Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

Size: px

Start display at page:

Download "Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위"

지민 연
5 years ago
Views:

1 F O C U S 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 송지훤 *, 류소준 ** PC와스마트폰이삶에서중요한비중을차지하게되면서이에담긴정보를보호하기위한정책도발전해나가고있다. 그러나이와동시에악성코드도날로정교화되고발전해가고있는것이현실이다. 이에본고에서는진화해나가고있는악성코드의유포방식에대해서살펴보고, 이를분석하여그악성행위를상세히파악한다. Ⅰ. 서론 Ⅱ. 악성코드유포기간및규모 Ⅲ. PC 악성코드분석결과 1. 악성코드특징점 2. 악성코드공통점 3. 해커가이용한서버및취약점분석결과 4. 피싱사이트에서 QR코드를통해악성앱유포 Ⅳ. 큐싱 (Qshing) 을통해다운로드되는스마트폰악성앱분석결과 Ⅴ. 악성코드감염예방방법및대처 ** 한국인터넷진흥원코드분석팀선임연구원 (jihwonsong@kisa.or.kr) ** 한국인터넷진흥원코드분석팀연구원 (hypen@kisa.or.kr) 36 INTERNET & SECURITY FOCUS July 2014

2 Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위해해커는파밍 (Pharming) 1 과큐싱 (Qshing) 2 수법을복합 적으로사용하여인터넷뱅킹정보와모바일뱅킹정보를동시에수집하는것으로확인되 었다. 또한원격제어및 DDoS 공격이가능한 Gh0st 3.75 계열악성코드도함께유포하고 있었다. [ 그림 1] 파밍유도화면 1 피싱 (Phishig) 과농사 (Farming) 의합성어로 PC 에가짜은행사이트로유도하는악성코드를설치하고금융정보를빼낸후예금을인출하는사기범죄 2 QR 코드와개인정보, 금융정보를낚는다 (Fishig) 는의미의합성어로 QR 코드를통해악성링크로의접속을유도하여악성앱을설치하는사기범죄 37

3 [ 그림 2] 2 차채널을가장한큐싱화면 해커는일반웹사이트를해킹하고브라우저, 자바등의취약점을통해악성코드를유포시켰다. 해당악성코드는감염된 PC에서공인인증서및시스템정보를수집하여해커에게전송하고변조된 hosts파일을통해파밍공격을수행한다. 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 2차인증이필요한것처럼속여 QR코드로사용자의스마트폰에악성앱을다운받도록한다. 이렇게 PC와스마트폰을동시에공격하는방식은악성코드가 2차채널인증확대 3 등과같은새로운금융보안정책에따라진화하고있다는것을보여준다고할수있다. [ 그림 3] 악성코드및악성앱공격개요도 3 13 년 9 월 26 일부터시행된미등록기기에서 300 만원이상금융거래시본인인증을 1 채널 (PC) 외에 2 채널 ( 스마트폰, 유선전화등 ) 로확대하는방안 38 INTERNET & SECURITY FOCUS July 2014

4 Ⅱ. 악성코드유포기간및규모 13 년 9 월부터최소 7 개월간해당악성코드를제작한해커는여행사, 수련관, 웹하드업체 FOCUS 등 60 개가넘는국내홈페이지를통해악성코드를유포하였다. 악성코드를유포한사이트와 시기는다음과같다. < 표 1> 악성코드유포일자와유포지 연도 유포일자 악성코드유포지 년 년 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 39

5 연도유포일자악성코드유포지 2014 년 INTERNET & SECURITY FOCUS July 2014

6 Ⅲ. PC 악성코드분석결과 1. 악성코드특징점 FOCUS 여러유포지에서다운로드되는악성코드는본래 3단계에걸쳐악성코드를생성한다. 대부분 mydat.dll( 혹은mydll.dll) 이 CHIinwywamzi.exe를, CHIinwywamzi.exe가 svchsot. exe를, svchsot.exe가 kb0ce.exe를순차적으로다운받아실행하는것으로나타났다. 악성코드마다각기다른악성행위를하며개인정보, 컴퓨터정보등을유출시킨다. 또한이악성코드들은모두독자적으로유포되기도한다. 전체구조와악성코드별행위들은아래표와같다. [ 그림 4] 악성코드생성및실행순서 < 표 2> 악성코드별행위 악성코드 악성행위 smss.exe mydat.dll CHIinwywamzi.exe svchsot.exe kb0ce.exe 악성코드 (dll) 드랍 백신탐지 hosts 파일변조, 공인인증서유출 악성코드추가다운 자기자신을 svchsot.exe로복제하여생성 키로깅 화면정보유출 악성코드추가다운 원격제어, DDoS 공격 hosts 파일변조 악성코드파일명은사고마다변경되나주요행위및모듈은동일 60 개이상사이트에서발견된악성코드를분석한결과, 대부분아래와같은공통점이발 견되었으며동일조직이금융정보수집을위해아이피와기능만약간수정하여끊임없이악 성코드를유포하고있는것으로추정된다. FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 41

php라는파일의내용을읽어아이피를가져오는방식으로, 소스코드상에는인코딩되어있지만악성코드내부의디코딩루틴을거친후에는공격아이피와도메인의내용이나타나게된다. [ 그림 5] 서버내아이피가저장된 plus.

7 2. 악성코드공통점 1) hosts 파일변조금융정보를수집하는악성코드이름은대부분 mydat.dll, mydll.dll이었으며링크파일 (.lnk) 을통해실행되었다. 실행된뒤에는호스트파일을변조하여가짜금융사이트로접속을유도하는데해당악성코드는공격에사용되는아이피를두가지방식을통해서얻어온다. 첫번째방식은주로서버에서 plus.php라는파일의내용을읽어아이피를가져오는방식으로, 소스코드상에는인코딩되어있지만악성코드내부의디코딩루틴을거친후에는공격아이피와도메인의내용이나타나게된다. [ 그림 5] 서버내아이피가저장된 plus.php [ 그림 6] 디코딩된 plus.php 내용 [ 그림 7] plus.php 디코딩모듈 두번째방식은중국블로그에서아이피를파싱해오는방식이다. 주로 user.qzone. qq.com 이라는중국블로그에서 # 을기준으로아이피를검색한후금융사이트접속시해 당아이피로연결되도록호스트파일을변조한다. 42 INTERNET & SECURITY FOCUS July 2014

FOCUS [ 그림 8] 중국블로그내아이피 [ 그림 9] # 을기준으로아이피검색

8 FOCUS [ 그림 8] 중국블로그내아이피 [ 그림 9] # 을기준으로아이피검색 초기에는첫번째방식과두번째방식이번갈아사용되었으나최근에는두방식을함께사용하는악성코드가발견되고있다. 그이유는추가악성코드유포지가차단되었을때를고려하여두가지방식을함께사용하는것으로보인다. 두번째방식은실제국제협력채널을사용해야하기때문에중국블로그에조치요청하기까지많은시간이소요되고있다. [ 그림 10] 악성코드가생성한호스트 (host.ics) 파일 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 43

9 2) 공인인증서수집 악성코드는대부분공인인증서가저장되어있는 NPKI 폴더를압축하여해커의정보유출 지로유출하였다. [ 그림 11] 공인인증서가저장된 NPKI 폴더검색모듈 3) 7-zip 에서사용되는커맨드형식의압축방식사용 40 개이상사이트에서유포된악성코드는공통적으로공인인증서가저장된 NPKI 폴더를 7-zip 압축프로그램콘솔버전 (7za.exe) 으로압축하였다. [ 그림 12] 7-zip 압축프로그램으로공인인증서가저장된 NPKI 폴더를압축하는모듈 44 INTERNET & SECURITY FOCUS July 2014

$명령어를확인한결과, 악성코드는대부분압축파일형식을.7z 으로압축비밀번호는 123 으로사용하였다. 악성코드가압축시사용하는 7-zip 옵션별의미는아래표와같다. 악성코드사용한 7-zip 명령 ( 예 ) : C:\7az.$

10 명령어를확인한결과, 악성코드는대부분압축파일형식을.7z 으로압축비밀번호는 123 으로사용하였다. 악성코드가압축시사용하는 7-zip 옵션별의미는아래표와같다. 악성코드사용한 7-zip 명령 ( 예 ) : C:\7az.exe a -t7z -p123 -aoa -mhe [ 공인인증서 ] FOCUS < 표 3> 악성코드가사용하는옵션별의미 옵션 의미 a 파일추가 -t 파일타입 -p 압축비밀번호 -aoa -mhe 덮어쓰기 파일의헤더까지암호화 [ 그림 13] 압축된 NPKI 폴더 [ 그림 14] 압축을푼뒤의파일 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 45

11 4) 사용자를인식및관리하기위해사용자계정유출악성코드는 CPU 종류, 운영체제정보, RAM 크기등을유출하는데해당정보는감염된사용자를인식하고관리하기위함으로추정된다. 수집한데이터는아래모듈을통해인코딩하는것으로확인되었다. [ 그림 15] 인코딩하는연산코드일부 [ 그림 16] 인코딩하는연산과정 5) 現프로세스실행목록에서백신확인악성코드는현재실행중인프로세스들의목록을가져온다. 그리고미리정의해둔백신프로세스명이나서비스명을그목록에서검색한다. 만약검색결과가존재할경우악성행위를시도하지않거나실시간감시가실행중이아닌백신을종료시킨다. [ 그림 17] 백신이존재할때악성행위를시도하지않는코드일부 46 INTERNET & SECURITY FOCUS July 2014

12 FOCUS [ 그림 18] 백신을종료하는코드일부 < 표 4> 악성코드가확인하는백신 악성코드가검색하는백신프로세스 백신이름 V3LSvc.exe AYRTSrv.aye avp.exe Rstray.exe KSafeTray.exe V3 Lite 알약카스퍼스키 Rising Antivirus Kingsoft System Defender 6) 분석방해를위해 Base64 4 디코딩방식사용해커는악성코드가문자열로인해쉽게분석되는것을피하기위해정보유출지서버, 레지스트리경로, 백신명, 함수명등의주요문자열을전부 Base64로인코딩하였다. 이러한문자열은사용되기직전에 Base64 디코딩함수를거친후사용되었다. [ 그림 19] 인코딩된문자열 4 8 비트이진데이터를문자코드에영향을받지않는공통 ASCII 영역의문자들로만이루어진일련의문자열로바꾸는인코딩방식 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 47

13 7) Gh0st Rat 3.75 악성코드추가다운로드해커는다양한용도로감염PC를활용하기위해 Gh0st 3.75계열원격제어및 DDoS 공격악성코드를유포하고있는것으로나타났다. 원격제어기능으로는키보드및마우스제어, 화면제어, 파일다운로드등이있으며 DDoS 기능으로는 GET, SYN, UDP, ICMP Flooding 등이있다. 테스트결과, 실제악성코드가 Gh0st Rat 3.75 관리프로그램에접속되어제어가능하였다. [ 그림 20] 악성코드내 GET Flooding 모듈 [ 그림 21] Gh0st Rat 3.75 프로그램에접속한악성코드 48 INTERNET & SECURITY FOCUS July 2014

14 3. 해커가이용한서버및취약점분석결과 13 년 9 월부터해커가이용한서버를분석한결과, 악성코드는피싱아이피를전달받기위 FOCUS 해대부분 plus.php 에서정보를수집하였다. 국가별로는피싱아이피정보수집및정보유 출을위해미국에존재하는서버를애용하였다. 또한호스트파일에기재되는피싱아이피는 주로일본서버를애용하였으나해당서버가해킹되어이용되었을가능성도존재한다. < 표 5> 해커가이용한서버 순번 서버 국가 순번 서버 국가 1 xxx.xx.xxx.xxx 태국 28 xx.xxx.xxx.xx:xxx/plus.php 미국 2 xxx.xx.xxx.xxx 태국 29 xx.xxx.xxx.xx:xx/plus.php 미국 3 xxx.xx.xxx.xxx 태국 30 xx.xxx.xxx.xx:xxx/plus.php 미국 4 xxx.xx.xxx.xxx 태국 31 xx.xxxxxxxx.com - 5 xxx.xx.xxx.xxx:xxxx - 32 xx.xxxxxxxxxx.com 홍콩 6 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 33 xxx.xxxxxx.com - 7 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 34 xxxxx.com/plus.php 일본 8 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 35 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 9 xxx.xxx.xxx.xxx 미국 36 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 10 xx.xxx.xx.xxx 일본 37 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 11 xx.xxx.xx.xxx 일본 38 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 12 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 39 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 13 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 40 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 14 xx.xxx.xxx.xxx 미국 41 xx.xxxxx.com - 15 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 42 xx.xxxxx.com/shit.php - 16 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 43 xx.xxxxx.com 미국 17 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 44 xx.xxxxx.com - 18 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 45 xx.xxxxxx.com - 19 xxx.xxx.xxx.xx/plus.php 미국 46 xx.xxxxxx.com:xxxx/plus.php - 20 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 xx.xxx.xxx.xxx 일본 48 xxx.xxx.xx.xx 일본 22 xxx.xxx.xx.xx 일본 49 xxx.xxx.xxx.xx 일본 23 xxx.xx.xxx.xx 일본 50 xxx.xx.xx.xx 홍콩 24 xx.xxx.xx.xxx 일본 51 xxx.xxx.xx.xxx - 25 xxx.xxx.xxx.xx 미국 52 xx.xxxxx.com - 26 xxx.xxx.xxx.xx 미국 53 user.qzone.qq.com/xxxxxxxxx 중국블로그 27 xxx.xxx.xxx.xx 미국 54 xxx.xxx.xxx.xx 미국 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 49

15 해커는약 12 가지취약점등을이용하여악성코드를유포하는것으로확인되었다. 또한악 성코드감염률을높이기위해대중적으로사용되는브라우저, 자바취약점등을이용하였다. < 표 6> 해커에게악용된취약점 순번 CVE 번호 설명 1 CVE Oracle Java SE Rhino Script Engine 입력값검증오류취약점 2 CVE Oracle Java Sandbox 우회원격코드실행취약점 3 CVE Apple itunes, Safari에서사용되는 Webkit 메모리손상취약점 4 CVE Oracle Java SE 원격코드실행취약점 5 CVE Microsoft XML Core Services 의초기화되지않은메모리개체접근으로인한원격코드실행취약점 6 CVE Apache Tomcat 서비스거부취약점 7 CVE Oracle Java Sandbox 우회원격코드실행취약점 8 CVE Oracle Java Security Manager 우회원격코드실행취약점 9 CVE Oracle Java Runtime Environment 원격코드실행취약점 10 CVE Adobe Flash Player 메모리손상취약점 11 CVE Oralce Java SE 메모리손상취약점 12 CVE Internet Explorer 메모리손상취약점 4. 피싱사이트에서 QR 코드를통해악성앱유포 악성코드에감염되면호스트파일변조방식으로금융사이트뿐만아니라사용자가다수인사이트 ( 유명포털사이트등 ) 도피싱사이트로연결한다. 사용자가웹검색등을위해유명포털사이트등에접속하면해커가구성한가짜페이지가보여주고이때보안관련인증절차를요구한다. 인증을위해해커의은행피싱사이트에로그인하면아이디및패스워드가암호화되지않은채정보유출지로전송된다. 이후악성코드는 2채널본인인증을위해큐싱기법으로악성앱설치를유도한다. 해커는 QR코드를인식하는앱이설치되지않은상황을대비해 QR Droid의추가설치를권유하였다. QR코드를사진처럼찍으면악성앱다운로드용 URL로연결되어설치가시작되었다. 50 INTERNET & SECURITY FOCUS July 2014

16 FOCUS [ 그림 22] 로그인유도페이지 [ 그림 23] 평문그대로값전달 [ 그림 24] 2 차채널보안인증을위해악성앱설치유도 [ 그림 25] QR Droid 설치권유 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 51

Ⅳ. 큐싱 (Qshing) 을통해다운로드되는스마트폰악성앱분석결과 해커는악성코드와악성앱을함께배포하여복합적으로사용자를공격하였다.

QR코드를통해설치된악성앱은스마트폰기기에능숙하지못한사용자가앱삭제를쉽게못하도록기기관리자로자기자신을등록한다. 악성앱을실행하면서버점검중이라는허위메시지를보여주어사용자를속인다.

서버에 1분간격으로접속하여명령을기다린다. 악성앱은서버에서전송한명령에따라문자수신방해, 착신전환서비스설정시도등을수행한다.

17 Ⅳ. 큐싱 (Qshing) 을통해다운로드되는스마트폰악성앱분석결과 해커는악성코드와악성앱을함께배포하여복합적으로사용자를공격하였다. 해커는악성앱유포경로로 QR 코드를선택하였는데이는제작자추적이어렵고앱다운로드를위해연결되는 URL의악성여부확인이어렵기때문으로보인다. QR코드를통해설치된악성앱은스마트폰기기에능숙하지못한사용자가앱삭제를쉽게못하도록기기관리자로자기자신을등록한다. 악성앱을실행하면서버점검중이라는허위메시지를보여주어사용자를속인다. 1 악성앱설치유도 2 관리자권한으로등록 3 서버점검중이라는허위메시지 [ 그림 26] 악성앱다운로드후설치와실행화면 이후악성앱은사용자스마트폰정보, 전화번호부, SMS 메시지를유출하고, 서버에 1분간격으로접속하여명령을기다린다. 악성앱은서버에서전송한명령에따라문자수신방해, 착신전환서비스설정시도등을수행한다. 하지만해당악성앱은사용하는착신전환설정방식이우리나라이동통신사업자의방식과는다르기때문에외국 ( 중국, 유럽등 ) 에서제작된앱으로추정된다. 외국의경우는착신전환코드가 **21* 연결희망번호 # 으로설정이가능하지만우리나라는우선이동통신사의홈페이지나오프라인대리점등에서착신전환유료부가서비스를가입해야하고, 설정코드도 52 INTERNET & SECURITY FOCUS July 2014

18 *71 연결희망번호 로다르다. 따라서해당앱을통해실제로착신전환이설정되지는않지만 이부분이우리나라이동통신환경에맞게개발된다면은행의자금이체시추가보안방법 인 SMS, ARS 인증을우회하여금융사기에악용될수도있을것으로보인다. FOCUS [ 그림 27] SMS 메시지유출코드일부 [ 그림 28] 서버에명령을요청하고수신한명령을수행하는코드일부 [ 그림 29] 착신전환설정 / 해지코드일부 FOCUS 3 진화하는악성코드 피싱 큐싱결합해 PC 스마트폰동시공격 53

19 < 표 7> 착신전환부가서비스가입방법 ( ) SKT KT LG UPlus 홈페이지, 114 고객센터, 고객센터앱오프라인매장홈페이지, 고객센터앱 Ⅴ. 악성코드감염예방방법및대처 한국인터넷진흥원은매일취약한사이트에서악성코드유포현황을모니터링하고있으며악성코드분석을통해악성코드유포지, 정보수집서버등을조치 차단하고있다. 뿐만아니라파급력이높은악성코드는백신사에샘플을공유하고백신개발을요청하여이용자피해최소화를위해노력하고있다. 또한최근에는금융사별악성코드대응을위해추가보안인증방법등을도입하고있다. 그러나해커는끊임없이취약한사이트를찾아악성코드를유포하고있으며변경된인터넷뱅킹절차에따라진화된악성코드를유포하고있다. 따라서취약한사이트에접속하더라도악성코드에감염되지않도록사용자는 PC와스마트폰의백신을최신버전으로업데이트하고주기적으로검사해야한다. 또한평소정품소프트웨어를사용하고의심스러운사이트방문과 P2P 등악성코드유포지로악용될수있는서비스이용을자제해야한다. 공인인증서는가급적외부저장소에저장하는것이좋으며스마트폰에알수없는출처의앱을다운받을때는주의해야한다. 악성코드에감염이의심되면일단백신으로검사한후 118센터등에신고하는것이필요하다. 참고문헌 금융감독원 (2013). 전자금융사기예방서비스 한국인터넷진흥원 (2013). 공인인증서유출유형의악성코드분석 한국인터넷진흥원 (2012). 스마트폰이용자 10대안전수칙 54 INTERNET & SECURITY FOCUS July 2014

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에 진화하는악성코드 파밍 큐싱결합해 PC 스마트폰동시공격 파밍으로인터넷뱅킹정보수집하고큐싱으로악성앱설치하여모바일뱅킹정보를수집하는악성코드 KISA 코드분석팀송지훤, 류소준 개요최근 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고있다 실제한국인터넷진흥원에신고 접수된악성앱중 이상과 악성코드중 이상이보안카드번호 주민등록번호등금융정보를탈취하고있다 뿐만아니라가능한많은금융정보를수집하기위해해커는파밍