태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

정교하고 신속하게 변화되는 파밍 공격.

(포털 배너의 신뢰성을 이용한 금융정보 탈취-)

 

금융정보 탈취를 위한 파밍 악성코드는 2013년부터 활발하게 감염을 시도하고 있는 상황이다. 이에 따라 금융정책 당국 및 금융기관에서도 여러 수준의 경고를 통해 사용자에게 주의를 환기 시키고 위험성을 당부하고 있다. 그러나 이미 2013년 상반기에만 2012년 전체의 피해를 상회하는 피해금액이 발생된 상태에서 보듯 확산일로에 있다. 피해확산의 원인 중 가장 큰 부분은 불특정 다수를 겨냥한 대량 감염이며, 대량 감염을 위해 웹서비스를 방문함과 동시에 감염되는 Drive by download 공격을 공격자들이 이용하고 있기 때문이다.

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0006478598

 

2012년까지만 해도 웹서비스를 통한 악성코드 감염은 게임계정 탈취가 대세를 이루고 있었으나 2013년 시작부터 금융 정보 탈취로 대거 선회하고 있는 상황이라 피해 급증은 충분히 예상된 상황이라 할 것입니다. 일반 소비자 및 사용자들의 커뮤니티에도 낯설지 않게 파밍 관련 피해에 대한 글들이 올라오는 상황이라 피해 범위는 보다 광범위하고 오래갈 것으로 예상됩니다.

 

초기의 파밍은 금융기관의 Domain 주소를 공격자 IP로 지정하는 Hosts 파일에 대한 변조가 주를 이루었고 이후 Hosts 파일에 대한 모니터링과 감시가 강화되자 Hosts.ics 파일을 이용한 주소 변조가 다수를 이룬 것을 관찰 할 수 있습니다. 일반적으로 금융기관에 직접 접근 하는 횟수가 많지 않은 상황에서 공격자들은 추가적으로 메일 및 국내 대형 포털들의 주소까지도 위장하도록 하여 사용자를 유인할 만큼 적극적인고 대범한 공격들을 실행하고 있는 상황입니다.

 

<2013년 7월까지 발견된 포털 주소를 위장한 팝업 파밍>

 

포털 주소를 위장한 사례의 경우 가짜 사이트를 만들어서 연결되도록 하고 URL은 동일하더라도 공격자의 IP로 연결 되도록 한 상황입니다. 실시간으로 뉴스와 기사가 업데이트 되는 포털들의 변화가 관찰 되지 않으므로 조금만 주의를 기울이면 문제를 알 수 있는 상황입니다. 또한 전방위적으로 금융감독원을 사칭한 팝업창은 악성코드라는 주의가 다수의 언론매체를 통해 보도가 된 상황이라 사용자들도 높은 경각심을 가진 상황이 됩니다.

 

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격>

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격 2>

 

9월초에 처음 발견된 공격 유형은 팝업창이 아닌 배너를 통한 파밍 공격이 최초 발견 되었습니다. 팝업창에 대한 주의가 높아짐에 따라 공격 형태를 변경한 것을 확인 할 수 있습니다. 이 경우에도 실제 포털과는 관계 없는 공격자가 인위적으로 만든 포털 사이트 첫 화면에서 배너만 파밍 사이트로 연결되도록 구성한 것이 관찰 됩니다. 주된 공격 형태는 포털사이트의 주소와 주요 메일에 대한 주소를 Hosts 파일과 Hosts.ics 파일을 통해 공격자의 파밍 사이트 주소로 설정해 둔 상태라 할 수 있습니다. 본 사례의 경우에도 실시간 검색과 같은 변화나 기사에 대한 변동 등은 없는 상태임을 확인 할 수 있습니다.

 

9월 10일 최초 발견된 포털의 광고서버를 파밍 사이트 주소로 변경하여 실제 포털 서비스에서 광고 영역만을 파밍 사이트 연결 배너로 교체한 사안은 보다 정교해지고 사용자가 당할 가능성이 매우 높은 부분이라 할 수 있습니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 >

파밍 사이트는 nv1.ad.naver.com 주소를 공격자의 IP로 변경하도록 하여 정상 포털을 접속 하였음에도 불구하고 배너 광고만 공격자가 지정한 광고( 파밍 사이트 연결)로 나타나는 상황입니다.

 

현재 9월 이후에 발견되는 공격들은 9.26일부터 실시되는 전자금융 사기 예방 서비스 시행안내를 역으로 파밍 공격에 이용하는 대담함을 엿볼 수 있습니다. 그만큼 자신감에 차 있다는 것으로 보입니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 - 내역>

로그인 및 모든 포털 기능은 정상적으로 작동을 하며, 단지 배너 광고에 이용되는 도메인만 공격자가 만들어둔 파밍 사이트로 연결 하도록 되어 있습니다. 포털을 접속하면 광고만 공격자 IP로 연결 되는 상황이고 모든 서비스는 정상적이라 사용자가 의심을 하기에는 상당히 어려워 보입니다.

 

호스트파일 변조 내역에는 금융기관은 최소화하고 배너 광고의 경우에도 포털의 배너 서버인 nv1.ad.naver.com 을 파밍 사이트로 연결 되도록 한 상황이라 탐지 여부를 인식하기에는 어려움이 있을 것으로 보입니다.

 

< 9.10일 발견된 악성코드의 Hosts 파일의 변조 내역 샘플 >

 

파밍 사이트 연결도 다양한 방식으로 시도되고 있고 파밍 IP들도 계속 변경 되고 있는 상황입니다. 근본적인 문제 해결은 웹을 통한 대량 악성코드 감염 시도에 대해 모니터링을 강화하고 초기 단계에서 피해 범위를 최소화 할 수 있는 다양한 노력으로 문제를 줄일 수 있도록 노력해야 할 것입니다.

 

문제의 원인을 해결하고 줄일 수 있도록 노력을 해야 문제는 최소화 됩니다. 사용자의 주의를 당부하고 불법 파일 다운로드와 백신을 통한 해결만으로는 현재 상황은 어려운 부분이 있지 않나 생각 됩니다. 지금 이 순간에도 변화하는 공격기술은 이제 대응을 순식간에 무력화 하는 상태로 계속 발전 하고 있습니다.

 

문의 info@bitscan.co.kr  , 최신 정보는 www.facebook.com/bitscan 페이지에서 확인 가능

신고
Posted by 바다란