dkmpr4.2.exe 악성코드 분석 보고서
1. 개요
금융권, 검찰 등의 기관을 사칭하여 가짜 사이트로 연결을 유도한 후 계좌번호, 비밀번호 및 개인정보를 탈취하는 파밍의 시도가 나날이 증가하고 있으며, 그 수법 또한 발전하여 더욱 정밀해지고 있다.
이 보고서에서는 최근 새로운 기법을 사용하여 파밍 동작을 수행하는 악성파일이 발견되었기에 동일한 형태의 악성 동작이 의심되는 경우 피해를 방지하고자 해당 파일의 감염방식과 파밍 기법에 대해 기술하였다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | dkmpr4.2.exe |
파일크기 | 78,197 byte |
진단명 | Trojan/W32.KRBanker.78197 |
악성동작 | 파일 생성, 금융권 파밍, 인증서 탈취 |
네트워크 | 192.***.***.249 192.***.***.39 (파밍) |
2-2. 유포 경로
dkmpr4.2.exe 는 국내의 한 협회 사이트 www.v****t**n.or.kr/data/exe/dkmpr4.2.exe(1.***.**.89) 에 업로드 되어 유포되었다.
2-3. 실행 과정
dkmpr4.2.exe 실행 시 C:\DOCUME~1\IAMBUS~1\LOCALS~1\Temp\efkjg\pmqij.dll 파일을 생성한다. 생성하는 파일명과 폴더명은 모두 임의의 문자이다.
DLL 파일은 단독으로 실행될 수 없기 때문에 윈도우 정상파일인 rundll32.exe 를 이용하여 실행시킨다. 이 때, dkmpr4.2.exe 파일에 의해 첫 번째로 실행된 pmqij.dll 파일이 자신을 한 번 더 실행시키고, 두 번째로 실행된 pmqij.dll 파일이 파밍 동작을 수행한다. 첫 번째로 실행된 pmqij.dll 은 지속적으로 두 번째로 실행된 pmqij.dll 파일의 실행여부를 확인하다가 종료된 경우 계속해서 다시 실행시키는 역할을 함으로써 지속적인 파밍 동작의 수행이 가능하다.
[그림] 이중으로 실행된 pmqij.dll
3. 악성 동작
3-1. 자동실행 레지스트리 등록
dkmpr4.2.exe 실행 시 첫 번째로 실행된 pmqij.dll 파일이 윈도우 부팅 시마다 실행되기 위하여 자신을 자동실행 레지스트리에 등록한다.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "WT"="c:\windows\system32\rundll32.exe "C:\DOCUME~1\admin~1\LOCALS~1\Temp\efkjg\pmqij.dll",Writeable" |
[표] 자동실행 레지스트리 등록
3-2. 자동 구성 스크립트 설정
두 번째로 실행된 pmqij.dll 은 파밍 동작을 수행한다. 우선 파밍 동작 수행을 위해 “AutoConfigURL” 레지스트리 값을 생성하고 주소를 설정한다.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "AutoConfigURL"="http://127.0.0.1:12220/?mdeYmZiY" |
[표] PAC 위한 레지스트리 등록
“AutoConfigURL” 레지스트리 값이 생성됨으로써 “자동 구성 스크립트”를 사용하도록 설정되고, 사용자가 URL 입력 시에 연결할 IP 정보를 알아오기 위하여 레지스트리 값에 등록된 주소에 질의한다.
레지스트리 값에 등록된 주소가 “127.0.0.1:12220” 이므로 자신의 PC에서 12220 포트에 질의하게 되는데, 해당 포트는 pmqij.dll 파일이 LISTENING 하는 상태인 것을 확인할 수 있다. 따라서, 사용자가 웹 브라우저에 URL 을 입력하면 웹 브라우저는 연결하기 위한 IP 를 알아오기 위하여 우선 127.0.0.1:12220, 즉 pmqij.dll 에 질의를 하게 된다.
pmqij.dll 파일은 질의된 URL 이 금융권 주소일 경우 변조된 가짜 금융권 사이트와 연결하기 위한 IP 를 답변하여 금융권 파밍을 수행하게 된다.
[그림] pmqij.dll 의 네트워크 통신 현황
pmqij.dll 파일 내에는 Dean Edwards Packer 로 난독화 된 자바스크립트 코드가 존재한다. 해당 코드는 “자동 구성 스크립트” 설정에 따라 URL 에 연결할 IP 주소에 대한 질의가 오면 해당 URL 이 금융권 사이트와 동일한지 여부를 확인하여 금융권 사이트 일 경우 변조된 가짜 금융권 사이트와 연결하기 위한 IP (192.***.***.39) 를 답변하여 파밍을 유도하는 코드로 확인되었다.
[그림] 난독화 된 자바스크립트 코드
금융권 사이트 URL 확인에 사용되는 알고리즘에 의해 URL 에 대한 SHA-1 을 이중으로 구하고 해당 값을 내재되어 있는 SHA-1 값과 비교하는 방식을 사용하였다.
[그림] 복호화 된 자바스크립트 코드
“자동 구성 스크립트” 설정은 웹 브라우저의 [도구] → [인터넷 옵션] → [연결] 탭 → [LAN 설정] 에서 확인할 수 있다.
[그림] “자동 구성 스크립트” 설정
3-3. 금융권 파밍
pmqij.dll 파일의 답변에 따라 변조된 IP 는 가짜 포털 사이트로 연결하게 하며, 보안관련 인증절차를 진행하라는 팝업이 발생한다.
[그림] 변조된 검색엔진 사이트
해당 팝업에서 특정 은행을 선택할 경우 변조된 금융권 사이트로 연결되고 “인터넷 뱅킹 이용을 위해 추가 인증이 필요하다”는 팝업이 발생한다.
[그림] 변조된 금융권 사이트
팝업은 무조건 가짜로 생성된 전자금융사기예방서비스 페이지로 연결되며 계좌번호, 비밀번호 등 개인정보를 요구한다.
[그림] 가짜 전자금융사기예방서비스 페이지
4. 결론
Hosts 변조를 통한 파밍 수법이 많이 알려지자 dkmpr4.2.exe 파일의 “자동 실행 스크립트” 사용 방식과 더불어 다양한 파밍 수법이 성행하고 있다. 금융권, 검찰 등은 계좌비밀번호 등의 개인정보를 수집하지 않는다는 사실을 숙지하고 개인정보 관리에 유의해야 한다.
잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] 인기 게임으로 위장한 악성 토렌트 (0) | 2016.03.22 |
---|---|
[악성코드 분석] C&C 동작의 악성코드 분석 보고서 (0) | 2016.03.15 |
[악성코드 분석] 전자서명을 도용해 유포된 악성코드 (0) | 2016.03.03 |
[악성코드 분석] 일본 금융사이트 대상 파밍 악성코드 (0) | 2016.03.02 |
[악성코드 분석] Black Energy (우크라이나 정전사태 관련 악성코드) (0) | 2016.02.17 |