이후 "98.126.13.26/bing.php?p" IP 서버로 수집된 공인인증서가 포함된 ZIP 압축 파일을 전송하는 행위를 수행합니다.

 

그러므로 CDSpace 가상 시디 프로그램이 설치된 환경에서는 포털 사이트 접속 시 금융감독원 메시지가 표시될 경우 메모리에 상주하는 CDSpace8.exe 프로세스를 찾아 종료한 후 제어판에서 CDSpace 프로그램을 찾아 제거하시기 바랍니다.

 

또한 "인터넷 옵션 → 연결 (LAN 설정) → 자동 구성 스크립트 사용" 항목에 추가된 URL 주소(127.0.0.1)를 삭제하시고 반드시 체크 해제를 하시기 바랍니다.

 

마지막으로 파밍(Pharming) 악성코드는 일반적인 악성코드와는 다르게 금융감독원 메시지가 표시되는 등 외형적으로 인지할 수 있다는 점에서 사용자가 조금만 관심과 주의를 한다면 설사 감염되어도 금전 피해로 연결되지 않는다는 점에서 인터넷 시대에서 보안에 관심을 조금만 더 가지시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요

  • 철이 2016.09.11 10:37  댓글주소  수정/삭제  댓글쓰기

    오랜만입니다~
    서버탈취라니..심각하군요.
    이번에 V3 파밍 차단 기능으로 차단이 가능할까요?

  • BlogIcon sakai 2016.09.13 13:03  댓글주소  수정/삭제  댓글쓰기

    서버 탈취를 당했군요.아마도 해당 제품 이미지에 조금은 피해가 있지 않을까 생각이 됩니다.

  • BlogIcon 알송달송IT세상 2016.09.17 21:31  댓글주소  수정/삭제  댓글쓰기

    이거 설치했다가 아주 고생했습니다 ㅎㅎ
    인터넷 설정에서 자동스크립트 구성은 윈10에서는 원래대로라서 문제가 없었습니다만 ....
    인터넷 뱅킹 사용해 봤는데 액티브엑스도 일부 잡아 내더군요
    감사히 관련 정보들 배워 갑니다

  • 오오 2016.09.21 13:10  댓글주소  수정/삭제  댓글쓰기

    으... 감사합니다..

  • 감사합니다 2016.11.24 12:03  댓글주소  수정/삭제  댓글쓰기

    감사합니다 하마트면 당할 뻔했네요,, 제가 보안카드 까지는 입력안하고 계좌랑 비밀번호까지는 입력했었는데요, 이거도 비밀번호 바꾸는게 좋을까요??

  • 빙봉빙봉 2016.12.15 21:42  댓글주소  수정/삭제  댓글쓰기

    오늘 데몬툴스 공식 홈페이지에서 다운 받았는데 같은 현상입니다..
    네이버 대문에 꺼지지도 않는 수상한 팝업이 떠서 보다보니 파밍이었네요..
    은행 홈페이지도 꼼짝없이 당할 만큼 정교하게 만들어놨네요
    이상해서 네이버백신으로 검사를 돌렸는데 아무것도 검출되지 않았구요..

    다행히 따로 계좌정보 입력한 것은 없고,
    뒤늦게 벌새님의 글을 읽고 데몬툴스 삭제하고 랜설정 변경하니 네이버사이트 리다이렉팅되는 건 없어졌지만..
    TEMP폴더를 뒤져보니 D_NPKI 등의 폴더가 이미 생성되었더군요.. (DFD2FD폴더는 아니었습니다)
    이미 공인인증서가 유출된거라고 봐야겠죠? ㄷㄷ
    이대로 쓰기는 영 찝찝한데 포맷을 해야할지요?

    • BlogIcon 울지않는 벌새 2016.12.15 21:59 신고  댓글주소  수정/삭제

      현재 확인해봐서는 데몬툴즈보다는 아마도 설치 시 부가적으로 포함된 광고 프로그램을 통해 파밍 악성코드에 노출된게 아닌가 의심됩니다.

      파밍 악성코드의 경우 감염 이후 PC에서 공인인증서를 검색해서 존재할 경우 자동으로 외부로 유출할 수 있으므로 파밍에 감염된 경우에는 인증서를 폐기하고 재발급 받는게 가장 안전합니다.

    • 빙봉빙봉 2016.12.16 08:14  댓글주소  수정/삭제

      정말 감사합니다.
      공인인증 비밀번호 입력은 없었는데도 파일 유출만으로도 악용 가능성이 있나요?
      물론 어떠한 경우라도 안전을 위해 재발급 하겠지만 궁금해서 여쭙니다.

    • BlogIcon 울지않는 벌새 2016.12.16 14:40 신고  댓글주소  수정/삭제

      파밍 악성코드의 핵심은 사용자가 금융 사이트 접속 시 실제로는 가짜 사이트로 연결해서 금융 정보를 입력하게 만드는 부분입니다.

      그러므로 이런 비밀번호 등의 금융 정보를 입력하지 않았다면 수집된 파일로는 금전적 피해를 주기는 힘듭니다.

  • 호오 2017.01.20 10:31  댓글주소  수정/삭제  댓글쓰기

    버전이 8.0.12 버젼이라서 이런일이 몰랐는데... 괜찮겠죠?

  • BlogIcon 레더맨 2019.06.01 11:24 신고  댓글주소  수정/삭제  댓글쓰기

    시디스페이스는 예전에 피시방에서 많이 썼는데 이젠 쓰는 곳이 없을 거 같아요.

    • BlogIcon 울지않는 벌새 2019.06.01 15:48 신고  댓글주소  수정/삭제

      요즘은 가상 CD 프로그램 사용하는 경우가 정말 없을 듯합니다.

    • BlogIcon 레더맨 2019.06.02 23:31 신고  댓글주소  수정/삭제

      패키지 게임은 다운로드 판매가 대세가 돼서 그런 프로그램은 필요 없어진 게 원인이죠. 시디스페이스를 만든 게 이전 회사 이름은 스페이스인터내셔널인데 폐업했고, 현재 회사 이름은 소프팅스인데 직원은 그대로고 이름만 바꿨을지도 모르겠지만 진실은 저 너머에 있어요.