분석 정보/악성코드 분석 정보

[악성코드 분석] 인터넷 뱅킹 파밍 KRbanker 악성코드 주의

TACHYON & ISARC 2016. 5. 20. 13:50

 

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 



1. 개요

인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 


이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

KRBanker_d8dba.exe

파일크기

338,944 byte

진단명

Banker/W32.Agent.338944

악성동작

금융정보 탈취

네트워크

104.***.***.27 (파밍서버)






 


2-2. 유포 경로

KRBanker는 주로 익스플로잇, 피싱 이메일 등으로 유포된다. 따라서 사용중인 소프트웨어를 상시 업데이트하고 모르는 사람으로부터 받은 이메일은 열지 않는 기본 수칙으로 악성코드 감염을 방지할 수 있다.



2-3. 실행 과정

KRBanker_d8dba.exe 는 최초실행 시 실행위치에 숨김 · 읽기전용 속성을 부여하고 윈도우 정상프로세스 chcp.com을 이용해 악성동작을 수행한다. chcp.com 은 국가별 키보드를 설정하기 위한 프로그램이다. KRBanker_d8dba.exe 는 hosts 파일 등을 수정하지 않고, 백신 감시를 피해 chcp.com 을 이용하여 가짜 사이트로 유도하므로 악성동작이 있음을 알아채기 힘들다.




3. 악성 동작

3-1. 자동실행 등록

KRBanker_d8dba.exe 는 재부팅 후에도 자동실행 되도록 레지스트리에 임의의 8글자로 자신을 등록한다. chcp.com 을 실행한 후 종료되기에 감염된 상태에선 KRBanker_d8dba.exe 의 동작을 확인할 수 없다.

 


 

[그림] 자동실행 등록


 


3-2. 인터넷뱅킹 파밍

기존 사용하던 파밍 방식으론 hosts 파일 내에서 파밍 대상 은행주소를 쉽게 알 수 있었지만, 자동 구성 스크립트를 이용한 방식이 인기를 끌면서 브라우저가 접속중인 주소와 파밍 대상 은행주소를 해쉬화 시켜 비교하기에 파밍 대상 은행주소를 알아내는데 어려움이 있다. 파밍 대상 주소가 아닌 URL로는 악성동작을 하지 않는다.



[그림파밍 대상 은행주소




감염상태에서는 웹 브라우저 시작페이지가 N 포털 사이트로 바뀌고 팝업 창을 통해 가짜 은행 사이트로 유도한다. 팝업 창 외에는 클릭이 되질 않기에 포털 사이트 이용이 불가하다. 팝업창의 은행 배너를 클릭하면 은행사이트로 보이는 파밍사이트로 이동하게 되고 이후 계좌정보, 계좌비밀번호, 보안카드번호 전체입력을 요구하는 창이 표시된다.





[그림웹 브라우저 시작 페이지 변경 및 가짜사이트로 유도




파밍에 사용되는 가짜 웹 서버의 주소는 아래의 방식으로 얻어온다. 가짜 웹 서버 주소를 얻는 방법으로 중국 메신저 서비스를 이용하기 때문에 차단이 어렵다.


 


[그림가짜 웹 서버 IP 수신 패킷




위의 방식을 통해 악성코드가 얻어온 웹 서버 IP를 조회해 본 결과 정상 인터넷뱅킹 사이트의 IP를 조회할 때와는 다른 결과를 확인할 수 있다.


[그림가짜 서버(좌)와 정상 서버(우)의 조회결과 차이




3-3. 인증서 유출

인증서 유출은 추가적으로 실행된 chcp.com 에서 수행된다. PC의 모든 폴더를 대상으로 NPKI 폴더를 검색하며 인증서 발견 시 임시폴더 하위에 폴더 경로와 함께 인증서를 백업해 두는 모습을 볼 수 있다.

[그림임시저장된 인증서




4. 결론

이 악성코드는 자동 구성 스크립트를 이용하여 동작하기 때문에 감염 시 아래와 같은 보안 경고가 반드시 출력된다. OS 의 모든 파일이 어떤 역할을 하는지 전부 알기란 불가능하지만 검색을 통해 쉽게 그 역할을 파악할 수 있다. 


검색 결과 chcp.com 은 정상동작 하엔 네트워크 동작을 하지 않음을 확인할 수 있다. 따라서 OS에서 제공하는 보안경고에 조금만 주의를 기울인다면 PC의 이상징후를 보다 빨리 파악할 수 있을 것이다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림OS 보안경고




[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면