포스팅 내용

악성코드 분석 리포트

애드웨어 업데이트로 퍼지는 파밍 주의!

애드웨어 업데이트로 퍼지는 파밍 주의!


개요


인터넷 이용자들이 특정 유틸리티 프로그램을 검색할 때 키워드 광고 목적을 가진 파일이 노출되도록 만든 변칙적 광고프로그램 웹 사이트가 아직도 기승을 부리고 있습니다.


이러한 프로그램은 마치 공식적인 프로그램인양 당당히 위장을 하고 있으나, 대체로 끼워팔기 식으로 또 다른 광고모듈을 동시다발적으로 설치합니다. 이 때문에 많은 인터넷 이용자가 이와 유사한 프로그램들에 각종 불만과 피해를 호소한지 한참 오래된 상황입니다.


이런 유형의 프로그램들은 이용자들이 명확하게 유입과정을 인지하지 못한 사이에 몰래 설치되고, 지속적으로 업데이트서버와 통신해 이용자가 원치 않는 광고행위를 은밀히 수행하게 됩니다.


 <스크롤 밑에 몰래 숨겨져 있는 애드웨어들>


지금까지 애드웨어는 그 자체로도 큰 불편함과 부작용을 유발했는데, 지금은 더 나아가 해당 서버의 업데이트 파일까지 변조돼 전자금융사기 목적의 파밍용 악성파일 유포통로로 악용되고 있어 매우 심각한 보안위협으로 대두되고 있는 실정입니다.



유포과정


애드웨어는 다양한 경로를 통해 무차별적으로 배포되고 있어, 정확한 이용자 통계와 집계는 쉽지 않습니다.


그러나 통상적으로 많은 인터넷 이용자들이 이런 프로그램에 쉽게 현혹돼 무심코 설치한 사례가 많기 때문에 예상외로 많은 사람들이 사용하고 있을 것으로 추정됩니다.


그 동안 한국 맞춤형 전자금융사기 목적의 파밍용 악성파일은 웹 사이트와 각종 취약점을 결합해 보안이 허술한 상태에서 단순히 해킹된 웹 사이트에 접속하는 것만으로 악성파일에 감염되는 이른바 드라이브 바이 다운로드(Drive by download) 기법이 가장 유행을 했습니다.


그렇지만 이런 방식은 많은 보안업체의 관제와 센서에 꾸준히 탐지되어 빠른 대응이 이뤄지고 있는 상황이고, 이용자에게 해당 보안취약점이 존재하지 않을 경우 충분히 사전 예방이 가능합니다.


그런 와중에 한국 애드웨어 업체의 서버를 악용해 파밍 악성파일 유포가 은밀하고 지속적으로 증가하고 있어, 각별한 주의가 필요한 상태입니다.


애드웨어가 기본적으로 가진 자동업데이트 기능으로 인해 이용자의 행위와도 무관하고, 보안취약점과도 별개로 애드웨어가 있는 것만으로 파밍에 자동 노출되는 피라미드 단계 식 연쇄감염 현상이 발생하고 있는 것입니다.



<애드웨어 서버를 통한 파밍공격 과정>



분석정보


공격자는 “Wiseman Support” 프로그램의 서버를 해킹해 수 개월 이상 은밀하게 파밍용 악성파일 전파통로로 악용하고 있는 실정입니다. 특히, 시간차를 두고 일정시간만 은밀히 배포하고, 다시 정상적인 원상태로 만들어 보안모니터링을 회피함과 동시에 오랜 기간 잠복하고 있는 상태입니다.


또한, 실제 광고프로그램을 직접 변조해 정상프로그램과 함께 악성프로그램을 동시에 유포한 경우도 있고, 다양한 웹 서버를 해킹해 악성파일을 링크해 경유지로 악용한 사례도 많습니다.


<유포지로 악용된 주요 웹 사이트들>


해커는 이미 다수의 웹 사이트를 해킹해 파밍 악성파일 유포에 이용하고 있습니다. 대체로 “Wiseman.exe” 파일로 위장하거나 “ad_숫자” 폴더를 만든 후 하위에 변종 악성파일을 배포하고 있습니다.


“ad_숫자” 형식으로 만들어지는 방식은 공격자 스스로 폴더를 좀더 쉽게 식별하기 위한 목적으로 보여지며, 가끔 파일명은 동일하지만 Hash가 변경된 변종이 유포되는 경우도 발견된 바 있습니다.


이 서버들은 이미 해커가 서버 접근 권한을 보유하고 있을 것으로 예상되며, 해당 웹 사이트 관리자들은 내부 보안점검을 통해 취약점 제거 노력이 필요합니다.


공격자는 평상시엔 정상적인 애드웨어의 업데이트 기능을 그대로 유지하다가 특정 임의의 시간에 다음과 같이 변경을 하게 됩니다.


2015년 11월 11일 오후 4시경부터 10~30분 간격으로 공격자는 계속 변종 파밍 악성파일을 배포했고, 오후 6시 30분경부터는 다시 정상파일로 돌려놓은 상태입니다.



<시간차로 변종 파밍을 유포한 이력>


악성파일은 애드웨어의 자동업데이트 기능을 통해 몰래 설치되기 때문에 이용자가 인지하기란 거의 불가능에 가깝습니다.


업데이트는 http://xxx.xxxxxxxxx.com/wms/files/Wiseman.exe 주소에서 http://xxx.xxxxxxxxx.com/wms/file/Wiseman.exe 주소로 변경이 되어 있어 정상적으로 파일이 배포되고 있지는 않습니다.


다만, 공격자는 이 내용을 잘 알고 있으며, 어차피 기존 업데이트 경로는 그대로 유지되고 있는 상태입니다. 더군다나 무결성 체크기능 등도 전혀 존재하지 않기 때문에 업데이트 URL 주소만 변경하면 언제든지 파밍용 악성파일을 손쉽게 유포할 수 있는 최적의 환경을 갖추고 있습니다.



<애드웨어 업데이트 진행 과정>


이런 과정을 거쳐 악성파일에 감염되면 컴퓨터의 호스트파일(hosts, hosts.ics)을 변조해 특정 포털, 전자상거래, 인터넷뱅킹 웹 사이트에 접속 시 파밍 IP주소로 강제 연결되는 것입니다.


<변조된 호스트파일 화면>


그렇게 호스트 파일이 변조된 상태에서 포털 사이트 등에 접속 시 다음과 같이 허위 금융감독원 보안인증 요구화면이 나타나게 됩니다.


<허위 금융감독원 팝업 화면>


허위 금융감독원 팝업 화면은 국내 대부분의 포털 사이트에 접속할 때마다 상단에 출력되기 때문에 이용자는 불편을 겪게 됩니다.


만약 이 화면을 통해 실제 금융사이트로 접근하게 될 경우 매우 정교하게 조작된 가짜 금융사이트가 연결되며, 공인인증서(NPKI) 유출 및 각종 개인금융정보를 요구하는 파밍사이트에 속아 예기치 못한 피해를 입을 수 있습니다.



마무리

전자금융사기 범죄자들이 각종 보안취약점을 활용한 드라이브 바이 다운로드 공격기법보다 한 단계 더 진화한 방식을 채택해 무차별적인 보안위협을 가하고 있어 인터넷뱅킹 이용자들의 각별한 주의가 필요한 상황입니다.

애드웨어 서버를 악용한 이 기법은 보안취약점이 존재하지 않아도 이미 애드웨어에 감염된 이용자를 대상으로 피라미드처럼 단계별 노출현상을 이용한 매우 지능적이고 차별화된 공격 형태를 띠고 있습니다. 

공격시점도 시간차를 두고 특정기간만 업데이트 기능을 활성화해 치밀하게 넣고 빠지기 전략을 사용하고 있어 단순히 웹 사이트 관제만으로는 해당 공격을 탐지하고 대응하기가 현실적으로 매우 어렵습니다.

현재 공격자는 특정 애드웨어 업체의 서버접근 권한을 탈취해 지속적으로 업데이트 기능을 악용하고 있습니다. 따라서 해당 서버의 관리자는 웹 취약점과 외부접근 권한을 즉시 제거하고, 업데이트 기능도 무결성 검증기능을 강화하는 조치가 필요합니다. 또한, 기존에 공격 유포지로 사용됐던 사이트들도 보다 적극적인 조치를 통해 공격자가 더 이상 악용하지 못하게 하는 노력이 절실합니다.

현재 알약에서는 해당 악성파일에 대해 Spyware.KRBanker.csrssTrojan.Dropper.KRBanker.csrss 탐지하고 있습니다.



티스토리 방명록 작성
name password homepage