[ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 D

Transcription

1 최근피싱, 파밍기법을이용한금융정보탈취동향 분석기획팀김무열 kmy@kisa.or.kr 코드분석팀류소준 hypen@kisa.or.kr 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.

2 [ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 DNS 변조 워드프로세스취약점 스팸메일 저장매체 악성코드유형 IP를동적으로얻어온후, hosts파일변조 로컬호스트주소를이용한파밍 로컬호스트 DNS 서버변경 로컬호스트 DNS 서버변경 브라우저 <iframe> 삽입 VPN을활용한파밍 악성코드감염증상 개인정보입력유도팝업창 악성앱추가설치유도 Active X 다운로드유도 클릭원스 감염여부확인및치료방법 hosts파일 hosts.ics 파일 인터넷프로토콜 (TCP/IP) 등록정보확인 공유기설정 의심되는사이트의소스 대응방안 32

3 1. 개요 최근금전적이득을얻기위하여금융정보를유출하는파밍악성코드가다수발견되고있다. 파밍이란공격자가악성코드에감염된 PC를조작하여, 사용자가정확한웹페이지주소를입력해도가짜웹페이지인 1) 피싱사이트에접속하게하여개인정보를훔치는기법이다. 이러한파밍악성코드는기능구현이비교적간단하여비슷한변종들이매우많이유포되고있으며복합적인공격기법을사용한변종까지나타나고있다. 파밍악성코드에감염이되면사용자가은행이나주요포털사이트에접속할때팝업창이뜨고개인정보를입력하도록유도한다. 피싱사이트는실제사이트와매우유사하게만들어져있고팝업도정교하게만들어져있기때문에일반사용자들이의심하지않고개인금융정보를입력할확률이높다. 주로요구하는정보는이름, 주민등록번호, 계좌번호, 계좌비밀번호, 이체비밀번호, 인증서비밀번호, 이용자 ID, 이용자비밀번호, 보안카드일련번호와보안카드의모든코드표인데, 이러한중요정보들이유출되면실제로금전적피해가발생할수있기때문에주의를요하는바이다. KISA는 2014년 5월기준 4천건이상의피싱사이트를차단하고있다. 주로정부 공공기관이나금융기관을사칭하는경우가대부분이며, 차단된피싱사이트중약 70% 가금융기관사칭사이트였다. 2) [ 표 1] 월별국내피싱사이트차단현황 1) 피싱 (Phishing) : 인터넷을통해국내외유명기관을사칭하여개인정보나금융정보를수집한뒤이를악용하여금전적인이익을노리는사이버사기의일종 2) 기관유형분류 : 정부 공공 ( 검 경, 금융감독원, KISA 등 ), 금융기관 ( 은행, 카드사, 대부업체등 ), 기타 ( 게임, 포털등 ) - 1 -

4 KISA 가탐지한악성코드유형을보면금융정보탈취공격의증가세가더욱 명확하다. [ 표 2] 를보면 2014 년 1~5 월동안탐지한악성코드유형중드롭퍼 3) 와 금융사이트파밍의비율이가장높은것을알수있다. [ 표 2] 월별탐지된악성코드유형 TOP5 이처럼최근공격자가노리는것은결국금융정보라는것을확인할수있다. 공격방법또한다양화되어점차사용자가이상을감지하기어려운방식, 서버 관리자가악성행위를탐지하기어려운방식으로진화해나가고있다. 2. 악성코드감염경로 2.1. 드라이브바이다운로드 (Drive by download) 드라이브바이다운로드 (drive-by-download) 란웹사이트에접속하는것만으로도사용자모르게악성코드를실행시키는기법을말한다. 이런기법은보통소프트웨어의취약점을이용하는데, 웹브라우저, 플래시, 자바등세계적으로많이사용되는소프트웨어들이주요대상이다. 이들소프트웨어의취약점으로인해악성스크립트가실행되고그스크립트로인해새로운악성코드가실행되는방식이다. 하지만여기에사용되는취약점들은이미공개되어패치가있는것들이대부분이기때문에항상백신을최신버전으로업데이트하고, 윈도우 (Windows), 3) 드롭퍼 (Dropper) : 자신이가지고있는악성코드를컴퓨터시스템내에설치하는실행파일. 최근탐지된드롭퍼는대부분금융정보탈취악성행위를수행함 - 2 -

5 플래시 (Adobe Flash Player), 자바 (JAVA) 프로그램, 웹브라우저 (iexplore, chrome, firefox) 의보안업데이트를주기적으로실행하여최신상태를유지하면, 취약점을 이용한악성코드감염 ( 공격 ) 을예방하는데도움이된다. [ 그림 1] 접속시악성코드실행 2.2. 제휴프로그램변조 어플리케이션이용을위해프로그램을설치하는경우, 필수프로그램이외에도다수의제휴프로그램이함께설치된다. [ 그림 2] 를보면프로그램설치시제휴사의홈페이지로브라우저시작페이지를변경하고, XX클리너, 스XXX아이콘, 콘텐츠정보뷰프로그램을추가설치하도록기본체크가되어있다. 이러한점을악용, 공격자는제휴프로그램중하나인 스XXX 아이콘설치 파일을변조하여사용자가악성코드프로그램을설치하도록유도하였다. 보통프로그램설치시세부설치사항에대하여자세히확인하지않고다음버튼을클릭하여설치하는데, 이렇게하면사용자가인지하지못한상태에서악성코드가설치될수있다

6 [ 그림 2] 설치프로그램의제휴프로그램변조 설치파일내에필수프로그램과제휴사의프로그램이함께구성되어있다면, 사용자는자신이설치하고자하는프로그램만체크하고, 나머지는체크를해제하여필요한프로그램만설치될수있도록해야한다. 그리고서버관리자는자사프로그램과함께제휴프로그램에대한보안성점검을주기적으로해야한다. 여기에필수설치프로그램을제외하고는기본체크 ( 선택 ) 되어있는부분을해제해놓는것이사용자선택권보장과프로그램안전성에도움을준다 웹하드업데이트설정파일및홈페이지변조 기존에는웹하드서버에있는정상업데이트파일을통째로악성코드로교체하여, 사용자 PC에서업데이트시악성코드를다운받게하는사례가많이있었다. 하지만최근에는업데이트설정파일변조만으로동일한공격효과를거두고있다. 업데이트설정파일에는버전정보와프로그램업데이트를위한링크가입력되어있다. 공격자는웹하드업데이트프로그램실행시설정파일을참조한다는점을악용하여, 업데이트설정파일의링크를변조하거나악성링크를삽입, 악성코드를다운로드받게한다. 설정파일은한번변조가성공하면프로그램업데이트시악성코드배포서버로계속접속하게만들기때문에단시간내많은 PC를감염시킬수있다

7 [ 그림 3] 자동업데이트파일변조 또한다수의웹하드홈페이지를변조하여금융정보를탈취하는사고도발생하였다. 웹하드는접속량이많으면서도상대적으로보안에취약해서악성코드유포지 4) 및경유지 5) 로많이사용되고있다. 악성코드에감염되면사용자PC의호스트파일이변조되어파밍사이트로연결되고, 공인인증서가공격자구축서버로유출된다. [ 그림 4] 웹하드홈페이지를경유지로이용한공격 따라서서버관리자는업데이트파일및홈페이지에대한변조여부를주기적으로검사하여의도하지않은변경이발생하였는지검증해야한다. 사용자입장에서는업데이트프로그램의변조여부확인이불가능하므로, 웹하드사용시출처가불분명한파일을다운및설치하지않도록주의해야한다. 4) 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 5) 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 - 5 -

8 2.4. Torrent 및 P2P 사이트파일다운로드 Torrent나 P2P사이트등에서받은파일이악성코드이거나악성코드를포함하고있을수도있다. 이런유형은종류가다양한데, 그중실제확장자가.exe면서아이콘은동영상플레이어로바꾸어놓는경우가있다. 확장자를잘보지않는사용자들은평범한동영상파일로인식하고실행하는데, 악성코드와동영상이함께실행되므로사용자가인지하지못한채악성코드에감염될수있다. [ 그림 5] 불법소프트웨어설치화면및악성코드실행 또다른경우는정품소프트웨어가아닌불법소프트웨어를다운받을때정상설치파일로위장한악성코드를받는경우이다. 설치시실제로정상소프트웨어가설치되는대신불필요한파일이설치되거나정상프로그램과함께악성코드도같이실행될수있다. 그러므로사용자들은되도록정품을사용하도록하고 Torrent나 P2P사이트의출처가불분명한프로그램의사용을최대한자제하거나조심해야한다

9 2.5. 공유기 DNS 변조 흔히집에서자주사용하는무선공유기의경우 DNS서버 IP를별도로지정할수있는기능이있다. 공격자는원격제어가허용되어있고, 관리자비밀번호가없거나취약한비밀번호로설정되어있는공유기에원격접속하여 DNS서버 IP를수동설정하거나변조한다. 이후사용자가공유기에연결된스마트폰및 PC로특정사이트에접속할경우가짜사이트로연결되어악성앱을다운로드받도록유도한다. 악성앱은스마트폰에설치되어폰의 SMS와주소록을특정IP로유출하고가짜은행앱을설치하는악성행위를수행한다. 이사례는 PC나스마트폰의보안을아무리잘해놓았다하더라도공유기설정변경만으로도악성코드에감염될수있다는것을보여준다. [ 그림 6] 공유기 DNS 변조를이용한공격 이러한공격기법은백신탐지가어렵기때문에사용자는공유기의펌웨어 6) 를최신버전으로업데이트하고, 사용하지않는원격제어기능은꺼놓아야한다. 또한공유기의관리자계정을생성하고비밀번호를설정해놓아공격자가공유기설정정보를보거나변경하지못하도록해야한다. 공유기제조업체는제품출고시원격제어기능을기본꺼짐으로설정하여사용자가꼭필요한경우에만변경 6) 펌웨어 (firmware) : 하드웨어내부의제어부분에저장공간을만들어, 그곳에논리회로의기능을보강하거나대신할수있는프로그램. 펌웨어는프로그램의형태를갖추고있으므로기능적으로는소프트웨어에가깝지만하드웨어내부에위치하며, 사용자가쉽게그내용을바꿀수없으므로하드웨어적인특성도함께가지고있음

10 하여사용하도록해야한다. 그리고사용자가비밀번호설정시 8 자이상, 영문 숫자 특수문자를혼합하여지정하도록제한해야한다 워드프로세스취약점 국내워드프로세스인한컴오피스의한글과 Microsoft 사의 MS Word, Adobe사의 Adobe Reader 등워드프로세스의취약점으로인해악성코드가실행될수있다. 각파일은.hwp,.doc,.docx,.pdf 등의확장자를가지고있다. 확장자가다른만큼그문서에대한파일포맷도다른데, 이러한파일들이취약점으로인해파일내부에삽입되어있던특정쉘코드나스크립트를실행시켜추가악성코드를다운받는등의악성행위를할수있다. 그러므로출처가불분명한문서파일이나자신과관련되지않은파일은열지않는것이좋다. [ 그림 7] 한글취약점으로인해악성파일실행 - 8 -

11 2.7. 스팸메일 [ 그림 8] 스팸메일내용 스팸메일에첨부된파일로인해악성코드에감염될수있다. 스팸메일같은경우, 사용자가읽도록유도하는메일을작성하는데, 그중에첨부파일을통해주로 2.4번과 2.6번유형의악성코드와더불어이미지나동영상파일로가장한악성코드를유포한다. 이경우에는해당파일을클릭하여열어보는것만으로도악성코드에감염이될수있다. 첨부파일은확장자가.jpg,.gif,.avi 등으로일반적인그림파일이나동영상형식으로보이지만실제로는악성.scr,.exe 파일과이미지파일을압축시켜놓은것으로파일을실행하면악성코드와이미지파일이동시에실행된다. 확장자표시설정 확장자표시설정안함 실제악성코드내부 [ 그림 9] 악성코드구성 - 9 -

12 위그림과같이 1.exe라는악성파일과 2.jpg라는정상이미지파일이내부에압축되어있다. 이파일을실행하게되면두개의파일이모두실행되어사용자는악성코드에감염되었다는것을파악하기힘들다. 이러한방식은이미지뿐만아니라동영상이나문서파일에도똑같이적용될수있다. 취약점을이용하여확장자자체를속일수도있다. 이취약점은원래의확장자가아닌해커가원하는확장자로보이게할수있는데, 이럴경우확장명을보이도록설정을해놓아도실제확장자가.exe나.scr이아닌.doc,.txt등으로나타나기때문에매우유의해야한다. [ 그림 10] 확장자가.scr 이아니라.txt 로보이는악성코드 2.8. 저장매체 악성파일이저장된 USB를통해서도감염이될수있다. USB 내의 Autorun.inf 라는설정파일에는 USB를연결할시에자동으로실행되도록할수있는 open옵션이있는데, 이옵션값에악성코드경로를설정하면 USB를연결하자마자악성코드가자동으로실행이될수있다. 현재는 Microsoft사에서패치를내놓았기때문에이패치가적용되어있으면 USB를연결하더라도프로그램이자동으로실행되지않으므로설치하는것을권장한다. 7) [ 그림 11] Mircorosft 가제공하는자동실행방지마법사 7) 참조

13 3. 악성코드유형 정상적인윈도우환경에서는사용자가웹브라우저에 URL 을입력하면다음과 같은순서로 IP Resolving 8) 을수행한다. 순번체크순서 1 로컬시스템의 DNS Cache 정보 2 hosts.ics 3 hosts 4 DNS Query [ 표 3] IP Resolving 우선순위 공격방법은사용자 PC 의호스트파일 9) 을변조하여포털사이트및금융관련 홈페이지에접속할때악성 IP( 홈페이지 ) 로연결시키는것이다. 정상도메인명을 입력하여도공격자가구축한사이트로이동하기때문에사용자는이상여부를 식별하기어렵다. 하지만현재이러한공격방식은대부분의백신들이탐지하여 호스트파일을원상태로복구하고있다. 이를우회하기위하여최근공격자들은 IP 대신 10 진수숫자를입력하는기법을사용하기도한다. 호스트파일에입력된 10 진수는아래예제처럼 16 진수로변경되고, 변경된 16 진수는최종적으로 10 진수의 IP 로변경되어파밍사이트에접속하게된다. 예 ) (10 진수 ) FFFFFFFF(16 진수 ) (10 진수 IP) [ 그림 12] 호스트파일을변조하여파밍사이트로연결 8) IP 주소를 Domain 명으로변환해주는것 9) 호스트파일 (Hosts) : 사용자가홈페이지를방문할때도메인과연결되어있는 IP 확인을위해우선적으로참조하는파일. 호스트파일에도메인과 IP 가등록되어있으면별도의 DNS 질의를하지않음

14 3.1. IP 를동적으로얻어온후, hosts 파일변조 해커들은파밍 IP를프로그램에포함시키면추후에이를변경하기어렵기때문에감염시에특정사이트에접근하여 IP를읽어오는방식으로발전했다. 이렇게 IP를얻어오는방식으로는두가지가있다. 첫번째는주로서버에서 plus.php라는파일의내용을읽어 IP를가져오는방식이다. 이웹페이지소스코드상에는 IP 정보가인코딩되어있지만, 이를가져와악성코드내부의디코딩루틴을거치면공격 IP와도메인의내용이나타나게된다. [ 그림 13] 서버내 IP 가저장된 plus.php [ 그림 14] 디코딩된 plus.php 내용 [ 그림 15] plus.php 디코딩모듈 두번째방식은중국블로그에서 IP 를파싱해오는방식이다. 주로 user.qzone.qq.com 이라는사이트를이용하는데, 블로그내에기재된 IP 를소스 코드상에 # 을기준으로검색하여호스트파일을변조하는데사용한다

15 [ 그림 16] 중국블로그내 IP [ 그림 17] # 을기준으로 IP 검색 첫번째방식은해당서버만차단하면되지만두번째방식의경우는실제국제협력채널을사용하여중국블로그에조치요청까지해야하기때문에많은시간이소요되고있다. 그래서이두가지방식을모두사용하고있는악성코드들이많아지고있다. 악성코드는위와같은방식으로파밍 IP를얻어와 hosts파일과 hosts.ics파일을변조시킨다. 악성코드에감염되지않은정상시스템에서는 hosts.ics와 hosts 파일을사용하는일은드물고, Cache조회나 Query를요청하여얻은 IP로웹사이트에접속을하는것이일반적이다. 레지스트리 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings Key : DnsCacheEnabled Value : 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings Key : DnsCacheTimeOut Value : 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings Key : ServerInfoTimeOut Value : 0 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main Key : Start Page Value : 용도 DNS Cache 사용여부 DNS Cache 유지시간서버정보유지시간 IE의시작페이지지정 [ 표 4] DNS 관련레지스트리

16 [ 그림 18] DNS Cache 삭제 그러나악성코드는위와같이레지스트리와 API 호출을통해시스템이 IP resolving을할때우선순위가높은 DNS Cache를사용하지않고변경된 hosts와 hosts.ics를사용하도록한다. 이렇게악성코드가감염된상태에서피해자가웹브라우저로 hosts파일에해커가설정해둔사이트 URL에접속을시도하면, 파밍 IP로연결되어해커가만든피싱사이트로접속이된다 로컬호스트주소를이용한파밍 올해 3 월초부터로컬호스트주소를사용하는파밍기법이새로발견되었다. 로컬호스트란현재사용자가로그인하고있는컴퓨터를의미하는데, 이라는 IP 를흔히사용한다. [ 그림 19] 로컬호스트주소로변조된 hosts.ics

17 [ 그림 20] hosts.ics 파일을변조하는배치파일 이악성코드는스스로가프록시서버와비슷한개념으로작동을한다. hosts.ics를 로설정해두었기때문에, 사이트접속요청이정상사이트의서버대신로컬호스트로연결이된다. 악성코드는로컬호스트소켓을생성하여대기하고있다가이런연결요청이오면 C&C서버에접속하는소켓을생성하여정보를 C&C서버에전송하고응답을기다린다. C&C서버는피싱사이트의데이터를응답하고, 이를전달받은로컬호스트가피싱사이트를사용자에게보여준다. [ 그림 21] 호스트파일을변조하여파밍사이트로연결

18 악성코드가자체생성하는로그상에도 을파밍 IP 로변환하는과정이 나와있으며송, 수신한패킷의길이와연결상태들을전부체크하고있는것을 확인할수있다. [ 그림 22] 악성코드로그 1 [ 그림 23] 악성코드로그 2 이러한경우, 로컬호스트주소를사용하여 hosts.ics 가변조되었다고해도 피싱사이트인지의심하기어렵다는점을이용한것이므로 IP 가수상하지 않더라도방심하지말아야한다 로컬호스트 DNS 서버변경 1 로컬호스트주소를사용하여 hosts파일을바꾸는것외에 PC내의 DNS서버주소를직접변경하여파밍을시도하는악성코드가최근에발견되었다. 이악성코드는 3.2. 방식과유사하지만 hosts파일을이용하여로컬호스트에접근하는대신 DNS서버주소를로컬호스트주소인 로변경하여접근한다. DNS 서버가로컬호스트로변경됨으로써사용자가웹브라우저등을통해사이트접속요청시로컬호스트에연결이되고, 이접속을기다리던악성코드가파밍IP에데이터를보내는비슷한원리가사용된다

19 [ 그림 24] Visual Basic Script 사용 악성코드는 Visual Basic Script 10) 를사용하여 DNS 서버를변경하는데, 코드는 특정연산으로인코딩되어있다. 실제데이터를추출하려면 2 번의디코딩루틴을 거쳐야한다. [ 그림 25] 디코딩루틴 1 [ 그림 26] 디코딩루틴 2 [ 그림 27] 디코딩전, 후의값 10) Visual Basic Script : 마이크로소프트가개발한액티브스크립트언어이다. VB 스크립트는윈도 98 이후의여러윈도운영체제에서기본으로설치되어있다

20 위와같이알아볼수없는긴문자열이디코딩루틴들을거치고나면아래처럼 Visual Basic Script 코드로나오게된다. 악성코드는이코드를실행시켜 DNS서버와보조 DNS서버를변경한다. ( 은정상 DNS서버주소로써해커가원하는주소가아닐경우정상작동을위해설정한것으로보인다.) [ 그림 28] 스크립트로인해변조된 PC 내 DNS 서버주소 DNS서버를로컬호스트로변경하였으니데이터를받기위한 C&C IP가필요한데, 이는 3.1. 방식을사용하여얻어온다. 악성코드는내부에특정문자열을포함하고있는데이문자열을디코딩한후, 중국블로그에전송하여나온결과값에서 IP를추출해온다. 특정문자열이아닐시에는 IP를추출해오지않는다. 추출에성공하면 3.2. 방식과유사하게동작하며파밍을시도한다. [ 그림 28] 3.1. 방식을사용하여 C&C IP 를추출함

21 3.4. 로컬호스트 DNS 서버변경 - 2 로컬호스트의 DNS 서버를레지스트리변경을통해바꾸는방식은초기에사용하던기법이지만간단하게구현이가능하기에언제든지다시악용될수있다고판단된다. 실제시스템의 DNS 서버가바뀌는것이기때문에이같은파밍공격에도주의가필요하다. 시스템의 TCP/IP 정보는특정레지스트리에저장되어있는데, DNS Changer 라고불리는악성코드는이레지스트리를수정하여 DNS 서버를변경한다. 레지스트리 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters 용도 현재 TCP/IP 설정사항 백업된 TCP/IP 설정사항 [ 표 5] TCP/IP 설정사항관련레지스트리경로 ControlSet 레지스트리는드라이버설정, 하드웨어프로필설정등을모아놓은곳이다. 윈도우는하드웨어내용이변경될때새로운 Control Set을만들고기존값은백업하여만약을대비한다. 이렇게생긴백업레지스트리는 ControlSet001, ControlSet002 같이순서대로생기는데, 이러한유형의악성코드는백업설정사항까지함께변경한다. 레지스트리 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\A dapters 용도 네트워크어댑터리스트 [ 표 6] 네트워크어댑터리스트레지스트리경로 위의레지스트리경로에는네트워크어댑터들의 ID 가저장되어있는데, 악성 코드는이값들을전부읽어저장한다. 네트워크어댑터마다 DNS 서버주소를 가지고있기때문에, 이저장한값들을이용하여모든어댑터설정을변경한다

22 레지스트리 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Key : NameServer Value : 파밍 IP HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\In terfaces\{id for Adapters} Key : NameServer Value : 파밍 IP HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters Key : NameServer Value : 파밍 IP HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interf aces\{id for Adapters} Key : NameServer Value : 파밍 IP 용도 DNS 서버주소변경 DNS 서버주소변경 DNS 서버주소변경 DNS 서버주소변경 [ 표 7] DNS 서버주소레지스트리경로 [ 그림 29] 변조된 DNS 서버 위와같이레지스트리를이용하여값을설정하면기본 DNS 서버와보조 DNS 서버주소들이모두바뀐다. 사용자가 자동으로 DNS 서버주소받기 메뉴를선택하였더라도악성코드가이를바꾸는것이다. 그리고 DNS 서버가바뀌었기때문에특정웹사이트에접속시해커가만든피싱사이트로접속이되므로이러한점도유의해야한다. 이렇게바뀐 DNS 주소는 [ 인터넷프로토콜 (TCP/IP) 등록정보 ] 에서확인할수있다

23 3.5. 브라우저 <iframe> 삽입 최근에는사용자 PC를감염시킨후브라우저를조작하여피싱사이트로유도하는기법이발견되었다. 일단악성코드에감염되면, 정상사이트가열린브라우저에 <iframe> 11) 을이용하여악성링크팝업을삽입한다. 팝업내용은주로금융보안업데이트이며, 이안내문을정상사이트위에고정시켜사용자의클릭을유도한다. 이때모든사이트가아닌, 특정포털이나은행사이트에서만팝업이열리기때문에사용자는이상여부를판단하기어렵다. 악성링크 ( 팝업 ) 를클릭할경우금융기관을사칭한피싱사이트로이동하게되므로, 사용자 PC 정보뿐만아니라금융정보 ( 비밀번호, 보안카드등 ) 까지추가로탈취될수있다. [ 그림 30] 브라우저에 <iframe> 을삽입하여피싱사이트접속유도 윈도우 API를사용하면 IE( 인터넷익스플로어 ) 를제어할수있는데, 악성코드가이를악용하여사용자가 IE 주소창에주소를입력하거나포털사이트등을통해서특정 URL에접속을시도하면, 이를감시하고있던악성코드가메모리를수정하여파밍을유도하는소스로바꿔치기한다. 그러면해당페이지소스는 iframe이라는 HTML태그가삽입되어있는소스로바뀌게되는데, 이태그로인해서실제정상사이트가아닌해커가만들어놓은파밍 IP로접속하게된다. 11) <iframe> : 내부프레임 (inline frame) 이라는의미로, 하나의 HTML 문서내에서다른 HTML 문서를보여주고자할때사용. 일반적인프레임 (frame) 과달리폭 (width) 과높이 (height) 속성을사용할수있으며, 독립적으로원하는위치에삽입가능

24 1 악성코드감염시 IE 제어 2 특정사이트접속 3 사이트접속감지 4 메모리변조후, <iframe> 태그로 C&C 서버접속 [ 그림 31] 악성코드주요행위 3.6. VPN 을활용한파밍 VPN(Virtual private network) 은가상사설망이라고불리며, 공중네트워크를사용하지만한회사나몇몇단체가내용을외부사람에게드러내지않고통신할목적으로쓰는사설통신망이다. 해커가이러한특성을이용하여 VPN 접속을통해원하는가상의네트워크를구성하고, 피해자가이네트워크를통해접속하면파밍 IP로연결된다. [ 그림 32] VPN 주소및계정

25 악성코드는타프로세스에삽입되어실행되고있다가사용자가웹브라우저를 이용해은행등금융사이트에접속을할때를감지하여자신이만든 VPN 서버와 계정으로접속하고파밍 IP 로연결한다. [ 그림 33] 대상금융사이트

26 4. 악성코드감염증상 4.1. 개인정보입력유도팝업창 사용자가악성코드에감염되어피싱사이트로접속이되면금융정보입력을 유도하기위해금융보안관련팝업창이뜨고가짜은행사이트로연결한다. [ 그림 34] 파밍유도팝업창

27 4.2. 악성앱추가설치유도 해커들은 PC뿐만아니라사용자의모바일기기도감염시켜정보를훔쳐내려고한다. 공유기 DNS서버가변경되면이를사용하는스마트폰도피싱사이트에접속이되는데, 접속시아래와같이악성앱설치를유도한다. 이러한앱은해커가만든악성앱이므로설치할시핸드폰이해커에게장악될수있다. [ 그림 35] 악성앱설치유도팝업창 파밍 IP로접속시금융정보입력과동시에아래와같이 QR코드를제공하는경우도있는데, 주로본인인증용도라고나온다. 하지만모바일로이 QR코드를스캔하여해당 URL에접속하면악성앱설치를유도하는데, 이경우도해커가만든악성앱을설치하게되므로조심해야한다

28 [ 그림 36] QR 코드스캔유도창 1 [ 그림 37] QR 코드스캔유도창 Active X 다운로드유도 악성코드에감염되면특정사이트접속시 아래와같이팝업창과함께혹은 독자적으로 Active X 설치를유도하는창이뜰수도있다. 이 Active X 가설치되면 추가적으로악성코드를다운로드하고실행하게된다

29 [ 그림 38] Active X 설치유도 [ 그림 39] Active X 설치유도창 4.4. 클릭원스 클릭원스는 Active X 를사용하지않고, 마이크로소프트 (MS) 닷넷프레임워크 기반에서인터넷뱅킹에필요한보안프로그램을설치할수있게하는방식으로 사용자가설치버튼을눌러야만설치가된다

30 이를이용하기위해서는닷넷프레임워크가필요한데, 요즈음에는닷넷프레임워크가사용되는곳이많아상당수사용자들의컴퓨터에설치되어있을가능성이높다. 만약닷넷프레임워크가설치되어있다면피싱사이트에서클릭원스를사용하여보안모듈로위장한악성코드를설치할수도있으니주의가필요하다. [ 그림 40] 클릭원스설치유도창 5. 감염여부확인및치료방법 5.1. hosts 파일 hosts.ics 파일 hosts파일과 hosts.ics파일을이용한파밍방법은간단해서많이사용되고있으므로가장먼저확인해보는것이좋다. 사용자가직접수정한경우를제외한다면정상적인 hosts 파일은아래그림과같이별다른내용이없다. 만약그림과다르게유명포털혹은금융사이트의 URL이나 IP가많이보인다면악성코드감염을의심해보아야한다

31 [ 그림 41] Windows XP 정상 hosts 파일 [ 그림 42] Windows 7 정상 hosts 파일 5.2. 인터넷프로토콜 (TCP/IP) 등록정보확인 실제시스템의 DNS주소가변경되는경우는드물지만그래도확인해보는것을추천한다. [ 제어판 ]-[ 네트워크및인터넷 ]-[ 네트워크및공유센터 ]-[ 로컬영역연결 ]-[ 속성 ] 탭에서 [Internet Protocol Version 4] 를찾아 [ 속성 ] 을누르면자신의 IP와 DNS주소를확인할수있는데, 특정 DNS서버를사용하는네트워크의사용자라면설정되어있는 DNS 서버주소가정상주소인지를확인하고, 그외일반사용자들은처음보는 DNS서버주소가할당되어있다면 [ 자동으로 DNS서버주소받기 ] 를선택하도록한다. [ 그림 43] DNS 서버주소확인

32 5.3. 공유기설정 공유기의원격관리기능을사용하거나관리자계정의보안이제대로설정되어있지않으면, 해커들이쉽게공유기의 DNS서버를변경할수있기때문에공유기설정페이지를확인해봐야한다. 공유기설정페이지는제품마다모두다르기때문에 krcert 홈페이지에게시된유, 무선공유기보안공지 12) 를참조한다 의심되는사이트의소스 정상사이트는사용자의정보를입력하도록유도하지않는다. 따라서인터넷을하다가의심스러운팝업창이보인다면악성코드감염을의심해봐야한다. 그리고이를간단하게확인할수있는방법중에하나가해당페이지의소스코드를보는것이다. [ 그림 44] 피싱사이트 위와같이의심되는팝업창이뜬다면창위에마우스를올리고오른쪽키를 눌러 [ 소스보기 ] 메뉴를누른다. 12) -

33 [ 그림 45] 피싱사이트실제소스 특정악성코드에감염될경우 [ 소스보기 ] 를눌렀을때위와같은 <frame> 이나 <iframe> 코드가있을수있다. 이 html 태그들로인해 src 의파밍 IP 로 접속하게된다. 이경우에도악성코드에감염되어있을확률이높다

34 6. 대응방안 1 소프트웨어를항상최신으로업데이트한다. 최근악성코드는 PC의인터넷익스플로러 (IE), 자바 (Java), 플래시플레이어 (Flash player) 등의취약점을종합적으로확인후, 가장약한부분을찾아내어그에맞는악성코드를추가로다운로드하게한다. 이때공격자는기존에이미공개되어있는취약점을지속적으로공격에이용하고있다. 따라서사용자는윈도우뿐만아니라플래시, 자바등서비스어플리케이션도최신보안업데이트를적용해야한다. 2 백신프로그램을항상최신으로업데이트한다. 악성코드는매우빈번하게변종과새로운기법이나오기때문에백신을항상최신의상태로유지해야한다. 백신을업데이트하지않으면최신백신이잡을악성코드도잡지못하는경우가있을수있기때문이다. 따라서개인및기업은백신점검과업데이트를주기적으로하고, 보안점검및보안패치등을통해금융정보유출에대비하여야한다. 3 출처가불분명한파일이나프로그램을함부로열어보지않는다. 출처가불분명한파일이나불법프로그램을사용할경우에는해당파일에악성코드가같이포함되어있을수있기때문에항상정품소프트웨어를사용하거나출처를제대로파악해야한다. 특히, 요즈음에는동영상이나그림파일등에악성코드가같이실행압축된악성코드가유행하므로확장자나실제파일타입을한번확인해보는것이좋다

35 4 지나치게많은정보를요구할때에는의심을한다. 파밍악성코드는사용자의정보를탈취하는것이목적이기때문에어떠한경우에도금융거래시보안카드번호전체를입력해서는안된다. 이러한요구를하는홈페이지가있다면금융정보탈취를위해악의적으로만들어진사이트라고보아도무방하므로각별히주의해야한다. 또한금융사이트이용중보안카드번호를제대로입력하였는데도계속번호오류가발생하거나, 번호입력뒤에갑자기비정상종료되었다면, 즉시거래금융사에연락하여확인해야한다. 만약이상징후가있을경우, 계좌지급정지를신청하면추가피해를막을수있다. 이때사용하던 PC는악성코드탐지를위하여브라우저를종료한다음백신프로그램을실행해야하며, 특히스마트폰인경우 A/S 센터를방문하여초기화를실행하는것이좋다. 5 보안카드등민감한정보를따로저장하지않는다. 일부보안카드사용자중에는카드를스캔해파일로저장해놓는경우가있다. 이럴경우악성코드감염시곧바로금융사고로이어질가능성이매우높다. 보안카드는반드시실물을사용하고, 1년에한번은교체하는것이좋다. 교체가번거롭다면보안성이좀더높은 OTP 13) 를사용하는것을권장한다. 6 보안공지를주기적으로확인하는등최신보안관련소식에관심을갖는다. 주기적으로 KRCERT 나 KISA 홈페이지의보안공지등을확인하거나보안관련뉴스를 확인하여최신보안관련소식에관심을갖고대처를한다. 보안사고는항상언제 어디서터질지모르기때문에꾸준히관심을가져야한다. 13) OTP(One Time Password, 일회용비밀번호생성기 ) : 전자금융거래시마다고정된비밀번호대신, 무작위로새롭게생성된비밀번호로인증하는보다안전한전자금융거래방식

36 - KISA : 인터넷 정보보호관련소식및법령제공 - KISA 인터넷침해대응센터 : 인터넷침해사고관련소식및보안서비스제공 - KISA 보호나라 : 윈도우XP 전용백신보급 - MS 윈도우최신보안업데이트적용 ( 자동보안업데이트설정권장 ) ( 윈도우7) 제어판 - 시스템및보안 - Windows Update - Adobe Flash Player 최신버전업데이트적용 - Oracle Java(Java Runtime Environment) 최신버전업데이트적용

37 [ 붙임 ] 참고자료 1. KISA인터넷침해대응센터-자료실 ( 년 5월인터넷침해사고대응통계 년 1~5월악성코드은닉사이트탐지동향보고서 - 피싱과큐싱의결합공격 2. ASEC리포트-2014년 3월주요보안이슈 (AhnLab, ) NI001&webNewsInfoUnionVo.seq= 호스트파일변조탐지를우회하는파밍수법등장 ( 디지털데일리, ) 4. 한국맞춤형악성파일지난 10 년간의실체전격해부 ( 잉카인터넷, ) 5. Unicode 를이용한윈도우확장자변조가능취약점을이용한악성코드주의 -