1. 개요
잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 하는 악성파일 유포 모니터링을 실시간으로 유지하고 있으며, 현재 이 시간 새로운 변종이 유포시도 중인 정황을 포착하여 "긴급 대응"이 진행되었다. 특히, 이번에는 기존의 은행권외에 기업은행, 우체국, 새마을금고, 하나은행 등이 신규로 공격 사이트로 추가되었다. 또한, 공격자는 유포파일명을 CretClient.exe 에서 adobe_update.exe 으로 변경하였고, HDSetup.exe 에서 ncsoft.exe 이름으로 변경하였다. 기존에 공식적으로 공개하지는 않았지만 악성파일 제작자는 국내 특정 금융권 보안프로그램처럼 아이콘을 위장한 변종을 제작한 적이 있었고, 국내 게임사 또는 Kaspersky 보안업체 등과 관련된 내용으로 위장을 꾸준히 사용하고 있는 실정이다. 더불어 간혹 원격제어 기능 등을 사용할 수 있는 Backdoor 형태의 악성파일을 배포하기도 하였다. 새로운 국내 은행권이 표적에 추가됨에 따라 잉카인터넷 대응팀에서는 각 금융권 고객사에 해당 사실을 알림과 동시에 nProtect Anti-Virus 제품군에 긴급 업데이트를 완료하였다.
2. 악성파일 전파 수법
최근 수개월 사이에 국내 인터넷뱅킹 사용자를 표적으로 하는 악성파일이 100여개 이상의 국내 웹 사이트를 불법적으로 해킹하고, 다수의 보안취약점을 통해서 불특정다수의 접속자에게 은밀히 유포되고 있는 것을 종합적으로 확인한 상태이다. 또한, 정상적인 웹하드나 동영상 관련 설치프로그램을 변조하여 악성파일과 정상파일이 동시에 설치하는 수법도 복합적으로 사용하고 있는 실정이다.
☞ http://erteam.nprotect.com/313
[긴급]국내 인터넷 뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312
[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
■ nProtect Anti-Virus for KRBanker 전용백신 업데이트
☞ http://erteam.nprotect.com/294
☞ http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=317
3. 악성파일 변화 시도
기존까지 발견된 악성파일은 CretClient.exe, HDSetup.exe 파일명을 이용했지만, 이번에 새롭게 발견된 것은 마치 어도브 업데이트 파일(adobe_update.exe)과 국내 특정 게임사 파일(ncsoft.exe)내용으로 위장하고 있다.
또한 CONFIG.INI 파일명은 NEWCONFIG.INI 로 변경되었고, 설치경로도 윈도우폴더 하위의 임시폴더(Temp)로 바뀌었다.
"adobe_update.exe" 파일명은 원본이름이 "CretClient.exe" 라는 것을 등록정보를 통해서 확인할 수 있다.
NEWCONFIG.INI 파일은 기존과 동일하게 가짜 금융사이트로 조작된 피싱사이트 IP주소 값을 포함하고 있다.
악성파일은 호스트(hosts)파일을 변경하여 국내 특정 인터넷뱅킹 사이트의 접속을 피싱사이트로 연결되도록 교체시킨다.
이번에 변경된 호스트파일에는 국민은행, 농협, 신한은행, 우리은행, 외환은행외에 기업은행, 우체국, 새마을금고, 하나은행 등이 추가된 것이 특징이고, 잉카인터넷 등 국내 보안업체에 대한 목록은 제거되었다.
banking.nonghyup.com - 농협
banking.shinhan.com - 신한은행
www.wooribank.com - 우리은행
www.ibk.co.kr - 기업은행 (추가)
mybank.ibk.co.kr - 기업은행 (추가)
www.epostbank.go.kr - 우체국 (추가)
ibs.kfcc.co.kr - 새마을금고 (추가)
www.hanabank.com - 하나은행 (추가)
bank.keb.co.kr - 외환은행
4. 마무리
잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다. 또한, 국내 웹사이트 100여개 이상을 해킹하여 유포한 정황과 이력을 확보하여 종합적으로 분석하고 공격 수법을 역으로 모니터링하고 있는 상태이다.
새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]CVE-2012-1535 취약점 악성파일 증가, Adobe Flash Player 업데이트 권고 (0) | 2012.08.16 |
---|---|
[긴급]국내 정부기관 공직자를 겨냥한 HWP APT 공격 (0) | 2012.08.14 |
[이슈]중국 프랑스 대사관 공직자를 겨냥한 표적공격(APT) 발견 (0) | 2012.08.08 |
[주의]대용량 성인동영상으로 둔갑한 Fusion 악성파일 당신을 노린다. (0) | 2012.08.06 |
[주의]미국 항공우주산업체를 정조준한 표적공격(APT) 발견 (0) | 2012.08.06 |