분석 정보/악성코드 분석 정보

[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?

TACHYON & ISARC 2012. 7. 16. 10:21
1. 국내 시중 인터넷 뱅킹용 악성파일 지능화 실제상황


잉카인터넷 대응팀은 국내 인터넷 뱅킹 사용자들을 표적으로 하는 새로운 변종 악성파일이 국내에서 서비스되고 있는 특정 웹하드 사이트의 수동설치파일을 변조하여 추가 유포 중인 정황을 포착하였고, 더불어 다양한 이상징후도 지속적으로 감지되고 있는 상황이다. 공식 확인된 바에 의하면 2012년 07월 16일 오전 09시 경 현재 새로운 변종이 추가로 포함된 채 유포가 진행중인 상태로 파악되었다. 공격자는 이미 다양한 방식으로 신규 악성파일을 불특정다수의 국내 이용자들에게 폭 넓게 전파시키기 위한 시도를 수행하고 있는 상태이고, 웹 해킹을 통한 정상프로그램 변조와 각종 보안취약점 등을 결합하는 등 공격수법이 점차 고도화되고 있다는 점에서 위험수위를 이미 한 단계 넘은 상태라 할 수 있다. 특히, 사용자들의 컴퓨터에 전자금융 사기용 악성파일이 어떠한 경로로 유입되는지 쉽게 인지하기 어려운 방식이 도입되어 사용되고 있고, 공식적인 웹사이트에서 배포 중인 정상 프로그램들이 불법적으로 위변조되어 은밀하게 설치되고 있다는 점에서 잉카인터넷 대응팀은 "긴급 경계 경보"를 자체적으로 발령하고, 보안관제를 강화하는 한편 이상징후를 예의 주시중이다.



2. 공격자 수법의 변화와 핵심

[주의]메모리해킹, 애드웨어와 동영상 플레이어 서버 통해서 지속전파

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

■ nProtect Anti-Virus for KRBanker v5 전용백신 업데이트 (업데이트 2012. 07. 16)
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=317

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294


국내 유수의 시중은행에서 서비스 중인 인터넷 뱅킹 사용자들을 표적으로 하는 악성파일의 공격이 급격하게 증가하고 있어 그 보안 위협이 예상보다 훨씬 크게 가중되고 있다. 그동안 공격자는 스마트폰 이용자들의 개인정보를 다수 수집하여, 불법적으로 단문문자메시지(SMS)를 은행에서 발송한 것처럼 전화번호까지 금융사로 가장한 SMS 피싱을 수행하였다.

대체로 "[보안승급서비스]라는 내용으로 사칭"하여, 치밀하게 조작된 피싱용 거짓 금융사이트로 접속을 유도하고, 전자금융 서비스에 필요한 각종 개인정보를 사용자 스스로 입력하도록 요구하고 불법 탈취를 시도했다. 무엇보다 개인용 보안카드의 모든 번호를 입력하게 하는 등 정상적인 인터넷 뱅킹 서비스에서는 절대로 요구하지 않는 중요자료를 입력하도록 유혹한다는 점을 반드시 유념하고 어떠한 경우라도 보안카드의 모든 번호를 입력하지 않도록 하여야 한다.

초기에 SMS 피싱을 통한 "허위 인터넷 뱅킹 보안승급서비스"는 스마트폰 이용자들을 표적으로 수 차례 공격이 진행된 이후 이제는 더 많은 사용자들의 금융 자산 탈취를 위해서 인터넷 사용자들을 대상으로 한 악성파일 감염 수법으로 진화를 거듭하고 있다. 또한, 정상 동영상 프로그램 위변조 수법과 이용자들이 대체로 많은 파일 공유서비스(토렌트, 웹하드 등)의 가입자들을 주요 표적으로 삼고 있어 전파 범위가 넓어지고 있는 상태이다. 더불어 온라인 게임 계정 탈취용 악성파일들이 주로 사용하고 있는 보안 취약점(Exploit Code)수법도 도입하고 있어 그 위험성이 나날이 증대되고 있는 상황이다. 이것은 결국 불특정다수의 정상적인 웹 사이트 이용자들이 인터넷 뱅킹용 악성파일의 보안위협에 노출될 수 있는 확률이 높아진다는 점이다.

3. 악성파일 유포자의 목표는 불법적 예금 인출

인터넷 뱅킹 사용자 표적용 악성파일 제작자는 금융 서비스에 필요한 개인정보 수집과 탈취를 통해서 인터넷 사용자들의 금융계좌에 불법적으로 접근시도하고 입금되어 있는 예금을 사용자 몰래 훔쳐내기 위한 시도를 끊임없이 수행하고 있다.

지금까지 국내에서 널리 알려진 대표적인 금융 보안위협에는 일명 전화금융사기(보이스피싱)라고 하여 전화통화를 통한 사기수법이 있고, 그외에 실시간 원격제어 기능 등을 사용하는 악성파일(Backdoor)을 사용자 컴퓨터에 감염시켜 피해를 입히는 경우와 정상 금융사이트와 도메인을 유사하게 만든 피싱사이트로 접속을 유인하여 금융정보를 입력하게 유도하고 중간에 탈취하는 방식 등이 널리 알려진 바 있다. 이처럼 모방된 사이트의 경우 도메인 자체가 정상적인 금융사 사이트가 아니기 때문에 일반인이 육안으로 피싱사이트라는 것을 인지하고 유관기관에 신고를 하여 조기에 차단하는 효과가 발휘되는 경우도 많다.

피싱(Phishing)에서 한단계 진일보한 형태라 할 수 있는 파밍(Pharming)은 넓은 의미에서는 피싱의 한 유형으로 그 차이점은 다음과 같다. 피싱은 금융기관 등의 웹 사이트에서 발송한 이메일로 위장하여 수신자로 하여금 가짜 웹 사이트로 접속하도록 유도한 뒤 개인정보를 탈취하는 수법이지만 사용자가 URL 주소를 주의깊게 살펴보면 어느정도 알아차릴 수 있다. 하지만 파밍의 경우 접속된 URL(도메인)주소가 실제 금융기관 웹 사이트 주소와 거의 동일하게 보이기 때문에 아무런 의심없이 중요 금융정보가 노출될 수 있는 우려가 있다. 물론 정상적인 인터넷 뱅킹 사이트의 경우 파밍의 피해를 예방하기 위해서 브라우저의 보안성을 강화하고 HTTPS 암호화 서비스 등을 사용하고 있어서 이러한 점을 유심히 살펴보는 것도 하나의 방법이지만 일반 사용자들이 이 부분을 세심하게 살펴볼 가능성이 그리 높지는 않은 편이다.

4. 웹 하드 서비스의 수동파일 변조 유포

국내 인터넷 뱅킹 이용자들을 표적으로 하는 악성파일은 최근들어 다양한 수법을 활용하고 있다. 추가로 발견된 방식은 정상적인 웹하드 서비스에서 배포 중인 설치(Setup)프로그램을 불법 변조하여 해당 웹하드 가입자들에게 악성파일을 몰래 설치하는 방식이다. 이것은 공격자가 해당 웹 사이트를 해킹하여 서버에 등록되어 있는 정상 설치프로그램을 관리자 몰래 변조한 형태라고 할 수 있으며, 결국 웹 해킹 기술과 결합하여 악성파일을 전파시키는 수법이라고 할 수 있다. 이는 2009년에 발생한 일명 7.7 DDoS 악성파일 유포 수법과 유사한 방식이라 할 수 있다.


해당 설치파일 내부에는 정상적인 웹하드 설치프로그램과 별도로 "btuua.exe" 라는 파일명으로 악성파일이 추가 포함되어 있다. 따라서 이용자가 해당 설치프로그램을 실행하여 설치할 경우 악성파일도 함께 설치되는 구조이다.

"btuua.exe" 파일은 SFX 자동압축해제 파일로 내부에는 "ServiceInstall.exe", "WindowsDirectx.exe" 악성파일이 포함되어 있다. 또한, 추후 www.btuua.com 이라는 인터넷 주소로 접속을 시도하는데 파일명과 도메인 주소가 동일하다. 악성파일 제작자는 악성 파일명을 연결시도하는 도메인 주소와 동일하게 사용하였다.

 
 "WindowsDirectx.exe" 파일은 일본의 특정 호스트로 접속을 시도하며, 통신이 정상적으로 작동될 경우 인터넷뱅킹용 악성파일을 추가로 설치 시도한다.

 



http://www.btuua.com/CONFIG.txt 파일은 다음과 같은 내용을 포함하고 있으며, 1231.exe 파일이 인터넷 뱅킹 표적 기능을 보유하고 있다.
 


5. 호스트파일(hosts) 설정을 악용한 인터넷 뱅킹 피싱 대응

최근 지속적으로 발견되고 있는 인터넷 뱅킹 사용자 표적용 악성파일(변종)은 윈도우 운영체제의 호스트파일 설정 기능을 악용하여 정상적인 인터넷 뱅킹 접속 시도시 피싱사이트로 접속되도록 조작하며, "보안승급서비스" 내용으로 현혹하여 사용자의 중요 금융정보를 직접 입력하도록 만든 후 중간에서 가로채기 하는 수법을 이용하고 있다.

hosts 파일이란 DNS(Domain Name Service)를 이용하지 않고, 윈도우OS가 인터넷 통신을 할 때 DNS보다 hosts 파일을 먼저 참조하는 기능을 이용해서 내부에 설정된 IP주소와 도메인 호스트로 접속하도록 설정된 파일이다.

다만, 악성파일들이 이러한 정상적인 기능을 악용하여 보안업체 사이트로 접속을 방해하거나 조작된 허위 사이트로 접속하도록 하여 개인 정보 탈취에 사용하고 있어 문제가 되고 있다.

윈도우XP 운영체제의 hosts 파일은 다음과 같은 경로에 존재하며 기본적인 설정값에는 127.0.0.1 localhost 라는 내용이 포함되어 있다. 만약 직접 설정한 값이 아닌데, 인터넷 뱅킹용 도메인 주소와 특정 IP주소가 연결되어 있는 경우라면 악성파일에 감염되어 있을 가능성이 매우 높다고 할 수 있다.


인터넷 뱅킹 사용자 표적용 악성파일에 감염되어 있는 hosts 파일의 내용은 다음과 같이 변경되며, IP주소와 도메인 주소 등은 공격자에 의해서 언제든지 변경될 수 있다.


악성파일에 의해서 변경된 호스트 파일은 마이크로 소프트사의 Fit it 50267 프로그램을 이용해서 문제해결을 할 수 있다. 다음 사이트에서 Fix it 단추나 링크를 클릭하고 파일 다운로드 대화 상자에서 실행을 클릭한 후 Fix it 마법사의 단계를 따르면 된다.

※ 호스트 파일을 기본값으로 다시 설정하는 방법
http://support.microsoft.com/kb/972034/ko

6. 인터넷 뱅킹 보안승급(강화) 서비스는 모두 전자 금융사기

인터넷 뱅킹 사용자들의 개인금융 정보를 수집 탈취하기 위해서 "보안승급서비스", "보안강화서비스", "보안카드승급" 등의 내용으로 사용자를 현혹하는 진화된 전자 금융사기가 기승을 부리고 있다. 초기시절에는 스마트폰 이용자들에게는 다음과 같은 방식으로 피싱사이트로 직접 접속을 유도하였고, 현재는 악성파일을 감염시켜 호스트파일을 변조하여 피싱사이트로 접속하도록 만들고 있다.




국내 모든 금융기관에서는 보안승급 등의 이유로 개인금융정보 입력과 다수의 보안카드 번호 입력을 요구하는 서비스는 존재하지 않으므로, 유사한 피해를 입지 않도록 각별한 주의가 필요하다.

 

0123


인터넷 뱅킹에서 보안카드 정보는 그 누구에게도 절대 알려주어서는 안되는 매우 중요한 정보라는 점 잊어서는 안된다. 보안카드의 모든 번호를 요구하는 경우는 금융사기일 가능성이 100%라는 점을 반드시 유념해야 한다.

7. 전자금융 이용자 정보보호 수칙

- 금융회사에서 제공하는 보안프로그램을 반드시 설치한다.
- 전자금융에 필요한 정보는 수첩, 지갑 등 타인에게 쉽게 노출될 수 있는 매체에 기록하지 않고, 타인에게 (금융회사 직원 포함)알려주지 않는다.
- 금융계좌, 공인인증서 등의 각종 비밀번호는 서로 다르게 설정하고 주기적으로 변경한다.
- 금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기로 사용한다.
- 전자금융거래 이용내역을 본인에게 즉시 알려주는 휴대폰 서비스 등을 적극적으로 이용한다.
- 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
- PC방 등 공용장소에서는 인터넷 금융거래를 자제한다.
- 바이러스 백신 등을 이용하고, 최신 윈도우 보안패치를 적용한다.
- 의심되는 이메일이나 게시판의 글은 열어보지 말고, 첨부파일은 열람 또는 저장하기 전에 백신으로 검사해 본다.

참고로 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.

[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/