1. 금융감독원 팝업으로 사칭한 금융사기 주의
이러한 악성파일에 감염될 수 있는 성립조건을 최소화하기 위해서는 이미 널리 알려져 있는 보안취약점을 모두 제거하는 것이 필수이다. 우선 □ MS Windows 운영체제와 응용프로그램 등을 최신 서비스팩 설치와 함께 보안업데이트를 수행하며, □ Adobe사의 Flash Player, Reader(PDF) 등을 최신버전으로 업데이트한다. 그 다음으로 □ JAVA 프로그램 이용자의 경우 최신버전으로 업데이트한다. 해당 프로그램들은 수시로 최신버전이 제공 중에 있으므로, 자동 업데이트로 설정하여 사용하거나 최소 2주~4주에 한번 정도는 정기적으로 최신 업데이트 여부를 체크하고 설치하는 노력이 중요하다.
2. 시간과의 싸움! 조급한 인터넷 뱅킹용 악성파일?
국내 웹 사이트를 통해서 전파 중인 악성파일 중에 인터넷 뱅킹 이용자들을 노린 형태가 수시로 발견될 정도로 공격자들이 유포에 집중하고 있다. 사이버 범죄자들은 인터넷 뱅킹용 악성파일(KRBanker)과 피싱/파밍 사이트를 통해서 예금자의 중요 금융정보를 훔쳐내고, 불법적인 과정을 거쳐 악성파일에 감염된 이용자들의 예금인출 범행 시도로 이어지고 있는 상황이다.
그동안 보고되었던 악성파일들은 대체로 주요 금융사이트나 보안업체들을 상대로 호스트파일(hosts)을 변조하여 가짜 금융사이트(피싱/파밍)로 접속을 유도하거나 보안프로그램의 업데이트를 방해하기 위한 시도 등으로 악용되었다.
그러나 이번에 새롭게 발견된 종류는 국내 주요 포털사이트들의 도메인을 호스트파일에 포함시켜, 이용자가 주요 포털사이트에 접근하더라도 피싱사이트로 변경되도록 조작하였다. 범죄자들은 이런 수법으로 정상적인 포털사이트를 가짜 사이트로 조작하거나 허위 메시지 창을 보여주어 사용자로 하여금 또 다른 피해를 입을 수 있는 위험성에 놓일 수 있게된다.
일부 확인된 바에 의하면 포털 사이트 접속시 [금융감독원 보안관련 인증절차 내용처럼 위장한 가짜 팝업창]이 뜨고, 접근시 개인금융 정보를 입력하게 유도하게 된다. 따라서 악성파일에 감염된 사용자는 포털 사이트 접근만으로 인터넷 뱅킹용 피싱 사이트로 접근할 확률이 높아지게되어, 공격자는 시간적인 부분에서 많은 효과를 거둘 수 있게 된다.
아래 화면은 국내 인터넷 뱅킹용 악성파일(KRBanker)이 정상적인 금융사이트로 접속시 가짜 피싱사이트로 연결되도록 조작하기 위해서 변경한 호스트파일(hosts)의 화면인데, 국내 대표 포털 사이트 등이 포함된 것을 볼 수 있다.
특히, 악성파일은 피싱용 IP주소 등이 차단될 경우를 대비해서 특정 웹 사이트에 등록된 정보를 통해서 실시간으로 새로운 정보를 수신하도록 만들어져 있다. 이른바 명령제어(C&C) 서버이고, 공격자는 언제든지 새로운 피싱 IP주소를 악성파일에 감염된 사용자에게 전송할 수 있게 된다.
만약, 악성파일에 감염된 상태에서 해당 IP주소의 접속이 차단되면 정상적인 인터넷 뱅킹 사이트나 포털 사이트의 접속이 불가능하게 된다. 이 때는 변조된 호스트파일(hosts)을 찾아 삭제하거나 초기화하면 된다.
금번 발견된 악성파일은 호스트파일(hosts)의 액세스 제어를 하게 되는데, 다음과 같은 배치파일 명령을 통해서 ACL(Access Control List) 설정을 한다. 이 과정을 통해서 모든 사용자에게 모든 권한을 부여한 후, 파일속성을 읽기전용, 보관파일, 시스템 파일, 숨김특성으로 설정하여 폴더옵션에 따라서 보이지 않도록 숨긴다.
또한, 프로세스 종료 명령인 TASKKILL 을 통해서 conime.exe 파일을 강제종료하는 과정에서 cmd.exe 명령어 작업이 중지되지 않고 계속 진행되며, 호스트파일(hosts)파일은 실시간으로 삭제하고 생성하는 작업을 반복한다. 이 때문에 시스템 리소스가 높아지고, 컴퓨터와 인터넷 속도가 현저하게 느려지는 부작용(감염피해)이 발생하게 된다.
내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.
따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.
2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.
해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
이러한 악성파일에 감염될 수 있는 성립조건을 최소화하기 위해서는 이미 널리 알려져 있는 보안취약점을 모두 제거하는 것이 필수이다. 우선 □ MS Windows 운영체제와 응용프로그램 등을 최신 서비스팩 설치와 함께 보안업데이트를 수행하며, □ Adobe사의 Flash Player, Reader(PDF) 등을 최신버전으로 업데이트한다. 그 다음으로 □ JAVA 프로그램 이용자의 경우 최신버전으로 업데이트한다. 해당 프로그램들은 수시로 최신버전이 제공 중에 있으므로, 자동 업데이트로 설정하여 사용하거나 최소 2주~4주에 한번 정도는 정기적으로 최신 업데이트 여부를 체크하고 설치하는 노력이 중요하다.
2. 시간과의 싸움! 조급한 인터넷 뱅킹용 악성파일?
국내 웹 사이트를 통해서 전파 중인 악성파일 중에 인터넷 뱅킹 이용자들을 노린 형태가 수시로 발견될 정도로 공격자들이 유포에 집중하고 있다. 사이버 범죄자들은 인터넷 뱅킹용 악성파일(KRBanker)과 피싱/파밍 사이트를 통해서 예금자의 중요 금융정보를 훔쳐내고, 불법적인 과정을 거쳐 악성파일에 감염된 이용자들의 예금인출 범행 시도로 이어지고 있는 상황이다.
[주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환?
☞ http://erteam.nprotect.com/390
[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체
☞ http://erteam.nprotect.com/385
[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일
☞ http://erteam.nprotect.com/383
[주의]OTP 이벤트로 위장한 전자금융사기용 악성파일(KRBanker)
☞ http://erteam.nprotect.com/381
[주의]안랩 프로그램 사칭 인터넷 뱅킹용 악성파일
☞ http://erteam.nprotect.com/380
[주의]금융 보안프로그램으로 둔갑한 악성파일 출현
☞ http://erteam.nprotect.com/379
[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/378
[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
☞ http://erteam.nprotect.com/374
[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
☞ http://erteam.nprotect.com/373
[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
☞ http://erteam.nprotect.com/371
[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
☞ http://erteam.nprotect.com/370
[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
☞ http://erteam.nprotect.com/366
[주의]KRBanker 변종 시티은행 피싱 목록 추가!
☞ http://erteam.nprotect.com/365
[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
☞ http://erteam.nprotect.com/347
[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
☞ http://erteam.nprotect.com/344
[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
☞ http://erteam.nprotect.com/341
[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
☞ http://erteam.nprotect.com/340
[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
☞ http://erteam.nprotect.com/339
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
[주의]국내 인터넷 뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258
☞ http://erteam.nprotect.com/390
[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체
☞ http://erteam.nprotect.com/385
[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일
☞ http://erteam.nprotect.com/383
[주의]OTP 이벤트로 위장한 전자금융사기용 악성파일(KRBanker)
☞ http://erteam.nprotect.com/381
[주의]안랩 프로그램 사칭 인터넷 뱅킹용 악성파일
☞ http://erteam.nprotect.com/380
[주의]금융 보안프로그램으로 둔갑한 악성파일 출현
☞ http://erteam.nprotect.com/379
[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
☞ http://erteam.nprotect.com/378
[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
☞ http://erteam.nprotect.com/374
[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
☞ http://erteam.nprotect.com/373
[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
☞ http://erteam.nprotect.com/371
[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
☞ http://erteam.nprotect.com/370
[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
☞ http://erteam.nprotect.com/366
[주의]KRBanker 변종 시티은행 피싱 목록 추가!
☞ http://erteam.nprotect.com/365
[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
☞ http://erteam.nprotect.com/347
[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
☞ http://erteam.nprotect.com/344
[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
☞ http://erteam.nprotect.com/341
[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
☞ http://erteam.nprotect.com/340
[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
☞ http://erteam.nprotect.com/339
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
☞ http://erteam.nprotect.com/293
[주의]국내 인터넷 뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258
그동안 보고되었던 악성파일들은 대체로 주요 금융사이트나 보안업체들을 상대로 호스트파일(hosts)을 변조하여 가짜 금융사이트(피싱/파밍)로 접속을 유도하거나 보안프로그램의 업데이트를 방해하기 위한 시도 등으로 악용되었다.
그러나 이번에 새롭게 발견된 종류는 국내 주요 포털사이트들의 도메인을 호스트파일에 포함시켜, 이용자가 주요 포털사이트에 접근하더라도 피싱사이트로 변경되도록 조작하였다. 범죄자들은 이런 수법으로 정상적인 포털사이트를 가짜 사이트로 조작하거나 허위 메시지 창을 보여주어 사용자로 하여금 또 다른 피해를 입을 수 있는 위험성에 놓일 수 있게된다.
일부 확인된 바에 의하면 포털 사이트 접속시 [금융감독원 보안관련 인증절차 내용처럼 위장한 가짜 팝업창]이 뜨고, 접근시 개인금융 정보를 입력하게 유도하게 된다. 따라서 악성파일에 감염된 사용자는 포털 사이트 접근만으로 인터넷 뱅킹용 피싱 사이트로 접근할 확률이 높아지게되어, 공격자는 시간적인 부분에서 많은 효과를 거둘 수 있게 된다.
아래 화면은 국내 인터넷 뱅킹용 악성파일(KRBanker)이 정상적인 금융사이트로 접속시 가짜 피싱사이트로 연결되도록 조작하기 위해서 변경한 호스트파일(hosts)의 화면인데, 국내 대표 포털 사이트 등이 포함된 것을 볼 수 있다.
특히, 악성파일은 피싱용 IP주소 등이 차단될 경우를 대비해서 특정 웹 사이트에 등록된 정보를 통해서 실시간으로 새로운 정보를 수신하도록 만들어져 있다. 이른바 명령제어(C&C) 서버이고, 공격자는 언제든지 새로운 피싱 IP주소를 악성파일에 감염된 사용자에게 전송할 수 있게 된다.
만약, 악성파일에 감염된 상태에서 해당 IP주소의 접속이 차단되면 정상적인 인터넷 뱅킹 사이트나 포털 사이트의 접속이 불가능하게 된다. 이 때는 변조된 호스트파일(hosts)을 찾아 삭제하거나 초기화하면 된다.
금번 발견된 악성파일은 호스트파일(hosts)의 액세스 제어를 하게 되는데, 다음과 같은 배치파일 명령을 통해서 ACL(Access Control List) 설정을 한다. 이 과정을 통해서 모든 사용자에게 모든 권한을 부여한 후, 파일속성을 읽기전용, 보관파일, 시스템 파일, 숨김특성으로 설정하여 폴더옵션에 따라서 보이지 않도록 숨긴다.
또한, 프로세스 종료 명령인 TASKKILL 을 통해서 conime.exe 파일을 강제종료하는 과정에서 cmd.exe 명령어 작업이 중지되지 않고 계속 진행되며, 호스트파일(hosts)파일은 실시간으로 삭제하고 생성하는 작업을 반복한다. 이 때문에 시스템 리소스가 높아지고, 컴퓨터와 인터넷 속도가 현저하게 느려지는 부작용(감염피해)이 발생하게 된다.
3. 피싱 사이트 진위여부 판단 노하우
내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.
따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.
2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.
해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]스미싱 정보유출 방식 웹 서버에서 이메일로 변경 (0) | 2013.07.05 |
|---|---|
| [긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # 130701-21 (1) | 2013.07.01 |
| [긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 [#Update 2013. 03. 27. 01] (9) | 2013.03.20 |
| [주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환? (0) | 2013.02.13 |
| [추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체 (0) | 2013.02.04 |