포스팅 내용

악성코드 분석 리포트

애드웨어를 통한 금융정보 탈취위협 주의

애드웨어를 통한 금융정보 탈취위협 주의


■ 애드웨어, 메모리 해킹 보안위협 통로로 악용 중


2014년 10월 26일부터 국내 애드웨어(Adware) 모듈이 변조되어, 인터넷 뱅킹 이용자를 겨냥한 악의적 공격이 계속 포착되고 있습니다.


현재 애드웨어와 함께 은밀히 배포 중인 악성파일들은 ▶호스트 파일(hosts/hosts.ics)을 변조하는 파밍 방식과 ▶메모리 해킹기법의 악성파일 변종이 다수 유포되고 있어 인터넷 뱅킹 이용자들의 각별한 주의가 필요한 상황입니다.


[참고자료]

[악성코드 분석 리포트] Spyware.PWS.KRBanker.M

http://blog.alyac.co.kr/172



※ 설치 사례 ①


아래 웹 사이트는 겉으로 보기에 마치 일반적인 프로그램 자료실로 보여집니다.


그러나 이 사이트를 통해 받아지는 모든 파일은 별도의 다운로드 프로그램(Downloader)이 먼저 받아지게 되며, 이 프로그램에는 이용자가 눈치채지 못하게 숨겨져 있는 Adware 형태의 기능이 탑재되어 있습니다.


▲ 자료실처럼 꾸며진 애드웨어 배포 사이트


다운로드 버튼을 클릭한 후 파일을 받아보면 모두 동일한 아이콘이라는 것을 확인할 수 있습니다. 이는 사이트에 접속한 이용자들에게 별도 애드웨어를 배포하기 위한 일련의 의도된 절차입니다.



EXE 파일이 실행되면 별도의 프로그램 리스트와 함께 약관을 보여주는데, 이것은 이용자로 하여금 무심코 암묵적 동의에 합의하도록 유도함을 의미합니다.


▲ 파일 전송 프로그램으로 위장한 애드웨어 설치기법


약관보기 부분을 클릭하면 웹 브라우저가 실행되며, 별도의 이용약관 내용이 인터넷으로 연결됩니다.


▲ 웹 기반의 이용약관


웹 사이트 기반의 이용약관은 제공자가 언제든지 자유롭게 수정/변경이 가능하기 때문에 법적 효력이 유효하다고 보기 어렵습니다. 더불어 합법적 제휴 프로그램 배포로 보기 어려울 정도로, 10여개의 각기 다른 프로그램이 동시다발적으로 은밀하게 설치됩니다.


특히, 추가 설치과정이 절대 노출되지 않도록 절차상 의도가 불순하며, 배포서버의 설정을 변경해 언제든지 임의로 파일을 교체할 수 있다는 점에 주의가 필요합니다. 아래 화면은 실제 애드웨어 서버의 설정파일의 내용이며, 수시로 변경되고 있습니다.


▲ 추가 설치되는 프로그램 목록


이런 방식으로 배포되는 파일은 이용자에게 의도하지 않은 불편과 예기치 못한 피해를 끼칠 수 있어 애드웨어(Adware) 라고 말하기도 하며, 잠재적으로 원하지 않는 프로그램, 일명 PUP (Potentially Unwanted Program) 등으로 분류하여 보안 제품에서 삭제를 권장하고 있기도 합니다.


그렇다면 왜 전자금융사기 범죄자가 애드웨어 프로그램에 몰래 끼워팔기 식으로 악성파일을 배포하고 있는 것일까요?


그들은 이러한 애드웨어가 이미 많은 사람에게 설치되어 있다는 점과 여타 Drive-by Download 기법처럼 특정 보안 취약점을 이용한 방식이 아니기 때문에 취약점 존재여부와 상관없이 누구나 감염대상에 포함시킬 수 있습니다. 또한 애드웨어 업데이트 기능을 통해 언제든지 자유롭게 배포가 가능하다는 장점을 들 수 있습니다.


범죄자는 앞서 살펴본 사례에서 특정 서버를 해킹해 애드웨어와 함께 악성파일이 함께 설치되도록 파일을 변조합니다. 이후 변조된 파일이 실행되면 원격 호스트(http://67.229.232.212:6759/andy.php)로 접속하여 암호화된 호스트 파일 데이터를 가져오게 됩니다.


[참고자료]

파밍 악성코드의 호스트파일 암호화 기법 고찰 (http://blog.alyac.co.kr/157)


“andy.php” 파일은 압축 파일처럼 헤더를 조작하고 있지만 악성파일에 의해 “data.mdb” 파일로 복호화되어 생성된 후, “hosts.ics” 파일로 만들어집니다.  후 기존에 존재했던 “hosts” 파일은 삭제해 “hosts.ics” 파일에 의해서만 작동되도록 조작하고, 정상적인 금융 사이트에 접속 시 가짜 사이트로 연결되도록 파밍 설정을 진행합니다.


▲ 생성된 악성 hosts.ics 파일 화면


▲ hosts.ics 파일 내부 화면



※ 설치 사례 ②


이번 방식도 기존과 동일하게 겉으로 보기에 자료실 사이트와 비슷하게 만들어져 있습니다. 이곳에서 받아지는 파일들도 애드웨어 설치를 돕기 위한 방식으로 운영되고 있습니다.


▲ 자료실처럼 꾸며진 애드웨어 배포 사이트


이곳에서 배포되는 파일들은 실행 시 나오는 화면을 마치 윈도우 운영체제에서 사용했던 것과 흡사하게 만들어 이용자를 현혹시키고 있습니다.


다운로드 화면에는 추가 설치 프로그램 부분을 교묘하게 숨겨놓았고, 기존과 마찬가지로 이용약관 역시 웹 사이트 기반으로 법적 효력 성립은 어려운 조건을 갖추고 있습니다.


▲ 정상화면처럼 모방한 애드웨어 배포 다운로드 화면


이 프로그램에 의해서 설치되는 방식도 특정 설정 파일에 의해서 아이템이 변경되며, 광고 제휴 등을 통해서 무작위로 배포될 수 있습니다.


아래는 실제 설정 파일의 내부 코드로 다양한 애드웨어 파일들의 목록이 포함되어 있는 것을 알 수 있으며, 이 파일들은 이용자가 알기 어렵게 몰래 설치가 진행됩니다.


▲ 추가 설치되는 프로그램 목록


이 파일에 의해서 설치되는 파밍용 악성파일도 앞서 언급한 것과 동일하게 호스트 파일(hosts.ics)을 변경하여 전자금융 사기용으로 활용하고 있습니다.


이처럼 애드웨어 서버의 파일을 조작한 방식은 불특정 다수에게 부지불식간에 악성파일을 설치할 수 있기 때문에 그 파급효과는 예상보다 커질 수 있습니다. 현재 일부 사이트에서는 다음과 같이 홈페이지에 공지사항으로 악성파일 변조 유포 사실을 안내하고 있습니다.


▲ 악성파일 유포한 업체(변조된 사이트)의 공지화면


과거부터 오랜 기간 다수의 애드웨어 파일들이 변조되어 전자금융사기용 악성파일 유포 통로로 활용되고 있는 실정입니다.


애드웨어에 노출되지 않도록 하기 위해서는 무료 프로그램 이용에 각별히 주의해야 합니다. 반드시 신뢰할 수 있는 공식 개발 사이트에서 다운로드 하여 설치하는 습관이 무엇보다 중요합니다.


이처럼 최근 금융보안 모듈을 무력화하고 메모리를 변조하는 지능적인 전자금융사기용 악성파일이 변칙적 광고 프로그램인 이른바 애드웨어를 통해서 은밀하게 전파되고 있는 상황입니다.


포털 사이트의 블로그나 인터넷 카페 등에 마치 정상적인 무료 프로그램처럼 둔갑한 애드웨어 내부에 별도의 악성파일이 몰래 숨겨져 있다는 점에 이용자들의 각별한 주의가 필요합니다.


메모리 해킹용 악성파일에 감염 시 인터넷 뱅킹을 이용할 경우, 다음과 같은 가짜 보안카드 입력 화면이 발생할 수 있습니다. 이러한 화면을 확인하실 경우, 100% 가짜 보안 카드 입력화면이므로 절대로 관련 번호를 입력해서는 안 됩니다.



▲ 가짜 보안카드 입력 화면




▲ 허위 오류 메시지


2013년 7월경에도 다수의 애드웨어 파일이 변조되어 “kakutk.dll” 이름의 메모리 해킹용 악성파일이 배포된 바 있고, 최근 들어 새로운 변종들이 또 다시 유포되고 있습니다.


이런 방식은 자신의 컴퓨터가 최신의 보안상태를 유지하고 있더라도 변칙적인 애드웨어에 현혹되어 노출되는 순간 파급력 및 위험도가 높은 악성파일에 동시 감염될 수 있다는 점에서 시사하는 바가 크다고 할 수 있겠습니다.


사이버 범죄자들은 인터넷 뱅킹 이용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있습니다. 따라서 과도하게 금융 정보를 요구하는 웹 사이트가 있다거나 절대 공개되어서는 안될 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 십중팔구 가짜 사이트라는 점을 명심해야겠습니다.



  1. Ec0nomist 2014.10.30 02:40 신고  수정/삭제  댓글쓰기

    상당히 깔끔하고 명료하게, 저같은 보안 초보도 읽기 쉽게 작성이 되었네요^^ 누가 쓴건지 몰라도 대단하네요.ㄷㄷ 잘 읽고 갑니다~

티스토리 방명록 작성
name password homepage