nv.exe 악성코드 분석 보고서
1. 개요
1.1. 파일정보
|
파일명 |
nv.exe |
|
파일크기 |
129,024 byte |
|
진단명 |
Trojan/W32.KRBanker.129024.F |
|
악성동작 |
인터넷 뱅킹 파밍, 인증서 탈취 |
|
특징 |
hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 |
1.2. 분석환경
|
운영체제 |
Windows 7 Ultimate K SP1 (한글) |
|
분석도구 |
Process Explorer, Wireshark, NetMon, Hxd 등 |
1.3. 전체흐름도
2. 분석정보
2.1. 파일 유포 방식
특정 종교용품 판매 쇼핑몰에 접속 시 해당 사이트에 삽입된 악성 스크립트 (http://so*******y.kr/u***ad/b**/index.html)를 통해 웹 서버(http://www.c*****.co.kr/)에 업로드 된 악성파일이 사용자 모르게 사용자 컴퓨터에 다운로드 및 실행된다.
2.2. 샘플 분석
악성 동작은 크게 nv.exe 자체 동작과 nv.exe가 설정한 값에 조작된 웹 브라우저(Internet Explorer, Chrome 등) 동작으로 나뉜다. 사용자가 웹 브라우저를 통해 인터넷뱅킹에 접속할 때, nv.exe는 해커가 만든 가짜 인터넷뱅킹 사이트로 유도(파밍)해 사용자가 입력하는 비밀번호, 계좌번호는 물론 인증서까지 탈취한다. 이와 같은 정보는 사용자 본인이 아니더라도 사용자인증(로그인)을 가능하게 해주기 때문에, 최종적으론 사용자 모르게 계좌에서 돈이 인출되거나 물품이 결제될 수 있다.
2.2.1. nv.exe의 동작
nv.exe는 실행 동안 특정 서버(u***.q****.**.com/f**-***/cgi_get_portrait.fcg)에 지속적인 쿼리(질의, 문의)를 보낸다. 위 URL에 웹 브라우저를 사용하여 접근 시 아래와 같은 결과를 확인할 수 있다.
|
users.q****.**.com/f**-***/cgi_get_portrait.fcg 의 결과 _Callback( {"error":{ "type":"", "msg":"野밥툖壅뤄펽鵝좄풏 뀯 쉪 뤇 쟻 뵗瑥 " }} ) users.q****.**.com/f**-***/cgi_get_portrait.fcg?uins=3202476304?=24989 의 결과 portraitCallBack({"3202476304":["http://ql****.st***.**.com/q****/32********/3******3**/***",0,-1,0,0,0, |
여기서 “23.***.**.226”은 hosts 파일 변조에 사용되는 정보이자 인증서 및 계좌정보 업로드 서버 주소다. 따라서 nv.exe는 GET방식으로 특정 값을 cgi_get_portrait.fcg에 입력하면 해당 서버로부터 미리 준비된 가짜 은행 사이트의 주소 및 기타 정보를 리턴 받는 것으로 확인된다. 악성 서버는 동작하는 상태이며, 위에서 알아온 정보로 nv.exe가 hosts파일들을 수정한 것을 확인할 수 있다. 다음은 변조된 hosts.ics, hosts파일 내용이다.
|
hosts.ics |
hosts |
[표]변조된 hosts.ics, hosts파일 내용
또한 nv.exe는 %TEMP%폴더(임시파일 저장폴더)에 압축파일(zip)을 생성한다. 이 압축파일을 살펴보면 사용자PC에 있는 공인인증서가 전체 경로와 함께 드라이브 문자(ex E:\)별 폴더에 담겨있다.
[그림]공인인증서가 담긴 압축파일 내용
2.2.2. 웹 브라우저에서 동작
nv.exe는 Internet Explorer의 시작 페이지를 네이버(www.naver.com)로 변경하는데 이때 hosts파일이 변조되있기 때문에 정상적인 주소의 네이버로 접속하여도 '가짜 네이버 사이트'로 연결된다. 이렇게 연결된 가짜 네이버 사이트는 정상 네이버 사이트의 화면을 캡처하여 만든 페이지로 외관상 정상 사이트와 유사하기 때문에 사용자는 가짜 사이트인지 인지하기가 어렵다.
가짜 사이트인지 확인하는 방법으론 해당 사이트의 날짜를 확인하는 것인데, 아래 그림과 같이 정상 사이트와 가짜 사이트간에 날짜가 다른 것을 확인할 수 있다.
[그림]가짜 사이트와 진짜 사이트 비교
감염된 PC에서 특정 포탈사이트에 접속할 경우 가짜 포탈사이트에 연결되어 해커가 만든 금융감독원 팝업 창이 보여지며, 팝업 창 내 각각의 은행 배너를 클릭하면, 가짜 은행 사이트(이하 파밍사이트)로 연결된다. 금융감독원 팝업 창 이외의 다른 부분은 클릭 하여도 동일페이지가 반복해서 나타난다.
|
농협은행 - http://bamking.nonghyup.cm/ 국민은행 - http://www.kbstar.cm/ 기업은행 - http://mybamk.ibk.do.kr/ 신한은행 - http://bamking.shinhan.cm/ 외한은행 - http://www.keb.do.kr/ 우리은행 - http://www.wooribamk.cm/ 하나은행 - http://www.hanabamk.do.kr/ 스탠다드차타드 - http://www.standardchartered.do.kr/ 경남은행 - http://www.knbamk.do.kr/ 광주은행 - http://www.kjbamk.do.kr/ 대구은행 - http://www.dgb.do.kr/ 부산은행 - http://www.busanbamk.do.kr/ 제주은행 - http://www.e-jejubamk.cm/ citibank - http://www.citibamk.do.kr/ 새마을금고 - http://www.kfcc.do.kr/ 수협 - http://www.suhyup-bamk.cm/ 신협 - http://bamk.cu.do.kr/ 우체국 - http://www.epostbamk.do.kr/ |
[표]은행 배너 별 파밍사이트 접속 URL
각각의 파밍사이트는 인터넷뱅킹 사용 시 아래 “가짜 전자금융사기예방서비스” 페이지로 연결되어 사용자의 개인정보(이름, 주민번호, 계좌번호, 계좌비밀번호, 보안카드 전체 번호)입력을 유도하며, 입력된 계좌정보는 특정 서버로 인증서와 함께 전송된다.
[그림]가짜 전자금융사기예방서비스 페이지-이용자 정보입력
[그림]가짜 전자금융사기예방서비스 페이지-보안카드/OTP인증코드 입력
위 과정을 모두 거치면 사용자 정보는 해커에게 넘어가게 되며 사용자 인증에 필요한 정보를 수집한 해커는 사용자 계좌에서 돈을 인출할 수 있게 된다. 또한 인터넷뱅킹 ID와 비밀번호를 다른 사이트에 동일하게 사용한다면 이마저도 해커에게 넘어갈 수 있다. 따라서, 사용하는 사이트마다 다른 ID와 비밀번호를 사용하는 습관은 매우 중요하다.
3. 결론
nv.exe는 특정 서버(u***.q****.**.com/f**-***/cgi_get_portrait.fcg)에 접속을 시도하고 hosts파일 변조를 통해 가짜 사이트로 연결을 유도, 인증서 및 보안카드 전체 번호를 탈취하는 동작을 수행한다. 이후 nv.exe가 실행 중이지 않더라도 hosts파일은 변조된 채로 남아있어 지속적인 악성동작에 노출된다 할 수 있다.
해당 샘플은 현재 nProtect Anti-Virus/Spyware(AVS)에서 진단명 Trojan/W32.KRBanker.129024.F로 진단 및 치료가 가능하다. 인터넷뱅킹 등 중요한 활동은 반드시 백신이 설치하고, 신뢰할 수 있는 PC에서 하는 습관이 중요하다.
[그림]진단 및 치료 가능
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.22 |
|---|---|
| [악성코드 분석] system1.exe (인터넷 뱅킹 파밍, 인증서 탈취) (0) | 2015.10.16 |
| 북한 사이버공격은 휴전이 아닌 현재 진행형 위협 (0) | 2014.07.03 |
| [주의]포털사 계정중지 내용으로 사칭한 스피어피싱 공격 (0) | 2014.02.18 |
| [주의]HWP 취약점을 이용한 북한의 사이버 침투활동 증가 (0) | 2014.01.14 |