분석 정보/악성코드 분석 정보

[주의]소켓통신(WinSock)을 가로채기하는 전자금융사기 수법 추가 등장

TACHYON & ISARC 2013. 7. 15. 17:52

1. 호스트파일(hosts) 변조기법이 아닌 지능화된 금융보안 위협 가속화


잉카인터넷 대응팀은 2013년 07월 14일에 제작되어 국내에 다수 유포된 신종 금융정보 탈취용 악성파일을 발견했다. 이 악성파일은 기존에 널리 보고된 바 있는 호스트파일(hosts) 조작 방식을 적용하지 않고, 기존과 다르게 Winsock(LSP) 조작 방식을 도입했다. LSP(Layered Service Provider)를 이용한 악성파일은 이미 2007년도에 온라인 게임계정 악성파일이 사용했던 고전적인 수법 중에 하나이다. 이처럼 호스트 파일 변조기법이 아닌 다양한 형태의 감염사례가 속속 등장하고 있어, 인터넷 뱅킹 이용자들의 각별한 주의가 필요하다. 잉카인터넷 대응팀은 해당 악성파일에 감염되는 것을 사전에 차단시키고, 피해를 최소화하기 위해서 숙주(Dropper) 악성파일에 대한 탐지 및 치료기능을 nProtect 제품군에 추가 완료한 상태이다. 

특히, 국내 인터넷 뱅킹 금융사별로 특화화된 악성파일이 정교하게 제작되고 있고, 해킹한 계좌에 예금이 적을 경우 이용자 예금을 실시간으로 자동조회하여 입금이 이루어질 경우 바로 불법이체를 시도할려는 지능화된 공격징후도 있어 갈수록 전자 금융보안 위협이 진화를 거듭하고 있는 상태이다. 

[주의]국내 인터넷 뱅킹용 악성파일 포털사이트 접근까지 변조시도
http://erteam.nprotect.com/421

[주의]KRBanker 악성파일 제작자 하데스(Hades)로 귀환?
http://erteam.nprotect.com/390

[추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체
http://erteam.nprotect.com/385

[주의]실제 공인인증서 서비스에서 암호 탈취를 시도하는 악성파일
http://erteam.nprotect.com/383

[주의]OTP 이벤트로 위장한 전자금융사기용 악성파일(KRBanker)
http://erteam.nprotect.com/381

[주의]안랩 프로그램 사칭 인터넷 뱅킹용 악성파일
http://erteam.nprotect.com/380

[주의]금융 보안프로그램으로 둔갑한 악성파일 출현
http://erteam.nprotect.com/379

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

[주의]국내 인터넷 뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258


근래에 이슈화 되고 있는 메모리 변조기법의 금융정보 탈취용 악성파일은 "msimsg.dll.mui", "kakutk.dll" 등의 이름으로 감염되고 있고, Winsock 변조기법을 이용하는 금융정보 탈취용 악성파일은 "ole2dlg.dll" 이름으로 감염되고 있다.

먼저 muimsg.dll.mui 이름의 악성파일은 금융보안 솔루션 중에 하나인 Wizvera 설치폴더(C:\Program Files\Wizvera\Delfino)에 존재하는 npdelfinoplugin.dll 파일의 존재여부를 주기적으로 체크하고, 해당 dll 파일이 메모리에 맵핑되면 강제로 메모리 값을 수정하여 키보드 입력값을 외부로 유출하는 기능을 수행한다. 더불어 금융보안 솔루션 중에 하나인 XecureWeb 설치폴더(C:\Program Files\Softforum\XecureWeb\NPPlugin\dll)에 존재하는 XecureAcPKCS8.dll 파일이 메모리 상에 맵핑되면 XecureMacuxCSM.dll 파일을 메모리에서 찾아 코드를 수정(Patch)한다. 코드수정을 통해서 npdelfinoplugin.dll 파일의 특정코드가 실행불가 상태로 변경되면 악성파일은 키보드 입력 값을 가로채어 외부로 유출시도한다.


kakutk.dll 이름의 악성파일의 경우에는 이용자가 인터넷 뱅킹 사이트에 접속하고 있는지 수시로 비교하고, 만약 악성파일이 원하는 인터넷 뱅킹 사이트로 연결되면 감염된 컴퓨터 내부에 공인인증서가 저장되어 있는지 해당 폴더(C:\Program Files\NPKI)를 확인한다. 공인인증서 폴더 경로에 SignCert.der 파일과 SignPri.key 파일이 존재하는지 비교한다. 그리고 국내 금융보안 솔루션 중에 공인인증서 보안모듈 중에 하나인 INITECH 설치폴더(C:\Program Files\Initech\SHTTP\plugin)에 존재하는 PKI_UI.11108.dll 파일의 메모리 값을 수정하여 보안기능 동작 전에 악성파일이 동작하도록 만든다.

아울러 금융보안 솔루션인 키보드보안 프로그램 중에 하나인 SoftCamp 설치폴더(C:\WINDOWS\system32)에서 SCSK4.ocx 파일의 메모리 값을 수정하여 보안기능이 동작하기 전에 악성파일이 동작하도록 한다. 그리고 키보드보안 프로그램 중에 하나인 RAONSECURE 설치폴더(C:\WINDOWS\system32)에 존재하는 TouchEnKey.dll 파일의 메모리 값을 수정하여 보안기능이 동작하기 전에 악성파일이 동작하도록 만들기도 한다. (※ 유사 악성파일이 지속적으로 발견되고 있어, 변종에 따라 기능이 조금씩 상이할 수 있다.)

이렇듯 최근의 공격기법이 금융 보안모듈을 직접적으로 겨냥하여, 보안기능 무력화를 시도하는 등 매우 과감해지고, 기술적으로도 지능화, 정교화되고 있는 추세이다. 악성파일에 의해서 코드가 조작되면 금융정보 수집 목적의 허위 보안정보 입력화면을 보여주어 사용자로 하여금 금융정보를 입력하도록 현혹시킨다.

2. Winsock 기능을 변조하는 KRBanker 출현

이번에 발견된 KRBanker 변종 악성파일은 호스트파일(hosts)을 변조하지 않고, Winsock 기능을 변조하여 가짜 금융사이트로 연결되도록 만들어진 것이 특징이다. 악성파일은 2013년 07월 14일에 제작되었고, 다음과 같이 금융정보를 입력하도록 유도하는 가짜 사이트로 접속되도록 한다. 더불어 기존과 유사하게 포털사이트 접속시 가짜 포털사이트 이미지 배경화면으로 조작된 공지화면을 보여주어 인터넷 뱅킹 사이트로 접속을 유도하기도 한다.


악성파일에 감염되면 윈도우 시스템폴더 경로에 ole2dlg.dll 이름의 악성 DLL 파일이 생성되고, 마치 윈도우 운영체제 파일처럼 속성을 위장한다. 이 때문에 분석가들은 상황에 따라 정상파일로 판단착오를 일으킬 수도 있고, 일부 분석프로그램의 경우 마이크로 소프트사의 정상파일로 분류되어 필터링될 수도 있다.

악성파일은 WinSock2 파라미터 값을 조작하여 인터넷 익스플로러가 작동할 때 ole2dlg.dll 악성파일이 로딩되도록 만든다.


참고로 악성파일에 의해서 조작된 LSP 를 수정할 수 있는 프로그램은 다음에서 확인할 수 있다.

http://www.cexx.org/lspfix.htm

LSPFix.exe

LSP_Restore.EXE



LSP 는 WSPStartup 이라는 Export 함수 하나로 이루어져 있는 윈도우의 표준 DLL을 설치하면 바로 사용이 가능하다. ole2dlg.dll 악성파일의 Export  함수에 WSPStartup 이 존재하는 것을 알 수 있다.




악성파일은 코드 내부적으로 금융사이트 정보를 하드코딩하여 가지고 있으며, 국내 금융사 도메인으로 접속을 시도할 경우 미국의 특정 서버로 접속하여 가짜 금융사이트 화면을 보여주게 된다.



악성파일에 감염된 상태에서 인터넷 뱅킹 사이트로 접속을 하게 되면 금융사기 관련 조작된 공지화면을 출력하여 이용자로 하여금 금융정보를 입력하도록 유도하게 된다.



3. 피싱(파밍) 사이트 진위여부 판단 노하우 

내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.


2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/