[악성코드 분석] k01922.exe (인터넷 뱅킹 파밍)

k01922.exe 악성코드 분석 보고서  

1. 개요

인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 

다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	k01922.exe
파일크기	175,616 byte
진단명	Trojan/W32.KRBanker.175616.E
악성동작	인터넷 뱅킹 파밍
네트워크	m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***.57

 

 

2-2. 유포 경로

k01922.exe 의 유포경로에 앞서, 애드웨어 WindowsTab 에 대해 알 필요가 있다. WindowsTab 은 nProtect에서 진단하는 애드웨어 중 하나로, 파일을 다운로드 할 때 끼워팔기 형태로 설치되며, 사용자가 원치 않는 쇼핑몰 바로가기 등을 생성한다.

WindowsTab은 http://www.m***.co.kr/app/windowstab/windowstab.php 를 통해 설치 및 업데이트 된다. 이 웹 페이지에 WindowsTab이 설치된 PC에 관한 여러 정보를 전송하면, 설치 파일 및 설치관련 정보를 다운받아오는 형태로 동작한다.

문제는 k01922.exe가 유포되는 웹 서버 또한 동일한 기능을 지원한다는 점이다. k01922.exe가 업로드 되어 있는 웹 서버(http://j****o*l.org/files/ad_25/windowstab.php) 또한 windowstab.php 파일이 확인되고, 이 페이지는 m***.co.kr 의 windowstab.php 와 완전히 같은 기능을 하지만, 애드웨어 windowstab.exe 가 아닌, k01922.exe 를 다운받도록 수정되어 있다.

[그림] 애드웨어 업데이트(상), KRBanker 업데이트(하)

 

이는 애드웨어의 업데이트서버가 해킹될 경우, 애드웨어 자체의 업데이트 기능을 이용해 금융권 파밍 악성코드가 유포될 수 있음을 보여준다.

불특정 다수를 대상으로 무차별적으로 유포되는 애드웨어는 이미 여러 백신업체에서 진단하고 있다. 하지만 매번 실행파일을 바꿔가며 업데이트하기 때문에 최신 파일의 경우 진단 되기까지 짧은 공백이 존재할 수 있다. 또한 애드웨어는 사용자의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 정상 제휴 프로그램 처럼 설치되기에 감염사례가 매우 많다. 실제로 ISARC의 12월 악성코드 치료 통계자료에서 많은 PC가 애드웨어에 감염되어 있었음을 확인할 수 있다.

[그림] 2015년 12월 악성코드 유형 비율
(출처 - ISARC 12월 월간보안동향 보고서)

 

악성파일은 시간대별로 다르게 업로드 되어 유포된다. 시간대는 대체로 오후 3시부터 7시 사이로, 이 기간에만 잠시 동안 악성코드가 업로드 되었다 사라진다. 유포하는 파일의 파일명과 크기는 조금씩 다르나 금융권 파밍 악성코드란 공통점이 있다. 테스트일 현재(2016-01-19 16시) ad_25/k01922.exe 가 업로드 되어있고, 애드웨어의 정기 업데이트 기능을 이용해 유포될 것으로 보인다.

날짜	업로드 파일
2015-12-18	http://j****o*l.org/*****/*****/dwaof.exe http://j****o*l.org/*****/*****/ress1.exe
2015-12-19	http://j****o*l.org/*****/*****/zcmsk.exe
2015-12-22	http://j****o*l.org/*****/*****/fwbbg.exe http://j****o*l.org/*****/*****/olfhb.exe http://j****o*l.org/*****/*****/vprhh.exe
2016-01-06	http://j****o*l.org/*****/*****/gpcqy.exe
2016-01-09	http://j****o*l.org/*****/*****/psrju.exe
2016-01-12	http://j****o*l.org/*****/*****/ajkbz.exe
2016-01-13	http://j****o*l.org/*****/*****/apuzbf.exe http://j****o*l.org/*****/*****/kwsiu.exe http://j****o*l.org/*****/*****/tkiqd.exe http://j****o*l.org/*****/*****/yuefs.exe http://j****o*l.org/*****/*****/hluze.exe http://j****o*l.org/*****/*****/hnyixxr.exe http://j****o*l.org/*****/*****/jnajkc.exe http://j****o*l.org/*****/*****/conbaamhm.exe http://j****o*l.org/*****/*****/gvrgih.exe http://j****o*l.org/*****/*****/hulkm.exe
2016-01-14	http://j****o*l.org/*****/*****/kuocoxv.exe http://j****o*l.org/*****/*****/lin.exe http://j****o*l.org/*****/*****/miqbk.exe http://j****o*l.org/*****/*****/vfkvezur.exe http://j****o*l.org/*****/*****/nfbhxmnw.exe http://j****o*l.org/*****/*****/bwchbi.exe http://j****o*l.org/*****/*****/eyuyg.exe http://j****o*l.org/*****/*****/lin12.exe http://j****o*l.org/*****/*****/lin23.exe http://j****o*l.org/*****/*****/otygngn.exe
2016-01-18	http://j****o*l.org/*****/*****/ali12.exe http://j****o*l.org/*****/*****/ko.exe
2016-01-19	http://j****o*l.org/*****/*****/ko12k.exe http://j****o*l.org/*****/*****/GO_1095724067_12312312e12e.exe http://j****o*l.org/*****/*****/k01922.exe
2016-01-20	http://j****o*l.org/*****/*****/kod12.exe http://j****o*l.org/*****/*****/kosa1.exe

[표] 날짜와 시간에 따른 유포파일 변화

[그림] 금융권 파밍 악성코드로 로 교체된 WindowsTab

 

2-3. 실행 과정

애드웨어 업데이트를 이용해 유포된 k01922.exe는 windowstab.exe 란 이름으로 다운로드 되며, WindowsTab이 설치된 동일 폴더에 생성된다. 실행 시 자신을 숨김 속성으로 변경한다. 또한 윈도우 정상프로세스 comp.exe를 이용하여 위조 포털 사이트로 연결 및 인증서 유출 등의 악성동작을 수행하게 된다.

 

3. 악성 동작

3-1. 자동 구성 프록시 (Proxy Auto-Config, PAC)

과거 비슷한 동작을 하는 악성코드가 hosts 파일 수정을 통해 위조 사이트로 연결시켰던 것과 달리, k01922.exe 는 hosts파일을 수정하지 않고도, 위조 웹 서버로 연결시킨다. 이는 많은 백신 제품이 hosts파일 수정 방지 기능을 제공하기 때문에 이를 우회하기 위한 것으로 보인다.

자동 구성 프록시란 웹 브라우저 단에서 별도의 프록시서버 설정이 없이도 특정 URL에 대해 자동으로 프록시 서버 설정을 해 주는 스크립트다. 관련 정보는 IE 기준, "도구 -> 인터넷 옵션 -> 연결 -> LAN 설정”에서 확인할 수 있다. (출처 – Proxy Auto-Config 위키)

감염PC의 “LAN 설정” 항목을 보면, 자동 구성 스크립트가 ‘사용’으로 설정되어 있고, 해당 주소는 127.0.0.1:1178 임이 확인된다. IP주소 127.0.0.1 는 감염PC 자신을 의미한다. 또한 이 주소를 제공하는 프로세스는 감염된 정상 프로세스 comp.exe 임이 아래 그림에서 확인된다.

 

 

 

 

[그림] 자동 구성 스크립트 설정 및 감염된 프로세스

 

k01922.exe 는 comp.exe 을 감염시켜 프록시 서버로 이용하고, 이를 통해 hosts 파일 수정 없이도 파밍 악성동작을 수행할 수 있게 된다.

[그림] 난독화 해제된 PAC 스크립트

 

감염된 정상 프로세스 comp.exe 는 PC의 파일 비교 시 사용되는 윈도우 기본 프로그램이다. 일반적으로 감염PC의 상황과 같이 항상 실행중인 일은 없기 때문에 comp.exe 를 강제종료 하면 정상 포털 사이트로 접속해 악성동작을 예방할 수 있다.

3-2. 인터넷뱅킹 파밍 및 인증서 유출

k01922.exe 는 위조 서버의 주소를 얻기 위해 users.q****.**.com 를 이용한다. 이 URL은 정상 중국 메신저 사이트로 이 URL에서 제공하는 API를 이용해 악성 서버의 IP를 얻어온다. 조회한 악성 서버의 IP는 고정적이지 않고, q****.**.com 또한 중국의 정상 웹 사이트기 때문에 원천적 차단에 어려움이 따른다.

이렇게 얻은 IP는 위조 사이트들의 웹 서버 및 기타 악성동작에 사용된다. 감염 PC에서 브라우저 실행 시 아래와 같이 위조 포털 사이트의 화면을 확인할 수 있다.

이 화면에서 각 은행의 배너 이외에는 클릭이 되지 않기 때문에 정상적인 인터넷 이용이 불가능하다. 은행배너 클릭 시 각 은행의 위조 페이지로 연결되며 계좌정보 및 보안카드 전체 정보 입력을 요구한다. 실제 사이트와 매우 유사하게 만들어져 있지만 이는 파밍 사이트로, 모든 입력 정보는 해커에게 전송된다.

[그림] 위조 네이버 접속화면

[그림] 계좌정보 및 보안카드 정보 탈취 페이지

또한 아래 화면에서 PC에 저장된 모든 공인인증서가 임시폴더 하위에 저장된 모습을 확인할 수 있다. PC의 하드디스크 뿐 아닌 이동식 저장장치(E 드라이브) 에 저장된 인증서 또한 탈취되기 때문에 주의가 요구된다.

[그림] 임시 저장된 인증서

 

4. 결론

애드웨어 WindowsTab 은 사용자의 PC에 기본적으로 자동실행 등록되어 있다. 업데이트를 이용해 파일을 바꿔치기한 파밍 악성코드는 힘들이지 않고 애드웨어 감염자를 모두 자신의 공격대상으로 삼을 수 있다. k01922.exe 의 한가지 특징으로 파밍을 위해 hosts 파일을 수정하지 않기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다.

[그림] 방화벽 해제 알림

 

이는 PAC를 제공하기 위해 방화벽 설정을 변경한다는 알림으로 “계속 차단”을 선택하면 악성동작을 수행하지 못한다. 하지만 많은 사용자들이 PC의 주요 보안경고에 주의를 기울이지 않고 악성코드에 피해를 입고 있는 실정이다.

조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 애드웨어와 파밍 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, 위에 언급된 WindowsTab 외에도 다른 많은 애드웨어에 대한 주기적인 업데이트가 이뤄지고 있다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면