분석 정보/악성코드 분석 정보

[악성코드 분석] 꿀뷰로 위장한 파밍 악성코드

TACHYON & ISARC 2016. 3. 31. 16:09

이미지 뷰어 프로그램 '꿀뷰'로 위장한 파밍 악성코드 분석 보고서

 

 

1. 개요

최근 반디소프트의 이미지 뷰어 프로그램 '꿀뷰'를 위장한 악성코드를 200여명의 사용자들이 다운로드 받은 사건이 발생하였다. 3월 26일 오후 2시부터 4시까지 반디소프트 홈페이지에서 유포된 이 악성코드는 꿀뷰 설치파일로 위장하고 있고 설치도 정상적으로 이루어지기 때문에 사용자가 악성코드 감염사실을 인지하기 어렵다다운로드한 악성코드는 인터넷뱅킹 파밍 악성코드로 인증서 탈취 및 사용자를 위조 사이트로 접속하게 하여 금융정보 탈취를 유도한다.


현재 반디소프트 공식 입장에 따르면 반디소프트의 서버 자체가 해킹을 당한 것은 아니며공격사실을 인지함과 동일한 사건이 일어나지 않도록 적절한 조치를 취했다고 밝혔다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

HONEYVIEW-SETUP-KR.EXE

파일크기

7,869,279 byte

진단명

Trojan/W32.KRBanker.7869279

악성동작

인터넷뱅킹 파밍

네트워크

u****.q****.**.com/fcg-bin/cgi_get_portrait.fcg?uins=2****6***8






 


2-2. 유포 경로

꿀뷰로 위장한 해당 악성코드는 반디소프트 홈페이지에서 3월 26일 오후 2시부터 4시까지 약 두 시간 동안 유포되었다이 시간 동안 약 200여명의 사용자가 꿀뷰 대신 악성코드를 다운로드 한 것으로 알려졌다


반디소프트 측에 따르면 반디소프트의 홈페이지나 서버자체가 해킹을 당한 것이 아닌 IDC내 동일 IP대역을 사용하는 다른 서버를 해킹한 후 ARP 스푸핑에 의해 악성코드가 다운로드 되었다고 한다. ARP 스푸핑은 랜카드의 고유한 주소인 MAC 주소를 속여 상대방의 정보를 중간에 가로채는 공격 기법이다.
(ARP 스푸핑에
 대한 자세한 내용은 “[악성코드 분석 보고서] zxarps.exe”(http://erteam.nprotect.com/498에서 확인할 수 있다.)



2-3. 실행 과정

악성파일을 실행하면 해당 악성파일은 윈도우 정상 프로세스인 cacls.exe를 이용하여 악성동작을 수행한다그와 동시에 자신의 악성동작을 숨기기위한 눈속임용 꿀뷰 설치 파일을 C:\[임의8글자].exe 로 생성 및 실행하여 정상적으로 프로그램을 설치한다

특이사항으로 악성코드가 자동실행 등록되어 매 부팅 시 마다 꿀뷰 설치파일을 실행하므로 컴퓨터를 시작하자마자 설치 프로그램이 실행된다면 PC에 이상이 있음을 쉽게 알 수 있다.




[그림] C:\ 하위에 생성 및 실행된 꿀뷰 설치파일 (정상 파일)

 

3. 악성 동작

3-1. 자동실행 등록 및 시작페이지 변경

이 악성코드는 읽기전용/시스템/숨김’ 속성을 통해 자신을 숨기고 레지스트리 변경을 통해 자동실행 등록한다또한 포털 사이트 접속시 아래 [그림]과 같은 팝업창을 띄우는 파밍동작을 수행한다.




[
그림] 변조된 포털 사이트


3-2. 정상 프로세스 인젝션 및 Proxy 동작

악성코드는 윈도우 정상 프로세스 cacls.exe 를 실행하고 이미지 스위칭을 통해 정상과는 전혀 다른 악성동작을 수행하도록 수정한다악성동작은 PAC(Proxy Auto Config)를 통해 위조 사이트로 유도하는 것으로 기존 방식과 매우 유사하다. PAC에 대한 자세한 내용은 “[악성코드 분석 보고서] k01922.exe”(http://erteam.nprotect.com/507)에서 확인할 수 있다.



[그림] 변조 웹서버의 주소를 얻는 패킷




3-3. 사용자 정보 탈취

사용자가 인터넷에 접속하게 되면 변조된 시작페이지 연결하게 되고 각 은행 홈페이지로 위장한 파밍 사이트로 전달 된다이후 이 파밍 사이트를 통해 사용자의 정보를 탈취한다아래 그림에서 가짜 전자금융사기예방서비스 페이지를 확인할 수 있다.





[
그림] 가짜 전자금융사기예방서비스 페이지


 

4. 결론

정상 웹 서버가 해킹당한 것은 아니지만이용자의 입장에서 공식 홈페이지에서 다운로드 받는 것은 기본적으로 신뢰한다는 점에서 그 여파가 크다다행히도 반디소프트측의 빠른 대처로 큰 피해를 막을 수 있었으며, 감염 사실을 확인할 수 있는 자세한 안내 페이지(http://blog.bandisoft.com/132) 또한 제공하고 있어 해당 악성코드로 인한 피해는 커지지 않을 것으로 보인다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

 




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면