금융정보 탈취하는 KRBanker 분석 보고서
1. 개요
최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | adinstall.exe |
파일크기 | 478,208 byte |
진단명 | Banker/W32.Agent.478208.B |
악성동작 | 파밍, 금융정보 탈취 |
네트워크 | 103.***.***.86 – 공격자 서버 |
2-2. 유포 경로
해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.
2-3. 실행 과정
[그림] Windows 방화벽 보안 경고
3. 악성 동작
3-1. 자동 실행 등록 및 인증서 유출
해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.
[그림] 자동 실행 등록
감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.
[그림] 복사된 인증서와 압축 파일
3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)
[그림] 자동 구성 프록시 설정
1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.
[그림] 프록시 포트와 연결
3-3. 시작 페이지 변경 및 파밍 사이트 연결
[그림] 시작 페이지 변경
현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.
4. 결론
해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.
만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] 악성코드 접근을 숨겨주는 포트 루트킷 분석 (0) | 2016.11.28 |
---|---|
[악성코드 분석] 사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik (0) | 2016.11.18 |
[악성코드 분석] CDSpace 업데이트 서버를 통해 유포된 악성코드 (0) | 2016.10.18 |
[악성코드 분석] 백도어 악성코드 분석 보고서 (0) | 2016.09.28 |
[악성코드 분석] 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 (0) | 2016.08.19 |