분석 정보/악성코드 분석 정보

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도

TACHYON & ISARC 2012. 7. 18. 04:36
1. 개요


잉카인터넷 대응팀은 2012년 07월 18일 새벽 4시 경 국내 인터넷뱅킹 사용자들을 표적으로 제작된 악성파일 변종이 구글 코드(Google Code) 오픈 소스 프로젝트 호스팅 서버를 통해서 추가 유포 중인 것을 확인하였다. 공격자는 악성파일 등록 경유지 도메인을 보다 안전하고 평판 신뢰도를 높이기 위한 목적으로 구글 코드 서버를 사용한 것으로 추정된다. 악성파일은 지금으로부터 약 30시간 전인 2012년 07월 16일 23시 경에 서버에 등록되었으며, 별도의 유포지를 통해서 지금도 계속 배포가 되고 있을 것으로 보여진다. 이번 변종의 경우 호스트파일(hosts) 변조를 통해서 국내 금융권 사이트 접속시 파밍공격 시도를 하는 것 외에 치밀하게 잉카인터넷 nProtect Anti-Virus 제품군과 안랩의 V3 제품군의 업데이트 방해 기능도 추가를 한 상태이다. 

이런 점을 미루어보아 악성파일 제작자는 국내 보안업체들이 적극적으로 대응/차단하고 있다는 점을 인지한 상태로 보이며, 역으로 보안제품의 정상적인 서비스를 수행하지 못하도록 하는 공격형 성향을 보이고 있는 상태이다. 이처럼 국내 인터넷뱅킹 사용자들의 중요 금융정보를 탈취하고 시중 은행계좌에 접근하여 금융사 고객의 예금을 불법적으로 인출하기 위한 시도가 기승을 부리고 있어, 이용자들의 각별한 주의가 필요한 상황이다.



2. 악성파일 관련 정보

[긴급]국내 인터넷 뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

■ nProtect Anti-Virus for KRBanker v5 전용백신 업데이트 (업데이트 2012. 07. 16)
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=317

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294

국내 인터넷뱅킹 사용자의 예금 불법 인출을 목적으로 다양한 방식의 악성파일 유포수법이 발견되고 있다. 이런 가운데 구글 코드(Google Code) 서버 호스팅을 이용한 유포방식이 추가 발견되었고, 현재 이 시간에도 유포가 진행 중인 상태이다.
 


악성파일은 "aax.exe" 라는 파일명이며, 기존과 동일하게 SFX 자동압축해제 형식의 기능을 가지고 있다. 압축파일 내부에는 "ServiceInstall.exe", "WindowsDirectx.exe" 악성파일이 포함되어 있다.

 


해당 악성파일을 사용자가 실행할 경우 시스템폴더 경로에 2가지 파일이 설치되고 실행된다.
 


그 다음에 "WindowsDirectx" 라는 이름으로 윈도우 서비스로 등록되어 작동을 시작하며, 윈도우OS 부팅 시마다 자동으로 실행되도록 만든다.


수십 초 간격으로 일본의 특정 C&C 호스트로 접속을 시도하며, 명령제어 서버와 정상적으로 통신이 되면 CONFIU.txt 라는 파일로 접속을 하고 내부에 포함된 명령어에 따라 추가적인 악성파일을 설치하게 된다.


현재 해당 파일 내부에는 "74.exe" 라는 파일을 임시폴더 경로에 다운로드하고 실행하도록 구성되어 있고, 기존에는 "CONFIG.txt" 라는 파일을 사용했지만 이번에는 "CONFIU.txt" 라고 파일명이 변경된 상태이다.


"74.exe" 파일도 SFX 자동압축해제 방식으로 압축되어 있으며, 내부에는 "CONFIG.INI", "CretClient.exe", "HDSetup.exe" 파일이 포함되어 있고, 윈도우 폴더 경로에 설치된다.



감염동작이 수행되면 호스트파일(hosts)파일을 변조하여 금융권 및 보안업체 등의 정상적인 접속을 가로채기한다.

 

www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com www.wooribank.com wooribank.com pib.wooribank.com bank.keb.co.kr gms.ahnlab.com avs.nprotect2.net www.1.co.kr


3. 호스트파일(hosts) 설정을 악용한 인터넷 뱅킹 피싱 대응

최근 지속적으로 발견되고 있는 인터넷 뱅킹 사용자 표적용 악성파일(변종)은 윈도우 운영체제의 호스트파일 설정 기능을 악용하여 정상적인 인터넷 뱅킹 접속 시도시 피싱사이트로 접속되도록 조작하며, "보안승급서비스" 내용으로 현혹하여 사용자의 중요 금융정보를 직접 입력하도록 만든 후 중간에서 가로채기 하는 수법을 이용하고 있다.

hosts 파일이란 DNS(Domain Name Service)를 이용하지 않고, 윈도우OS가 인터넷 통신을 할 때 DNS보다 hosts 파일을 먼저 참조하는 기능을 이용해서 내부에 설정된 IP주소와 도메인 호스트로 접속하도록 설정된 파일이다.

다만, 악성파일들이 이러한 정상적인 기능을 악용하여 보안업체 사이트로 접속을 방해하거나 조작된 허위 사이트로 접속하도록 하여 개인 정보 탈취에 사용하고 있어 문제가 되고 있다.

윈도우XP 운영체제의 hosts 파일은 다음과 같은 경로에 존재하며 기본적인 설정값에는 127.0.0.1 localhost 라는 내용이 포함되어 있다. 만약 직접 설정한 값이 아닌데, 인터넷 뱅킹용 도메인 주소와 특정 IP주소가 연결되어 있는 경우라면 악성파일에 감염되어 있을 가능성이 매우 높다고 할 수 있다.


인터넷 뱅킹 사용자 표적용 악성파일에 감염되어 있는 hosts 파일의 내용은 다음과 같이 변경되며, IP주소와 도메인 주소 등은 공격자에 의해서 언제든지 변경될 수 있다.


악성파일에 의해서 변경된 호스트 파일은 마이크로 소프트사의 Fit it 50267 프로그램을 이용해서 문제해결을 할 수 있다. 다음 사이트에서 Fix it 단추나 링크를 클릭하고 파일 다운로드 대화 상자에서 실행을 클릭한 후 Fix it 마법사의 단계를 따르면 된다.

※ 호스트 파일을 기본값으로 다시 설정하는 방법
http://support.microsoft.com/kb/972034/ko

nProtect AVS 3.0 제품의 환경설정을 통해서 호스트파일(hosts)을 변조를 사전에 차단할 수도 있다.


4. 전자금융 이용자 정보보호 수칙

- 금융회사에서 제공하는 보안프로그램을 반드시 설치한다.
- 전자금융에 필요한 정보는 수첩, 지갑 등 타인에게 쉽게 노출될 수 있는 매체에 기록하지 않고, 타인에게 (금융회사 직원 포함)알려주지 않는다.
- 금융계좌, 공인인증서 등의 각종 비밀번호는 서로 다르게 설정하고 주기적으로 변경한다.
- 금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기로 사용한다.
- 전자금융거래 이용내역을 본인에게 즉시 알려주는 휴대폰 서비스 등을 적극적으로 이용한다.
- 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
- PC방 등 공용장소에서는 인터넷 금융거래를 자제한다.
- 바이러스 백신 등을 이용하고, 최신 윈도우 보안패치를 적용한다.
- 의심되는 이메일이나 게시판의 글은 열어보지 말고, 첨부파일은 열람 또는 저장하기 전에 백신으로 검사해 본다.

참고로 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.

[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/