1. 개요
금번 금융보안 위협은 2012년 06월 초에 처음 공식보고된 이후 2달 넘게 끊임없이 변종이 제작유포되고 있어 각별한 주의가 필요하며, 지난 주말기간 수십여개 이상의 웹 사이트가 해킹되어 보안취약점 등을 통해서 집중 유포되었다는 점에서 다수의 감염피해가 발생하고 있을 것으로 예상되고 있다. 국내 인터넷뱅킹 이용자들은 이러한 점을 명심하고 유사한 악성파일에 감염노출되지 않도록 꾸준한 사전 예방활동이 필요하고, 예기치 못한 피해를 입지 않도록 적절한 보안안전수칙을 준수하여 중요 금융자산이 불법인출되는 사고로 이어지지 않도록 각별한 주의가 필요한 때이다.
2. 악성파일 전파 수법
악의적 공격자들은 좀더 다양하고 많은 사용자들에게 악성파일을 감염시키기 위해서 다각적인 수법을 이용하고 있다. 대표적으로 웹하드나 토렌트와 같은 파일공유 사이트의 정상프로그램이나 동영상 재생용 프로그램 등을 불법적으로 해킹하고 위변조하여 악성파일을 몰래 추가포함시키거나 웹 사이트의 보안취약점을 이용하여 해킹된 사이트에 보안이 취약한 사용자가 접속시 자동으로 악성파일이 설치되도록 하는 수법이 발견된 바 있다.
잉카인터넷 대응팀의 집중 보안관제에 의하면 2012년 08월 18일 토요일 새벽, 주말이 시작되는 시점부터 국내의 수십여개 이상의 웹 사이트가 해킹되어 변형된 악성파일이 전파시도 중인 정황을 포착하여 휴일 긴급대응이 진행되었다.
지난 주말 기간 불특정 다수의 국내 웹 사이트가 해킹되어 악의적인 스크립트 코드가 포함되었고, 보안이 취약한 사용자가 접속할 경우 악성파일에 자동으로 감염되고, 대부분의 이용자들은 자신이 감염된 사실 자체를 인지하기 어렵다. 자체 조사로 파악된 바에 의하면 여행사, 신문사, 교회, 카메라 판매사이트, 고등학교 총동문회 등등 국내 다수의 웹 사이트를 통해서 악성파일이 전파 중이며, 공격자는 지속적으로 유포범위를 확대시키고 있는 상태이다.
대표적인 방법으로 실제 유포 중인 사례를 하나 공개한다면 아래 화면은 접속시 악성파일이 설치되는 곳으로 국내 모 고등학교 총동문회 사이트이다.
상기 사이트의 특정 주소에는 불법적으로 해킹되어 아래와 같이 아이프레임(iframe src) 명령어가 포함된 것을 확인할 수 있고, 해당 사이트를 통해서 또 다른 중개지로 연결된다.
아이프레임으로 연결된 웹 사이트에는 Flash Player 프로그램과 JAVA 취약점 등을 이용하는 난독화된 Exploit Code 파일을 포함하고 있으며, 사용자가 보안취약점을 가지고 있는 경우 악성파일에 자동으로 감염되게 된다.
암호화로 난독화된 JSXX 0.44 VIP Exploit 스크립트 기법은 중국에서 제작된 것으로 Dadong 이라고도 알려져 있는데, 이것은 중국어로 공격을 의미하는 Gondad 를 거꾸로 표기한 것이다.
악성 스크립트가 정상적으로 작동되고, 보안취약점이 실행되면 특정 사이트에 등록되어 있는 악성파일이 다운로드되고 실행된다. 그 다음에 윈도우 임시폴더(Temp) 경로에 다음과 같은 악성파일을 생성한다.
더불어 호스트(hosts) 파일을 수정하여 국내 인터넷뱅킹 사이트 접속시 피싱용 사이트로 접속되도록 IP주소를 변경한다. 현재 IP주소는 계속해서 변경된 변종이 제작되어 유포 중에 있다.
악성파일에 감염되어 호스트파일(hosts)이 변경된 상태에서 정상적인 인터넷뱅킹 웹 사이트 주소(도메인)로 접속을 하여도 브라우저는 가짜 웹 사이트 IP주소로 접속을 하게된다. 그렇지만 사용자에게 보여지는 도메인주소는 정상적인 웹 사이트 주소와 동일하기 때문에 육안상으로 쉽게 악성여부를 판별하기는 거의 불가능에 가깝다.
실제 악성파일에 감염된 상태에서 해당 인터넷뱅킹 사이트에 접속시 다음과 같이 피싱사이트서버가 존재하는 미국의 호스트로 접속되는 것을 알 수 있다.
다음 화면은 악성파일에 감염되었을 때 보여지는 허위 보안승급서비스 이미지이며, 각 은행사마다 조금씩 다르게 사용되고 있다. 공격자는 지속적으로 이미지와 내용을 변경할 수 있지만, 이런 형태로 위장하고 있다는 것을 기억해 두면 좋겠다.
다음 화면은 실제 악성파일에 감염된 경우 사용자의 공인인증서(NPKI)파일이 외부로 유출되는 과정을 테스트한 화면 중 일부이다. 악성파일은 사용자의 공인인증서가 컴퓨터에 보관되어 있을 경우 외부로 유출을 시도한다.
금번 금융보안 위협은 2012년 06월 초에 처음 공식보고된 이후 2달 넘게 끊임없이 변종이 제작유포되고 있어 각별한 주의가 필요하며, 지난 주말기간 수십여개 이상의 웹 사이트가 해킹되어 보안취약점 등을 통해서 집중 유포되었다는 점에서 다수의 감염피해가 발생하고 있을 것으로 예상되고 있다. 국내 인터넷뱅킹 이용자들은 이러한 점을 명심하고 유사한 악성파일에 감염노출되지 않도록 꾸준한 사전 예방활동이 필요하고, 예기치 못한 피해를 입지 않도록 적절한 보안안전수칙을 준수하여 중요 금융자산이 불법인출되는 사고로 이어지지 않도록 각별한 주의가 필요한 때이다.
2. 악성파일 전파 수법
악의적 공격자들은 좀더 다양하고 많은 사용자들에게 악성파일을 감염시키기 위해서 다각적인 수법을 이용하고 있다. 대표적으로 웹하드나 토렌트와 같은 파일공유 사이트의 정상프로그램이나 동영상 재생용 프로그램 등을 불법적으로 해킹하고 위변조하여 악성파일을 몰래 추가포함시키거나 웹 사이트의 보안취약점을 이용하여 해킹된 사이트에 보안이 취약한 사용자가 접속시 자동으로 악성파일이 설치되도록 하는 수법이 발견된 바 있다.
[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
☞ http://erteam.nprotect.com/320
[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313
[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312
[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258
☞ http://erteam.nprotect.com/320
[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313
[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
☞ http://erteam.nprotect.com/312
[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
☞ http://erteam.nprotect.com/311
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
☞ http://erteam.nprotect.com/299
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258
잉카인터넷 대응팀의 집중 보안관제에 의하면 2012년 08월 18일 토요일 새벽, 주말이 시작되는 시점부터 국내의 수십여개 이상의 웹 사이트가 해킹되어 변형된 악성파일이 전파시도 중인 정황을 포착하여 휴일 긴급대응이 진행되었다.
지난 주말 기간 불특정 다수의 국내 웹 사이트가 해킹되어 악의적인 스크립트 코드가 포함되었고, 보안이 취약한 사용자가 접속할 경우 악성파일에 자동으로 감염되고, 대부분의 이용자들은 자신이 감염된 사실 자체를 인지하기 어렵다. 자체 조사로 파악된 바에 의하면 여행사, 신문사, 교회, 카메라 판매사이트, 고등학교 총동문회 등등 국내 다수의 웹 사이트를 통해서 악성파일이 전파 중이며, 공격자는 지속적으로 유포범위를 확대시키고 있는 상태이다.
대표적인 방법으로 실제 유포 중인 사례를 하나 공개한다면 아래 화면은 접속시 악성파일이 설치되는 곳으로 국내 모 고등학교 총동문회 사이트이다.
상기 사이트의 특정 주소에는 불법적으로 해킹되어 아래와 같이 아이프레임(iframe src) 명령어가 포함된 것을 확인할 수 있고, 해당 사이트를 통해서 또 다른 중개지로 연결된다.
아이프레임으로 연결된 웹 사이트에는 Flash Player 프로그램과 JAVA 취약점 등을 이용하는 난독화된 Exploit Code 파일을 포함하고 있으며, 사용자가 보안취약점을 가지고 있는 경우 악성파일에 자동으로 감염되게 된다.
암호화로 난독화된 JSXX 0.44 VIP Exploit 스크립트 기법은 중국에서 제작된 것으로 Dadong 이라고도 알려져 있는데, 이것은 중국어로 공격을 의미하는 Gondad 를 거꾸로 표기한 것이다.
악성 스크립트가 정상적으로 작동되고, 보안취약점이 실행되면 특정 사이트에 등록되어 있는 악성파일이 다운로드되고 실행된다. 그 다음에 윈도우 임시폴더(Temp) 경로에 다음과 같은 악성파일을 생성한다.
- adobe_update.exe
- ncsoft.exe
- NEWCONFIG.INI
- ncsoft.exe
- NEWCONFIG.INI
더불어 호스트(hosts) 파일을 수정하여 국내 인터넷뱅킹 사이트 접속시 피싱용 사이트로 접속되도록 IP주소를 변경한다. 현재 IP주소는 계속해서 변경된 변종이 제작되어 유포 중에 있다.
66.85.186.45 ==========> 피싱(파밍)용 IP 주소 (변종에 따라 계속 변경되고 있음)
www.kbstar.com ==========> 국민은행
banking.nonghyup.com ==========> 농협
banking.shinhan.com ==========> 신한은행
www.wooribank.com ==========> 우리은행
www.ibk.co.kr ==========> 기업은행
mybank.ibk.co.kr ==========> 기업은행
www.epostbank.go.kr ==========> 우체국예금
ibs.kfcc.co.kr ==========> 새마을금고
www.hanabank.com ==========> 하나은행
bank.keb.co.kr ==========> 외환은행
www.kbstar.com ==========> 국민은행
banking.nonghyup.com ==========> 농협
banking.shinhan.com ==========> 신한은행
www.wooribank.com ==========> 우리은행
www.ibk.co.kr ==========> 기업은행
mybank.ibk.co.kr ==========> 기업은행
www.epostbank.go.kr ==========> 우체국예금
ibs.kfcc.co.kr ==========> 새마을금고
www.hanabank.com ==========> 하나은행
bank.keb.co.kr ==========> 외환은행
악성파일에 감염되어 호스트파일(hosts)이 변경된 상태에서 정상적인 인터넷뱅킹 웹 사이트 주소(도메인)로 접속을 하여도 브라우저는 가짜 웹 사이트 IP주소로 접속을 하게된다. 그렇지만 사용자에게 보여지는 도메인주소는 정상적인 웹 사이트 주소와 동일하기 때문에 육안상으로 쉽게 악성여부를 판별하기는 거의 불가능에 가깝다.
실제 악성파일에 감염된 상태에서 해당 인터넷뱅킹 사이트에 접속시 다음과 같이 피싱사이트서버가 존재하는 미국의 호스트로 접속되는 것을 알 수 있다.
대부분의 가짜 웹 사이트에서는 실제 존재하지 않는 [보안승급서비스]라는 미명아래 사용자 정보 입력을 유도하게 된다. 아래는 최근까지 사용되는 허위 보안승급서비스 이미지이므로, 이런 화면을 유심하게 살펴두고 기억해 두면 유사한 보안위협 예방에 도움이 될 수 있다.
정상적인 인터넷 뱅킹 사이트에서는 어떤 이유로든 사용자의 중요 개인정보를 모두 입력하도록 유도하지 않으므로 이점을 유념하는 것이 중요하며, 특히 보안승급서비스라는 것은 모두 가짜라는 점을 잊지 말아야 한다.
정상적인 인터넷 뱅킹 사이트에서는 어떤 이유로든 사용자의 중요 개인정보를 모두 입력하도록 유도하지 않으므로 이점을 유념하는 것이 중요하며, 특히 보안승급서비스라는 것은 모두 가짜라는 점을 잊지 말아야 한다.
다음 화면은 악성파일에 감염되었을 때 보여지는 허위 보안승급서비스 이미지이며, 각 은행사마다 조금씩 다르게 사용되고 있다. 공격자는 지속적으로 이미지와 내용을 변경할 수 있지만, 이런 형태로 위장하고 있다는 것을 기억해 두면 좋겠다.
다음 화면은 실제 악성파일에 감염된 경우 사용자의 공인인증서(NPKI)파일이 외부로 유출되는 과정을 테스트한 화면 중 일부이다. 악성파일은 사용자의 공인인증서가 컴퓨터에 보관되어 있을 경우 외부로 유출을 시도한다.
3. 마무리
잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다. 또한, 국내 웹사이트 100여개 이상을 해킹하여 유포한 정황과 이력을 확보하여 종합적으로 분석하고 공격 수법을 역으로 모니터링하고 있는 상태이다.
새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장 (3) | 2012.08.23 |
|---|---|
| [정보]SMS Zombie로 일컬어지는 중국발 안드로이드 악성 애플리케이션 (0) | 2012.08.21 |
| [긴급]CVE-2012-1535 취약점 악성파일 증가, Adobe Flash Player 업데이트 권고 (0) | 2012.08.16 |
| [긴급]국내 정부기관 공직자를 겨냥한 HWP APT 공격 (0) | 2012.08.14 |
| [긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가 (0) | 2012.08.09 |