1. 개 요
2. 악성파일 정보
잉카인터넷 대응팀은 국내 인터넷뱅킹용 악성파일(KRBanker)을 제작하여 유포 중인 금융 사이버범죄 조직들의 활동을 지속적으로 추적관제 하고 있다. 그런 가운데 2012년 09월 12일 국내 다수의 웹 사이트를 해킹하여 원격제어(Remote Control) 기능을 탑재한 악성파일을 추가로 배포 중인 정황을 포착하였다. 해당 사이버범죄 조직들은 꾸준히 국내 인터넷 뱅킹 사용자들을 주요 표적으로 원격제어와 피싱(파밍) 기능의 악성파일 변종을 끊임없이 제작하여 유포하고 있다. 이번에 새롭게 변경된 서버에는 실제 인터넷뱅킹용 악성파일이 다수 존재하지만 아직 직접적인 배포는 시작하지 않고 있고, 원격제어 기능을 가진 Gh0st RAT(Remote Administration Tool) 변종을 사용하여 감염된 사용자들의 정보수집 및 원격제어(감시)를 시도하고 있다. 공격자들은 초기부터 KRBanker 종류와 Backdoor 기능의 악성파일을 복합적으로 사용하고 있다.
2. 악성파일 정보
현재 악성파일은 해킹된 국내 다수의 웹 사이트에 IFRAME 코드가 삽입된 형태로 로딩되며, 난독화된 JSXX 0.44 VIP 악성 스크립트(index.html)를 링크하여 실행되도록 만든다.
연결되어 있는 악성 index.html 파일은 다시 JAVA 프로그램의 보안취약점인 CVE-2012-1723 Exploit 코드를 이용하여 사용자 컴퓨터에 악성파일 설치를 시도한다.
보안취약점이 정상적으로 작동되면 사용자 컴퓨터에 "abcdef.exe" 라는 이름의 악성파일이 사용자 몰래 설치되고 실행된다. 악성파일이 실행되면 시스템폴더에 "bits.dll" 이름의 악성파일이 숨김속성으로 설치된다.
"bits.dll" 파일은 svchost.exe 프로세스에 [Background Intelligent Transfer Service] 이름으로 등록되며, 서비스 이름은 BITS 이다.
서비스가 정상적으로 동작하게 되면 IP주소 199.188.105.75 호스트로 접속을 시도하며, 공격자의 추가적인 명령을 대기하게 된다. 해당 악성파일은 중국에서 개발되어 소스코드가 공개되어 있는 Gh0st RAT 종류로 다양한 원격제어 기능을 수행할 수 있다.
공격자는 아래와 같은 서버관리 프로그램을 통해서 악성파일에 감염된 사용자(일명 좀비PC)들을 원격으로 제어할 수 있는 권한을 획득하게 된다. 사용할 수 있는 권한은 다음과 같다.
대표적으로 File Manager (파일 관리자)기능을 통해서 감염된 사용자의 각 드라이브를 검색해 볼 수도 있으며 그외 실시간 스크린캡처, 키로깅, 리모트 쉘 명령, 시스템 프로세스 체크, 웹캠 감시, 오디오 저장, 컴퓨터 종료/재시작, 추가 악성파일 다운로드 등 일반 컴퓨터 사용자가 수행할 수 있는 거의 모든 명령을 공격자가 진행할 수 있다.
3. 마무리
잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.
새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
연결되어 있는 악성 index.html 파일은 다시 JAVA 프로그램의 보안취약점인 CVE-2012-1723 Exploit 코드를 이용하여 사용자 컴퓨터에 악성파일 설치를 시도한다.
보안취약점이 정상적으로 작동되면 사용자 컴퓨터에 "abcdef.exe" 라는 이름의 악성파일이 사용자 몰래 설치되고 실행된다. 악성파일이 실행되면 시스템폴더에 "bits.dll" 이름의 악성파일이 숨김속성으로 설치된다.
"bits.dll" 파일은 svchost.exe 프로세스에 [Background Intelligent Transfer Service] 이름으로 등록되며, 서비스 이름은 BITS 이다.
서비스가 정상적으로 동작하게 되면 IP주소 199.188.105.75 호스트로 접속을 시도하며, 공격자의 추가적인 명령을 대기하게 된다. 해당 악성파일은 중국에서 개발되어 소스코드가 공개되어 있는 Gh0st RAT 종류로 다양한 원격제어 기능을 수행할 수 있다.
공격자는 아래와 같은 서버관리 프로그램을 통해서 악성파일에 감염된 사용자(일명 좀비PC)들을 원격으로 제어할 수 있는 권한을 획득하게 된다. 사용할 수 있는 권한은 다음과 같다.
대표적으로 File Manager (파일 관리자)기능을 통해서 감염된 사용자의 각 드라이브를 검색해 볼 수도 있으며 그외 실시간 스크린캡처, 키로깅, 리모트 쉘 명령, 시스템 프로세스 체크, 웹캠 감시, 오디오 저장, 컴퓨터 종료/재시작, 추가 악성파일 다운로드 등 일반 컴퓨터 사용자가 수행할 수 있는 거의 모든 명령을 공격자가 진행할 수 있다.
3. 마무리
잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.
새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]국내 웹 사이트를 통해서 IE 0-Day (CVE-2012-4969) 공격 진행 중 (0) | 2012.09.19 |
|---|---|
| [주의]새로운 Internet Explorer Zero-Day 취약점 발견 (2) | 2012.09.18 |
| [정보]일본 여성 사용자들을 대상으로 한 안드로이드 악성 애플리케이션 (0) | 2012.09.04 |
| [이슈]국내 인터넷뱅킹 출금시도 목적의 악성파일 경계경보 (0) | 2012.09.04 |
| [긴급]전자금융거래 위협 가속화, 무료백신 업데이트 방해공작 수행 (1) | 2012.08.31 |