태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

빛스캔 한국 인터넷 위협 분석 브리핑 1월 5주차 중 금융정보 탈취 부분 발췌

 

  • 현재 국내 금융정보 탈취형태의 악성코드 유포가 계속 되고 있으며, 관련 사고가 계속 발생 됨에 따라 분석 브리핑을 통해 발송된 내용 중 금융 정보 관련된 내용을 별도로 발췌하여 전달 드립니다. 현재 상태는 백신은 탐지를 우회하고, 차단을 대비해 상시적으로 변경하는 상태, 초기 악성코드 설치 시에는 주요 백신 프로세스를 죽여서 탐지가 되지 않도록 하는 행위를 기본으로 하는 상태입니다.

     

금융 정보 탈취

 

빛스캔에서는 지난 5~6월부터 지속적으로 금융정보 탈취 악성코드가 유포된다고 알려 왔습니다. 이번주에는 대규모 유포된 금융 정보 탈취 악성코드의 역할에 대해서 알아보겠습니다.

 

<호스트파일 변조 대상 금융 사이트>

 

- 7.229.54.xx, 67.229.68.xx, 110.34.225.xx (다수)

<금융정보 탈취 사이트 주소>

 

악성코드에 의한 금융정보 계정 탈취를 막기 위해 위의 사이트를 차단하고, 탐지 정책에 추가할 필요가 있습니다.

 

금주 차에 집중 분석된 악성코드는 기존과 다르게 보안서비스를 팝업으로 띄우지 않으며 ID/PW 로그인시 보안카드정보 및 사용자명, 주민등록번호 등을 수집합니다. 특징으로는 기존 호스트파일 변조하는 방식에서 Internet Explorer에서 은행사이트로 접근 시 원래 은행사이트와 동일하게 제작된 피싱 사이트로 리다이렉트하여 금융정보를 탈취합니다. 결론적으로 Host 파일 변조를 통한 공격기법에서 변화하는 양상을 보이고 있습니다. 사용자 PC의 모든 권한을 가진 상태이기에 그 어떤 일도 할 수 있는 상태라서 가능한 부분이 되겠습니다. 또한 악성코드들 대부분이 추가 다운로드 기능을 가지고 있는 상태이며, 외부로 업데이트를 확인 하는 행동들이 감지 되고 있습니다. 만약 악성코드에 감염된다면 추가 업데이트를 통해 DDoS나 원격화면정보 등을 수집하는 봇 에이전트를 추가 설치하는 등 2차 침해사고도 예상됩니다.

 

<금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나>

 

국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 3가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 심각한 상황입니다. 이 MalwareNet만 해도 총 20여군데에 영향을 미치고 있습니다.

 

<은행 피싱 악성코드 유포한 악성링크 구조도>

 

공격 기법상으로는 자바 제로데이(CVE-2013-0422)를 포함한 6종의 자바 취약점을 이용한 공격과 XML 취약점을 이용한 공격을 포함하여 총 7가지의 취약성을 이용한 공격이 탐지되었습니다. 초기 다운로더만을 사용자 PC에 설치하는 공격에서는 기존에 시스템에 존재하는 백신과 업데이트 주소를 모두 중지 시킨 상태에서 공격용 도구들이 추가 다운로드가 되게 됩니다. 즉 초기 공격이 성공한 이후에는 감시 할 수 있는 방안이 거의 없는 상황이라 할 수 있을 것입니다.

 

<추가 다운로드 네트워크 캡쳐>

 

와이어샤크로 네트워크 패킷을 캡쳐 결과 이 악성코드가 실행된 후에 추가 다운로드를 받는 것을 확인할 수 있습니다. test.wsad111.asia 도메인의 IP주소를 질의하여 49.129.62.144 IP주소가 확인 되었으며, 국경을 벗어나 국제적으로 활동하는 양상을 직접 확인 할 수 있으며, 일본의 IP 대역도 정보탈취에 직접적인 역할을 하는 것으로 관찰 되었습니다.

 

<test.xxxxx.asia 도메인의 IP 주소>

<test.wsad111.asia 도메인의 IP 주소 변경>

 

해당 피싱 사이트 주소가 막힌 다음에 다시 접속을 시도해보니 test.xxxxx.asia 도메인의 IP주소를 질의하여 49.129.62.144 와는 다른 203.136.164.61 로 바뀐 것을 확인 하였습니다. 공격자는 피싱 사이트의 주소가 막힐 것을 우려하여, 도메인주소는 유지한 상태로 IP만 주소만 변경하여 활용함으로써 정보 탈취를 하려는 시도를 엿볼 수 있습니다.

<test.xxxxxx.asia 도메인의 바뀐 IP 주소>



<추가 다운로드 되는 파일의 설정내용>



<국내 대응으로 인한 공격자들의 피싱 사이트 주소 변경(피싱 사이트 주소 접속 제한시)>

 

추가 다운로드 파일 안에는 피싱 사이트 주소, 호스트 파일 수정, 봇 에이전트를 추가로 다운 받으며 IE를 통해 은행권 사이트에 접속시 리다이렉트를 통해 피싱 사이트로 이동합니다.

 

<동적 분석의 일부분>

<hosts 파일 변경 전>

<hosts 파일 변경 후>

호스트파일 내에 별도의 피싱 사이트 주소를 등록한 상황이 아니기 때문에 변경여부 및 위험성 여부에 대해서 확인 하기 어렵습니다. 호스트 파일에 특별한 등록이 없는 상태에서도 악성코드에 감염이 된다면 일상적인 인터넷 뱅킹 접속 시도에서도 정보유출용 사이트로 접속 되는 현상을 확인 할 수 있습니다.

<검색 사이트에서 국민은행 검색하여 접속>

 

<국민은행 피싱 사이트>

 

검색 사이트에서 정상적으로 검색을 하고 접속을 하여도 피싱 사이트로 리다이렉트 되는 것을 확인할 수 있습니다. 주소창을 보아도 정상적인 국민은행 사이트 주소(www.kbstar.com) 입니다. 사용자들이 피싱 사이트인지 정상 사이트인지 구분하기가 매우 어렵습니다. 구분하는 방법은 정상 사이트들은 보안카드 비밀번호 전부를 요구하지는 않는다는 정도이며 이를 잘 모르는 사람들은 피싱에 그대로 노출될 수 밖에 없는 상황입니다. 권한을 가지고 자유자재로 통제되는 좀비 PC는 이미 소유권은 다른 곳에 있을 뿐입니다.

 

<국민은행 정상 사이트>

 

국민은행을 악성코드에 감염되기 전에 접속한 정상 사이트 화면입니다. 화면상으로는 피싱사이트와 구분하기가 매우 어렵습니다.

 

<최소 8자리 비밀번호인데 6자리 입력만으로도 통과>

 

금융권 최소 비밀번호가 8자리인데도 불구하고 6자리 만으로도 통과가 되며 인증서가 없는데도 불구하고 다음 창으로 넘어가게 됩니다. 만약 인증서가 있다면 해당 인증서가 나타난 이후 입력되는 인증서 비밀번호가 그대로 공격자에게 전달 될 수 밖에 없도록 구성 되어 있습니다.

 

 

<전자금융사기 예방서비스라고 사용자들을 속임, 오타 포함>

 

고객님의 계좌가 위험한 지역에서 로그인 기록이 등록 되여 있습니다. 계좌의 안전을 위하여 지금 바로 금융사기예방 서비스 신청이 필요합니다. '되여' 부분이 오타입니다.

 

<이름, 주민등록번호 수집>

방문자의 이름과 주민등록번호를 수집하고 있습니다.

 

<국민은행 각종 금융 정보 수집>

 

사용자 ID, 출금계좌번호, 출금계좌비밀번호, 핸드폰번호, 보안매체 비밀번호 입력까지 모든 정보들을 입력할 것을 요구하고 있습니다. 분명 정상적인 절차는 아니지만 이에 대해서 잘 모르는 분들은 모두 입력할 수 밖에 없는 현실입니다.

 

<입력폼에 정보들이 입력될 때마다 금융 정보 유출>

 

공격자는 입력폼에 정보들이 입력될 때마다 금융 정보를 유출하고 있습니다. 이는 중간에 사용자가 정상적이지 않다는 인식을 할 수도 있고 중간에 브라우저들이 오류가 발생하여 금융정보를 탈취할 수 없는 상황을 예방하기 위하여 입력폼에 문자가 입력될 때마다 입력폼 정보인 금융정보를 유출하는 것을 확인할 수 있습니다.

 

<최종적으로 모든 입력폼에 있는 정보 다시 한 번 전송>

 

최종적으로 모든 입력폼에 들어 있는 금융 정보들을 다시 한 번 전송하는 치밀함을 보여주고 있습니다.

 

<두 시간 안에 금융정보를 탈취 할 목적으로 사용자들을 안심 시킴>

 

금융 예방 서비스 신청을 완료했다는 메시지로 사용자들을 안심시키며 2시간 후에 접속하라는 메시지를 보여줍니다. 이는 실질적으로 유출한 정보들을 사용하여 계좌이체를 할 수 있는 시간을 벌기 위한 수단입니다.

 

사용자 동의없는 피싱 사이트가 어떻게 해서 활개를 치는지 근본적인 부분을 심도있게 고민해 보아야 할 때입니다. 현재 상황에서 피싱과 파밍을 이용한 정보탈취 사이트가 활개를 치는 것은 악성코드가 대규모로 유포되기 때문입니다. 악성코드를 대규모로 유포하는데 가장 효과적인 것은 웹사이트를 해킹한 후에 악성링크를 추가하여, 모든 방문자들을 대상으로 감염을 시키는 것이 가장 효과적인 방법이라는 것을 공격자들도 알고 있으며 적극적으로 활용하고 있는 상황은 특단의 대책이 없다면 향후 더 심각한 상황을 수시로 마주하게 될 수 밖에 없을 것입니다.

 

지금까지 공인인증서 발급기관인 한국전자인증 악성코드 유포건을 비롯하여 금융권인 흥국증권에서 악성코드를 유포한 사건들은 보안이 상대적으로 잘되어 있는 국내 금융권조차 전체적인 웹서비스의 상시적인 관리와 유지 측면에서 문제가 있다는 것을 반증하는 사례이며, 보안에 신경을 쓰는 기업/기관 조차도 문제가 발생하는 상황인데, 일반 기업들의 서비스는 언급할 필요가 없을 것입니다.

 

웹 사이트는 수시로 수정하고 개편이 발생 될 수 밖에 없는 구조인데도 불구하고 웹 보안 검사는 1년에 1~2번 밖에 할 수 없는 게 현실입니다. 또한 모든 사이트들을 대상으로 할 수 없기에 대표적인 사이트만 할 수 밖에 없는 상황입니다. 상시적으로 웹 해킹에 사용되는 인자값 검사가 가능해야 악성코드가 대규모로 유포되는 근본적인 원인을 제거할 수 있을 것입니다.

 

마지막으로 방문자가 많은 사이트들에 대해서는 강력한 보안 규제가 필요합니다. 현재는 해당 사이트를 운영하는 관리자에게 통보를 하여도 제재할 수 있는 부분이 없기에 방치할 수 밖에 없는 부분도 있습니다.

개인정보보호법과 같은 부분은 사용자의 피해가 확인 되어야 문제 제기를 할 수 있는 부분입니다. 그러나 모든 권한을 다 가지고 웹서비스의 소스코드를 공격자가 직접 수정하는 것은 그 보다 더 심각한 상황임에도 불구하고 아무런 통제도 발생되지 않는 다는 점은 현재의 문제가 앞으로도 계속 될 수 밖에 없음을 예상케 하고 있습니다. 10이 되어야 처벌이 가능한데 이미 100에 도달한 단계라면 10이 아니기에 처벌 할 수 없다는 그런 상황이라 할 수 있을 것입니다.

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


신고
Posted by 바다란