#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

#HNS-WI-14-02 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 ) 2014-01-14

내용요약 이보고서는최근국내금융권과포털사이트이용자들을대상으로한 악성코드공격에서발견된주목할부분을정리및분석한것임 공격자가노린하이재킹대상국내웹사이트들은국민은행, 농협, 신한은행, 우리은행, 기업은행, 외환은행, 하나은행, 우체국, 새마을금고, 네이버, 다음, 네이트, 한메일, KISA 등임 공격자는중국해커또는중국거주자로판단되며, 공격자는공격에사용된코드를중국에서만들어진프로그래밍언어인 Easy Language(E language) 로작성하였고, 중국 Tencent사에서제공하는 SNS 서비스 QQ Space를이용해 C&C 서버를관리하여방화벽이나안티바이러스가신속하게탐지하지못하도록하였음 악성코드는국내안티바이러스제품인 ALYac의프로세스가존재하는지여부를확인하는기능도가지고있으며, 만약해당프로세스가존재한다면그프로세스를 kill시키지않고다른우회방법을사용하는데, 이는사용자에의해쉽게탐지되는것을피하기위한조치로판단됨 중국자체에서개발된프로그래밍언어 E language를사용하여악성코드를작성하고, C&C 서버를관리하기위해 SNS 서비스를활용한것은국내에잘알려지지않은것으로, 이두가지모두앞으로의공격에활용될수있으므로, 이에대한준비가필요할것임 현재 E language 가사용된것을탐지하는방법으로 E language 관련 프로젝트를지칭하는 Blackmoon 이라는문자열을공격코드에서찾아내는 것이있음 이보고서는 1 월 14 일작성된것으로, 일부상황에변화가발생할수있음 1 / 11

1. 개요 2014 년 1 월 13 일국내포털사이트 korea.com 에악성코드가삽입되어있으며, 국내 금융권과포털사이트사용자들을타깃으로하고있음을확인함 korea.com 은 코리아닷컴커뮤니케이션즈가운영하는포털사이트로, 방문자는다른국내 포털사이트에비해적으며, 공격자는도메인이름을통해대규모사이트로판단하여 악성코드삽입대상으로삼았을것으로추측됨 실제공격용악성코드는 korea.com에삽입된 URL이연결되어있는국제물리추나학회사이트인 iptti.com을통해피해자시스템에실행되고, 2014년 1월 14일현재 korea.com의최초링크는삭제되었지만 iptti.com의악성코드는그대로존재하고있어공격자가 korea.com 이외의사이트를활용하여악성코드를전파하고있을개연성도높음 이번공격에서주목할부분은공격자가악성코드를작성할때중국에서만들어진프로그래밍언어인 Easy Language( 소스코드파일의확장자가.e 라서중국에서는 E language 라고부른다고함 ) 를사용했으며, C&C 서버를관리할때중국의 SNS 서비스인 QQ Space를활용했다는것임 ( 세부사항은아래세부내용섹션참조 ) 2. 세부내용 - 악성코드유포지의주소가삽입된 korea.com의최초페이지는아래와같으며, 2014년 1월 14일 17시현재는최초페이지에서링크가삭제된상태임 * http://news.korea.com/view/list_detail.asp?cid=po&scid=po4 * http://news.korea.com/weather.asp - 실제피해자의시스템에서실행되는악성코드가삽입된페이지는세계물리추나학회의웹사이트로 (http://iptti.com/ken/index.html) 로, 2013년 13일오후에는웹서버가다운되어있었고, 2014년 1월 14일다시웹서버가운영되기시작했으며, 14일오후 5시현재에도악성코드는그대로존재하는것을보면관리자가해당페이지를확인하지못한것으로판단됨 - 악성코드가삽입되어있는 iptti.com 의페이지가그대로존재하고, 최초링크가 korea.com 에서는삭제된것을보면 korea.com 의다른페이지또는다른웹사이트들이 공격에활용되고있을개연성이높음 - 악성코드가삽입되어있는페이지의소스 ( 전체소스는보고서끝에첨부함 ) 2 / 11

- 이페이지의소스를확인해보면다음단계의공격을위한쉘코드또는공격관련 스크립트가암호화되어있는것을확인할수있는데, 이암호화된부분에최종실행용 샘플이존재하는위치가포함되어있을것으로추측됨 - 다음은 Chrome 의 Developer Tools 를통해확인한것으로, 4 번째라인에 jpg.js 가보이는데, 이파일은 CVE-2012-1889 취약점을활용해 IE 를통해원격코드실행이가능함 - 이페이지나오는 count31.51yes.com 은중국의웹카운트서비스제공사이트임 - jpg.js 의소스는다음과같음 ( 전체코드는보고서끝에첨부함 ) 3 / 11

- CVE-2012-1889(MS12-043) 는 Microsoft XML Core Services의취약점으로, IE를이용해조작된웹페이지에접속할경우원격으로코드를실행할수있는취약점이며, 공격자가강제로희생자가악성코드가삽입된페이지를방문하게는할수없으며, 대신희생자를악성코드가삽입된페이지로유인해야함 ( 참고 : http://technet.microsoft.com/en-us/security/bulletin/ms12-043) - 이공격에사용되고있는악성파일 AnngTU1t.exe 를 PEiD 로확인해보면 PECompact 로 패킹되어있는것을알수있음 4 / 11

- 이파일을언패킹하여살펴보면주공격대상이국내금융권과포털사이트이용자들임알수있는데, 그대상은다음과같음 * 국민은행, 농협, 신한은행, 우리은행, 기업은행, 외환은행, 하나은행, 우체국, 새마을금고, 네이버, 다음, 네이트, 한메일, KISA - 희생자의시스템에서공격자의악성코드가실행되면희생자시스템의 hosts 파일을 수정하여도메인을하이재킹하고, 금융권과포털사이트에접속하는희생자들의시스템 트래픽을공격자가설정한 C&C 서버로전송함 - 흥미로운점은 KISA가제공하는 pharming 경고사이트 http://pharming.kisa.or.kr과이파밍경고사이트에등록되어있는웹사이트들도하이재킹의대상이었다는것이며 ( 아래그림참조 ), 따라서공격자들이국내보안체계를연구하고, 이를우회하는방법을연구하고있다는것을염두에두고보안시스템을개발하고적용해야할것임 5 / 11

- 이번공격에서주목할부분으로, 악성코드가중국어에서만들어진프로그래밍언어인 Easy Language( 파일확장자가.e 라중국인들은 E language 라고부름 ) 로작성되었다는것인데, Easy Language는중국어로만프로그래밍가능하며, 중국 DYWT사가만든것으로, 다음과같이코딩프로그램을제공하고있음 - Easy Language 는앞의그림에서본것과같이중국어로만 Windows 와 Linux 파일 프로그래밍이가능하고, 문법은 C 언어와유사함 * 공식웹사이트 : http://www.eyuyan.com * 언어소개 : http://www.eyuyan.com/ppt/efppt.htm * 코딩프로그램다운로드 : http://www.eyuyan.com/prc.htm 6 / 11

- Easy Language 로악성코드가작성되면웹방화벽및안티바이러스의조기탐지가어려울 수있으며, 안티바이러스제품의경우 Easy Language 로작성된파일의시그니처를 확보하는것이필요할것임 - E language로프로그램이작성되었다는것을확인하는방법으로프로그램의문자열에서 Blackmoon 이라는단어를찾아내는것인데, Blackmoon은 E language로작성된프로그램을더가볍게컴파일하는방법을연구하는프로젝트로, 다음과같이공격코드의문자열에도다음과같이 blackmoon이라는단어가 3회에걸쳐사용된것을확인할수있음 - E language 로작성된바이너리를 Hex-ray 를이용하여 pseudo code 를구하는것도 가능하나 C 언어로작성된경우보다더복잡함 - 악성코드가실행되면레지스트리에다음과같이두개의 autorun 을설정함 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\[koreanproc] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[koreaonce] - 또다른흥미로운점은중국의 SNS 서비스를이용해 C&C 서버를관리한다는것인데, 공격자는중국 Tencent사가제공하는 QQ Space 서비스를이용하여 C&C 서버의 IP를관리하며, 공격자는사용자계정정보에서아래와같이사용자의닉네임부분을 IP 주소로설정하여활용하고있음 - 공격자의계정주소 http://user.qzone.qq.com/2878663002 7 / 11

- QQ Space 서비스사용자가자신의계정에로그인하면다음과같이다른사용자의기본 정보도확인이가능한데, 공격자는 71 년생으로, 길림성에거주하고있고, 계정넘버가 2878663002 로나와있음 - SNS 서비스를공격에활용하는중국해커들의기법에대한추가정보수집, 분석및 정리하는작업이필요할것으로보임 - 위의사용자명부분에서사용하고있는 IP 114.191.54.223 은일본에위치한것으로, 공격자가 C&C 서버로사용한시스템의열린포트들의기본정보는다음과같음 - 이공격에사용된악성코드는국내안티바이러스제품인 ALYac의 AYAgent.aye 프로세스가존재하는지확인하지만존재한다고하여프로세스를 kill시키지는않는데, 이는사용자에의해탐지되는것을막기위해안티바이러스프로세스를 kill시키는것보다다른우회방법을찾는것으로추측됨 8 / 11

3. 기타 - 악성코드샘플링크 - iptti.com 에악성코드가삽입된코드소스 - jpg.js 소스코드 - 하이재킹대상웹사이트목록 kbstar.com www.kbstar.com open.kbstar.com omoney.kbstar.com obank.kbstar.com obank1.kbstar.com naver.com www.naver.co.kr naver.co.kr nonghyup.com www.nonghyup.com banking.nonghyup.com ibz.nonghyup.com www.naver.com shinhan.com naver.kr www.naver.kr kisa.kbstor.com kisa.nenghuyp.com kisa.shinhon.com kisa.wooribenk.com kisa.idk.co.kr kisa.epostbenk.go.kr kisa.honabenk.com kisa.kcb.co.kr kisa.kfoc.co.kr www.nate.net www.nate.kr nate.kr pharming.kisa.or.kr www.shinhan.com banking.shinhan.com bizbank.shinhan.com open.shinhan.com daum.net ibk.co.kr www.nate.co.kr nate.co.kr www.ibk.co.kr mybank.ibk.co.kr kiup.ibk.co.kr open.ibk.co.kr www.daum.net wooribank.com www.wooribank.com 9 / 11

pib.wooribank.com u.wooribank.com hanmail.net keb.co.kr www.keb.co.kr ebank.keb.co.kr online.keb.co.kr open.keb.co.kr www.hanmail.net hanabank.com www.hanabank.com open.hanabank.com www.hanacbs.com kfcc.co.kr www.kfcc.co.kr ibs.kfcc.co.kr epostbank.go.kr www.epostbank.go.kr nate.com 10 / 11