분석 정보/악성코드 분석 정보

[악성코드 분석] Autoshut.exe (인터넷 뱅킹 파밍)

TACHYON & ISARC 2016. 2. 5. 09:00

Autoshut.exe 악성코드 분석 보고서  


 


 

1. 개요

국회 미래창조과학방송통신위원회 국정감사에 따르면, 금융권, 검찰 등의 기관을 사칭하여 가짜 사이트로 연결을 유도한 후 계좌번호, 비밀번호 및 개인정보를 탈취하는 파밍 사기 건수가 2012년 대비 2015년에는 3년만에 50배 이상 급증한 것으로 집계됐다. 건수와 비례하여 피해 금액 또한 대폭 증가하였다.


이러한 파밍 사기는 비단 국내 문제로만 국한되지 않는다. 최근 일본에서도 파밍 악성코드의 유포가 점점 활발해지는 정황이 포착되었으며, 다수의 변종이 지속적으로 업데이트 되면서 동작이 점차 정교해지고 있다. 우리나라와 달리 일본에서는 파밍 공격에 대해 알려진 사례가 거의 없다는 점에서 피해가 확산될 우려가 있다.




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Autoshut.exe

파일크기

102,400 Byte

진단명

Trojan/W32.JPBanker.102400

악성동작

파일 생성, 인터넷뱅킹 파밍

네트워크

27.***.**.48, 180.***.***.15

 



 

3. 악성 동작

3.1. 파일 생성

autoshut.exe 실행 시 일본어로 구성된 타이머가 실행되어 언뜻 정상파일로 보일 수 있다. 하지만 특정 조건이 만족될 경우 C:\3lpx7x7t13\Ruyonfn.exe 파일을 생성 및 실행시키고, 이 파일로 파밍 동작을 수행한다. 생성하는 폴더명과 파일명은 모두 임의의 문자이다.


[
그림] autoshut.exe 실행 화면

 

 

3.2. 자동실행 레지스트리 등록

실행된 Ruyonfn.exe 파일은 윈도우 부팅 시마다 자동 실행되기 위하여 레지스트리에 등록한다.


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"InterMgr"=" C:\3lpx7x7t13\Ruyonfn.exe /Klaunchp"

 

 

3.3 DNS Client 서비스 메모리 변조

사용자가 인터넷 창에 URL 을 입력할 경우 DNS 서비스는 hosts 파일을 우선 조회하여 입력한 URL 과 매칭되는 IP 가 있을 경우 해당 IP 로 연결한다. Ruyonfn.exe 파일은 hosts 파일과 동일한 역할을 하는 새로운 파일을 생성하고, DNS 서비스가 해당 파일을 참조하도록 메모리를 변조하는 방법으로 파밍을 수행한다.


기본 hosts 파일은 변조되지 않았고, DNS 서비스의 메모리 변조 유무를 쉽게 확인할 수 없기 때문에 일반 사용자들은 파밍에 좀 더 쉽게 넘어갈 수 있게 된다.

 

자동실행 레지스트리 등록을 완료한 Ruyonfn.exe hosts 파일의 경로와 비슷하도록 C:\windows\system32\drivers \3lp 하위에 3lpx7 파일을 생성한다. 파일명 3lpx7 과 폴더명 3lp 는 모두 임의의 문자이다.


생성한 파일 3lp7의 내용은 hosts 파일과 동일한 형식이되 yahoo.co.jp 를 악성 서버 27.***.**.48 로 연결하도록 수정되어있다.



구분

Hosts 경로

원본 경로

C:\Windows\system32\drivers\etc\hosts

대체 경로

C:\Windows\system32\drivers\3lp\3lpx7

[] hosts 파일 경로 변조

 


[
그림] hosts 대체 파일 3lpx7

 



이후 DNS Client 서비스의 메모리에서 “\drivers\etc\hosts” 파일을 참조하도록 설정된 문자열을 새로 생성한 “\drivers\3lp\3lpx7” 파일을 참조하도록 변조한다.




[
그림] 변조된 DNS Client 서비스의 메모리

 

4. 결론

autoshut.exe 는 파밍 기술 중 DNS Client 서비스 메모리 변조 방식을 사용하여 일반 사용자가 파밍 임을 빠르게 눈치채고 대응하기 어렵게 한다.

잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면