Embed Size (px)
Citation preview
진화하는 악성코드…파밍․큐싱 결합해 PC․스마트폰 동시 공격- 파밍으로 인터넷 뱅킹 정보 수집하고 큐싱으로 악성 앱 설치하여
모바일 뱅킹 정보를 수집하는 악성코드 -
KISA 코드분석팀 송지훤, 류소준
□ 개 요
최근 PC와 스마트폰에서 금융정보를 탈취하기 위한 해커들의 움직임이
다수 포착되고 있다. 실제 한국인터넷진흥원에 신고․접수된 악성 앱
중 10% 이상과 PC 악성코드 중 17% 이상이 보안카드 번호, 주민
등록번호 등 금융 정보를 탈취하고 있다. 뿐만 아니라 가능한 많은 금융
정보를 수집하기 위해 해커는 파밍(Pharming)과 큐싱(Qshing) 수법을
복합적으로 사용하여 인터넷 뱅킹 정보와 모바일 뱅킹 정보를 동시에
수집하는 것으로 확인되었다. 뿐만 아니라 해커는 원격 제어 및 DDoS
공격이 가능한 Gh0st 3.75 계열 악성코드를 함께 유포하고 있었다.
※ 파밍(Pharming) : 피싱(Phishig)과 농사(Farming)의 합성어로 PC에 가짜은행사이트로
유도하는 악성코드를 설치하고 금융정보를 빼낸 후 예금을 인출하는 사기 범죄
※ 큐싱(Qshing) : QR코드와 개인정보, 금융정보를 낚는다(Fishig)는 의미의 합성어로
QR코드를 통해 악성 링크로의 접속을 유도하여 악성 앱을 설치하는 사기 범죄
< 파밍 유도 화면 > < 2차 채널을 가장한 큐싱 화면 >
해커는 일반 웹 사이트를 해킹하고 브라우저, 자바 등의 취약점을 통해
악성코드를 유포시켰다. 해당 악성코드는 감염된 PC에서 공인인증서 및
연 도 유포 일자 악성코드 유포지
2013년
9.11 http://xxx.xx.xxx.xxx/xxxx/mk/index.html 9.17 http://xxxxx.xxxx.xx.kr/xxxxxxx/ms/test/index.html 9.21 http://xxxxxx.xx.kr/bbs/pop.exe 9.23 http://xxxxxxx.xx.kr/xxxxxx/goods/pop/xx.js 9.24 http://xxxxxxxxx.com/shop/data/pop/index.html9.25 http://www.xxx.com/data/test/lndex.html 9.30 http://xxxxxxx.xx.kr/xxxxxxx.exe10.22 http://xxx.xxx.xx.kr/session/s/index.html 11.11 http://xxxxxxx.com/xxxx/w/index.html11.14 http://www.xxxxx.com/xxxx/mk/index.html
11.25 http://xxxxxx.com/xxx/index.htm
시스템 정보를 수집하여 해커에게 전송하고 변조된 hosts파일을 통해 파밍
공격을 수행한다. 이후 해커는 피싱 사이트를 통해 개인 정보를 입력
하도록 유도하고 2차 인증이 필요한 것처럼 속여 QR코드로 사용자의
스마트폰에 악성 앱을 다운받도록 한다. 이렇게 PC와 스마트폰을 동시에
공격하는 방식은 악성코드가 2차 채널 인증 의무화 등과 같은 새로운
금융 보안 정책에 따라 진화하고 있다는 것을 보여준다고 할 수 있다.
※ 2차 채널 인증 의무화: ‘13년 9월 26일부터 시행 된 미등록 기기에서 금융 거래 시
본인 인증을 1채널(PC) 외에 2채널(스마트폰, 유선전화 등)로 확대하는 방안
<악성코드 및 악성 앱 공격 개요도>
□ 악성코드 유포 기간 및 규모
‘13년 9월부터 최소 7개월 간 해당 악성코드를 제작한 해커는 여행사,
수련관, 웹하드 업체 등 60개가 넘는 국내 홈페이지를 통해 악성코드를
유포하였다. 악성코드를 유포한 사이트와 시기는 다음과 같다.
11.26 http://xxxxx.com/xxxx/index.html 12.04 http://www.xxxxxxxx.com/xxx/index.html 12.05 http://xxx.xx.kr/bbs/skin/add/index.html 12.13 http://xxxxxxxx.com/xxx/index.html 12.20 http://xxx.xx.xxx.xxx:xxx/index.html12.21 http://xx.xxxx.xxxx.net/xxxxxxxx/mm/index.html12.24 http://xxxxxxxx.kr/pop/index.html 12.30 http://xxxxxx.xx.kr/pop/index.html
2014년
1.2 http://xx.xxx.xxx.xx:xxx/index.html1.8 http://xxxxxxxx.com/pop/index.html 1.9 http://xxxxxxxxxxx.com/pop/index.html 1.10 http://xxxxxxx.net/pop/index.html 1.11 http://xxxxxxx.xx.kr/pop/index.html 1.13 http://xxxxxxxxx.com/pop/index.html 1.17 http://xxxxxxxxxxx.com/pop/index.html1.18 http://xxxxxxxxxxxxx.com/pop/index.html 1.19 http://xxxxxx.xx.kr/pop/index.html 1.20 http://xxxxxxxxxxx.net/pop/index.html 1.23 http://xxxxxx.com/pop/index.html 1.23 http://xxx.xx.kr/pop/index.html 1.25 http://xxxxxxxcom/pop/index.html1.25 http://www.xxxxxxxx.com/banner/upfiles/pop/index.html1.30 http://xxxxxxx.xx/news/index.html 2.7 http://xxxxxxxxxx.com/pop/index.html2.13 http://www.xxxxx.co.kr/uploads/info/click.exe 2.13 http://xxxxxxxxx.com/pop/index.html 2.14 http://xxxxxxxxx.com/xxxxxx/files/album/xxxxxxxx.html 2.19 http://xxxxxxxx.com/pop/index.html 2.19 http://xxxxx.co.kr/pop/index.html 2.21 http://xxxxxxxxxxx.com/pop/index.html 2.21 http://xxxxxxxxx.com/xxxxxxxcss/index.html2.22 http://xxxxxxxxx.kr/pop/index.html2.23 http://xxxxxxxxxx.com/pop/index.html 2.26 http://xxxxxx.xxxx.net/index.html 2.28 http://xxxxxxxxxxxxx.xx.kr/pop/index.html3.3 http://www.xxxxxxxx.xx.kr/lang/xxxxxxxxx/xxxxxxxxx.html3.5 http://xxxxxxx.xxxx.net/smss.exe3.6 http://www.xxxxxxxxx.com/resources/file/xx/index.html3.13 http://xxxxxxxx.xxxxxxx.com/hot/index.html 3.15 http://www.xxxxxxxx.com/resources/file/image/index.html3.19 http://xxx.xx.xxx.xxx:xxx/index.html3.22 http://www.xxxxxxxxxx.xx.kr/xxx/log/index.html3.22 http://xxxxxxxxxxxxx.org/xxxxxxxxxx/xxxxxxx/xxhtml3.22 http://www.xxxxxxxx.xx.kr/css/index.html3.23 http://xxx.xxx.xxx.xxx/css/index.html3.23 http://xxxxxx.com/board/xxxxxx/ga.html3.24 http://xxx.xxx.xx.xxx/index.html3.24 http://xxx.xx.xxx.xx/xxxxxxxx.html3.25 http://xx.xx.xxx.xxx/index.html3.26 http://xxxxxxxxxxxx.kr/pop/index.html
□ PC 악성코드 분석 결과
o 악성코드 특징점
여러 유포지에서 다운로드되는 악성코드는 본래 3단계에 걸쳐 악성
코드를 생성한다. 대부분 mydat.dll(혹은mydll.dll)이 CHIinwywamzi.exe를
CHIinwywamzi.exe가 svchsot.exe를 svchsot.exe가 kb0ce.exe를 순차적
으로 다운받아 실행하는 것으로 나타났다. 악성코드마다 각기 다른
악성 행위를 하며 개인정보, 컴퓨터 정보 등을 유출시킨다. 또한 이 악
성코드들은 모두 독자적으로 유포되기도 한다. 전체 구조와 악성코드별
행위들은 아래 표와 같다.
악성코드 악성행위smss.exe o 악성코드(dll) 드랍
mydat.dll
o 백신 탐지
o hosts 파일 변조, 공인인증서 유출
o 악성코드 추가 다운
CHIinwywamzi.exe o 자기 자신을 svchsot.exe로 복제하여 생성
svchsot.exe
o 키로깅
o 화면 정보 유출
o 악성코드 추가 다운
o 원격제어, DDoS 공격kb0ce.exe o hosts 파일 변조
< 악성코드 생성 및 실행 순서 >
< 악성코드별 행위 >
※ 악성코드 파일명은 사고마다 변경되나 주요 행위 및 모듈은 동일
60개 이상 사이트에서 발견된 악성코드를 분석한 결과, 대부분 아래와
같은 공통점이 발견되었으며 동일 조직이 금융 정보 수집을 위해 아이피와
기능만 약간 수정하여 끊임없이 악성코드를 유포하고 있는 것으로
추정된다.
① 공통점 1) hosts 파일 변조
금융정보를 수집하는 악성코드 이름은 대부분 mydat.dll, mydll.dll
이었으며 링크파일(.lnk)을 통해 실행되었다. 실행된 뒤에는 호스트 파일을
변조하여 가짜 금융 사이트로 접속을 유도하는데 해당 악성코드는 공격에
사용되는 아이피를 두 가지 방식을 통해서 얻어온다.
첫 번째 방식은 주로 서버에서 plus.php라는 파일의 내용을 읽어 아이피를
가져오는 방식으로, 소스 코드 상에는 인코딩되어 있지만 악성코드 내부의
디코딩 루틴을 거친 후에는 공격 아이피와 도메인의 내용이 나타나게 된다.
< 서버 내 아이피가 저장된 plus.php > < 디코딩 된 plus.php 내용 >
< plus.php 디코딩 모듈 >
두 번째 방식은 중국 블로그에서 아이피를 파싱해오는 방식이다. 주로
user.qzone.qq.com이라는 중국 블로그에서 ‘#’을 기준으로 아이피를
검색한 후 금융 사이트 접속 시 해당 아이피로 연결되도록 호스트 파일을
변조한다.
< 중국 블로그 내 아이피 > < ‘#’을 기준으로 아이피 검색 >
초기에는 첫 번째 방식과 두 번째 방식이 번갈아 사용되었으나 최근
에는 두 방식을 함께 사용하는 악성코드가 발견되고 있다. 그 이유는
추가 악성코드 유포지가 차단되었을 때를 고려하여 두 가지 방식을
함께 사용하는 것으로 보인다. 두 번째 방식은 실제 국제 협력 채널을
사용해야하기 때문에 중국 블로그에 조치 요청하기까지 많은 시간이
소요되고 있다.
< 악성코드가 생성한 호스트(host.ics) 파일 >
② 공통점 2) 공인인증서 수집
악성코드는 대부분 공인인증서가 저장되어 있는 NPKI 폴더를 압축
하여 해커의 정보유출지로 유출하였다.
< 공인인증서가 저장된 NPKI 폴더 검색 모듈 >
③ 공통점 3) 7-zip에서 사용되는 커맨드 형식의 압축 방식 사용
40개 이상 사이트에서 유포된 악성코드는 공통적으로 공인인증서가
저장된 NPKI폴더를 7-zip 압축프로그램 콘솔버전(7za.exe)으로 압축
하였다.
< 7-zip 압축 프로그램으로 공인인증서가 저장된 NPKI 폴더를 압축하는 모듈 >
명령어를 확인한 결과, 악성코드는 대부분 압축 파일 형식을 .7z으로
압축 비밀번호는 123으로 사용하였다. 악성코드가 압축 시 사용하는
7-zip 옵션별 의미는 아래 표와 같다.
※ 악성코드 사용한 7-zip 명령(예) : C:\7az.exe a –t7z –p123 –aoa –mhe [공인인증서]
옵션 의미a 파일 추가-t 파일 타입-p 압축 비밀번호
-aoa 덮어쓰기-mhe 파일의 헤더까지 암호화
< 악성코드가 사용하는 옵션별 의미 >
< 압축 된 NPKI 폴더 > < 압축을 푼 뒤의 파일 >
④ 공통점 4) 사용자를 인식 및 관리하기 위해 사용자 계정 유출
악성코드는 CPU 종류, 운영체제 정보, RAM 크기 등을 유출하는데
해당 정보는 감염된 사용자를 인식하고 관리하기 위함으로 추정된다.
수집한 데이터는 아래 모듈을 통해 인코딩하는 것으로 확인되었다.
< 인코딩 하는 연산과정 >
⑤ 공통점 5) 現 프로세스 실행 목록에서 백신 종료
악성코드는 현재 프로세스 실행 목록에서 백신 프로세스나 서비스를
검색하고 기능을 멈추거나 백신을 종료한다.
악성코드가 검색하는 백신 프로세스 백신 이름V3LSvc.exe V3 LiteAYRTSrv.aye 알약
avp.exe 카스퍼스키Rstray.exe Rising Antivirus
KSafeTray.exe Kingsoft System Defender
< 악성코드가 종료하는 백신 >
⑥ 공통점 6) 분석 방해를 위해 Base64 디코딩 방식 사용
악성코드는 정보 유출지 서버, 레지스트리 경로, 백신 명, 함수 명
등 주요 문자열을 전부 Base64로 인코딩하였다. 해커는 악성코드가
문자열로 인해 쉽게 분석되는 것을 피하기 위해 문자열을 전부 Base64로
인코딩하였다. 문자열은 사용되기 직전 Base64 디코딩 함수를 거친 후
사용되었다.
※ Base64 방식 : 8비트 이진 데이터를 문자 코드에 영향을 받지 않는 공통 ASCII 영역의
문자들로만 이루어진 일련의 문자열로 바꾸는 인코딩 방식
< 인코딩된 문자열 >
⑦ 공통점 7) Gh0st Rat 3.75 악성코드 추가 다운로드
해커는 다양한 용도로 감염PC를 활용하기 위해 Gh0st 3.75계열 원격
제어 및 DDoS 공격 악성코드를 유포하고 있는 것으로 나타났다. 원격
제어 기능으로는 키보드 및 마우스 제어, 화면 제어, 파일 다운로드 등이
있으며 DDoS 기능으로는 GET, SYN, UDP, ICMP Flooding 등이 있다.
테스트 결과, 실제 악성코드가 Gh0st Rat 3.75 관리 프로그램에 접속
되어 제어 가능하였다.
< 악성코드 내 GET Flooding 모듈 >
< Gh0st Rat 3.75 프로그램에 접속한 악성코드 >
순번 서버 국가 순번 서버 국가1 xxx.xx.xxx.xxx 태국 28 xx.xxx.xxx.xx:xxx/plus.php 미국2 xxx.xx.xxx.xxx 태국 29 xx.xxx.xxx.xx:xx/plus.php 미국3 xxx.xx.xxx.xxx 태국 30 xx.xxx.xxx.xx:xxx/plus.php 미국4 xxx.xx.xxx.xxx 태국 31 xx.xxxxxxxx.com -5 xxx.xx.xxx.xxx:xxxx - 32 xx.xxxxxxxxxx.com 홍콩6 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 33 xxx.xxxxxx.com -7 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 34 xxxxx.com/plus.php 일본8 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 35 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그9 xxx.xxx.xxx.xxx 미국 36 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그10 xx.xxx.xx.xxx 일본 37 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그11 xx.xxx.xx.xxx 일본 38 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그12 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 39 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그13 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 40 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그14 xx.xxx.xxx.xxx 미국 41 xx.xxxxx.com -15 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 42 xx.xxxxx.com/shit.php -16 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 43 xx.xxxxx.com 미국17 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 44 xx.xxxxx.com -18 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 45 xx.xxxxxx.com -19 xxx.xxx.xxx.xx/plus.php 미국 46 xx.xxxxxx.com:xxxx/plus.php -20 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 47 www.xxxxx.com:xxxx/plus.php -21 xx.xxx.xxx.xxx 일본 48 xxx.xxx.xx.xx 일본22 xxx.xxx.xx.xx 일본 49 xxx.xxx.xxx.xx 일본23 xxx.xx.xxx.xx 일본 50 xxx.xx.xx.xx 홍콩24 xx.xxx.xx.xxx 일본 51 xxx.xxx.xx.xxx -25 xxx.xxx.xxx.xx 미국 52 xx.xxxxx.com -26 xxx.xxx.xxx.xx 미국 53 user.qzone.qq.com/xxxxxxxxx 중국블로그27 xxx.xxx.xxx.xx 미국 54 xxx.xxx.xxx.xx 미국
o 해커가 이용한 서버 및 취약점 분석 결과
‘13년 9월부터 해커가 이용한 서버를 분석한 결과, 악성코드는 피싱
아이피를 전달받기 위해 대부분 plus.php에서 정보를 수집하였다. 국가
별로는 피싱 아이피 정보 수집 및 정보 유출을 위해 미국에 존재하는
서버를 애용하였다. 또한 호스트 파일에 기재되는 피싱 아이피는 주로 일본
서버를 애용하였으나 해당 서버가 해킹되어 이용되었을 가능성도 존재한다.
해커는 약 12가지 취약점 등을 이용하여 악성코드를 유포하는 것으로
확인되었다. 또한 악성코드 감염률을 높이기 위해 대중적으로 사용되는
브라우저, 자바 취약점 등을 이용하였다.
순번 CVE 번호 설명1 CVE-2011-3544 Oracle Java SE Rhino Script Engine 입력값 검증 오류 취약점2 CVE-2012-0507 Oracle Java Sandbox 우회 원격 코드 실행 취약점3 CVE-2012-0634 Apple iTunes, Safari에서 사용되는 Webkit 메모리 손상 취약점4 CVE-2012-1723 Oracle Java SE 원격 코드 실행 취약점5 CVE-2012-1889 Microsoft XML Core Services의 초기화 되지 않은 메모리 개체 접근으로 인한 원격코드 실행 취약점6 CVE-2012-3544 Apache Tomcat 서비스 거부 취약점7 CVE-2012-4681 Oracle Java Sandbox 우회 원격 코드 실행 취약점8 CVE-2012-5076 Oracle Java Security Manager 우회 원격 코드 실행 취약점9 CVE-2013-0422 Oracle Java Runtime Environment 원격 코드 실행 취약점10 CVE-2013-0634 Adobe Flash Player 메모리 손상 취약점11 CVE-2013-2465 Oralce Java SE 메모리 손상 취약점12 CVE-2013-3897 Internet Explorer 메모리 손상 취약점
o 피싱 사이트에서 QR코드를 통해 악성 앱 유포
악성코드에 감염되면 호스트 파일 변조 방식으로 금융사이트 뿐만
아니라 사용자가 다수인 사이트(유명 포털 사이트 등)도 피싱 사이트로
연결한다. 사용자가 웹 검색 등을 위해 유명 포털사이트 등에 접속하면
해커가 구성한 가짜 페이지가 보여주고 이 때 보안관련 인증절차를
요구한다. 인증을 위해 해커의 은행 피싱 사이트에 로그인하면 아이디
및 패스워드가 암호화되지 않은 채 정보유출지로 전송된다.
< 로그인 유도 페이지 > < 평문 그대로 값 전달 >
이 후 악성코드는 2채널 본인 인증을 위해 큐싱 기법으로 악성 앱
설치를 유도한다. 해커는 QR코드를 인식하는 앱이 설치되지 않은 상황을
대비해 QR Droid의 추가 설치를 권유하였다. QR코드를 사진처럼 찍으면
악성 앱 다운로드용 URL로 연결되어 설치가 시작되었다.
< 2차채널 보안인증을 위해 악성 앱 설치 유도 > < QR Droid 설치 권유>
□ 스마트폰 악성 앱 분석 결과
o 큐싱(Qshing)을 통해 다운로드 되는 악성 앱의 특징
해커는 악성코드와 악성 앱을 함께 배포하여 복합적으로 사용자를
공격하였다. 해커는 악성 앱 유포 경로로 QR 코드를 선택하였는데
이는 제작자 추적이 어렵고 앱 다운로드를 위해 연결되는 URL의 악성
여부 확인이 어렵기 때문으로 보인다. QR코드를 통해 설치된 악성
앱은 스마트폰 기기에 능숙하지 못한 사용자가 앱 삭제를 쉽게 못하도록
기기 관리자로 자기 자신을 등록한다. 악성 앱을 실행하면 서버 점검중
이라는 허위 메시지를 보여주어 사용자를 속인다.
◯1 악성 앱 설치 유도 ◯2 관리자 권한으로 등록◯3 서버 점검중이라는
허위메시지
이 후 악성 앱은 사용자 스마트폰 정보, 전화번호부, SMS 메시지를
유출하고, 서버에 1분 간격으로 접속하여 명령을 기다린다. 악성 앱은
서버에서 전송한 명령에 따라 문자 수신 방해, 착신 전환 서비스 설정
시도 등을 수행한다.
< SMS 메시지 유출 코드 일부>
< 서버에 명령을 요청하고 수신한 명령을 수행하는 코드 일부 >
하지만 해당 악성 앱은 사용하는 착신 전환 설정 방식이 우리나라 이동
통신 사업자의 방식과는 다르기 때문에 외국(중국, 유럽 등)에서 제작
된 앱으로 추정된다. 외국의 경우는 착신전환 코드가 ‘**21*연결희망번
호#’으로 설정이 가능하지만 우리나라는 우선 이동통신사의 홈페이지
나 오프라인 대리점 등에서 착신전환 유료 부가서비스를 가입해야 하
고, 설정 코드도 ‘*71연결희망번호’로 다르다. 따라서 해당 앱을 통해
실제로 착신 전환이 설정 되지는 않지만 이 부분이 우리나라 이동통
신 환경에 맞게 개발 된다면 은행의 자금 이체 시 추가 보안 방법인
SMS, ARS 인증을 우회하여 금융사기에 악용 될 수도 있을 것으로
보인다.
< 착신전환 설정/해지 코드 일부>
< 착신전환 부가서비스 가입 방법> (’14.04.11)
SKT KT LG UPlus
홈페이지, 114 고객센터, 고객센터 앱 오프라인 매장 홈페이지, 고객센터 앱
□ 악성코드 감염 예방 방법 및 대처
한국인터넷진흥원은 매일 취약한 사이트에서 악성코드 유포 현황을
모니터링하고 있으며 악성코드 분석을 통해 악성코드 유포지, 정보수집
서버 등을 조치․차단하고 있다. 뿐만 아니라 파급력이 높은 악성코드는
백신사에 샘플을 공유하고 백신 개발을 요청하여 이용자 피해 최소화를
위해 노력하고 있다. 또한 최근에는 금융사별 악성코드 대응을 위해 추가
보안 인증 방법 등을 도입하고 있다. 그러나 해커는 끊임없이 취약한 사이트를
찾아 악성코드를 유포하고 있으며 변경된 인터넷 뱅킹 절차에 따라 진화된
악성코드를 유포하고 있다. 따라서 취약한 사이트에 접속하더라도 악성
코드에 감염되지 않도록 사용자는 PC와 스마트폰의 백신을 최신 버전
으로 업데이트하고 주기적으로 검사해야 한다. 또한 평소 정품 소프트웨어를
사용하고 의심스러운 사이트 방문과 P2P 등 악성코드 유포지로 악용될
수 있는 서비스 이용을 자제해야 한다. 공인 인증서는 가급적 외부 저장소에
저장하는 것이 좋으며 스마트폰에 알 수 없는 출처의 앱을 다운받을 때는
주의해야 한다. 악성코드에 감염이 의심되면 일단 백신으로 검사한 후 118센터
등에 신고하는 것이 필요하다.
