진화하는악성코드 파밍 큐싱결합해 PC 스마트폰동시공격 파밍으로인터넷뱅킹정보수집하고큐싱으로악성앱설치하여모바일뱅킹정보를수집하는악성코드 KISA 코드분석팀송지훤, 류소준 개요최근 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고있다 실제한국인터넷진흥원에신고 접수된악성앱중 이상과 악성코드중 이상이보안카드번호 주민등록번호등금융정보를탈취하고있다 뿐만아니라가능한많은금융정보를수집하기위해해커는파밍 과큐싱 수법을복합적으로사용하여인터넷뱅킹정보와모바일뱅킹정보를동시에수집하는것으로확인되었다 뿐만아니라해커는원격제어및 공격이가능한 계열악성코드를함께유포하고있었다 파밍 (Pharming) : 피싱 (Phishig) 과농사 (Farming) 의합성어로 PC에가짜은행사이트로유도하는악성코드를설치하고금융정보를빼낸후예금을인출하는사기범죄 큐싱 (Qshing) : QR코드와개인정보, 금융정보를낚는다 (Fishig) 는의미의합성어로 QR코드를통해악성링크로의접속을유도하여악성앱을설치하는사기범죄 < 파밍유도화면 > < 2 차채널을가장한큐싱화면 > 해커는일반웹사이트를해킹하고브라우저 자바등의취약점을통해 악성코드를유포시켰다 해당악성코드는감염된 에서공인인증서및
시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에따라진화하고있다는것을보여준다고할수있다 2차채널인증의무화 : 13년 9월 26일부터시행된미등록기기에서금융거래시본인인증을 1채널 (PC) 외에 2채널 ( 스마트폰, 유선전화등 ) 로확대하는방안 < 악성코드및악성앱공격개요도 > 악성코드유포기간및규모 년 월부터최소 개월간해당악성코드를제작한해커는여행사 수련관 웹하드업체등 개가넘는국내홈페이지를통해악성코드를유포하였다 악성코드를유포한사이트와시기는다음과같다 연도유포일자악성코드유포지 2013 년 9.11 http://xxx.xx.xxx.xxx/xxxx/mk/index.html 9.17 http://xxxxx.xxxx.xx.kr/xxxxxxx/ms/test/index.html 9.21 http://xxxxxx.xx.kr/bbs/pop.exe 9.23 http://xxxxxxx.xx.kr/xxxxxx/goods/pop/xx.js 9.24 http://xxxxxxxxx.com/shop/data/pop/index.html 9.25 http://www.xxx.com/data/test/lndex.html 9.30 http://xxxxxxx.xx.kr/xxxxxxx.exe 10.22 http://xxx.xxx.xx.kr/session/s/index.html 11.11 http://xxxxxxx.com/xxxx/w/index.html 11.14 http://www.xxxxx.com/xxxx/mk/index.html 11.25 http://xxxxxx.com/xxx/index.htm
2014 년 11.26 http://xxxxx.com/xxxx/index.html 12.04 http://www.xxxxxxxx.com/xxx/index.html 12.05 http://xxx.xx.kr/bbs/skin/add/index.html 12.13 http://xxxxxxxx.com/xxx/index.html 12.20 http://xxx.xx.xxx.xxx:xxx/index.html 12.21 http://xx.xxxx.xxxx.net/xxxxxxxx/mm/index.html 12.24 http://xxxxxxxx.kr/pop/index.html 12.30 http://xxxxxx.xx.kr/pop/index.html 1.2 http://xx.xxx.xxx.xx:xxx/index.html 1.8 http://xxxxxxxx.com/pop/index.html 1.9 http://xxxxxxxxxxx.com/pop/index.html 1.10 http://xxxxxxx.net/pop/index.html 1.11 http://xxxxxxx.xx.kr/pop/index.html 1.13 http://xxxxxxxxx.com/pop/index.html 1.17 http://xxxxxxxxxxx.com/pop/index.html 1.18 http://xxxxxxxxxxxxx.com/pop/index.html 1.19 http://xxxxxx.xx.kr/pop/index.html 1.20 http://xxxxxxxxxxx.net/pop/index.html 1.23 http://xxxxxx.com/pop/index.html 1.23 http://xxx.xx.kr/pop/index.html 1.25 http://xxxxxxxcom/pop/index.html 1.25 http://www.xxxxxxxx.com/banner/upfiles/pop/index.html 1.30 http://xxxxxxx.xx/news/index.html 2.7 http://xxxxxxxxxx.com/pop/index.html 2.13 http://www.xxxxx.co.kr/uploads/info/click.exe 2.13 http://xxxxxxxxx.com/pop/index.html 2.14 http://xxxxxxxxx.com/xxxxxx/files/album/xxxxxxxx.html 2.19 http://xxxxxxxx.com/pop/index.html 2.19 http://xxxxx.co.kr/pop/index.html 2.21 http://xxxxxxxxxxx.com/pop/index.html 2.21 http://xxxxxxxxx.com/xxxxxxxcss/index.html 2.22 http://xxxxxxxxx.kr/pop/index.html 2.23 http://xxxxxxxxxx.com/pop/index.html 2.26 http://xxxxxx.xxxx.net/index.html 2.28 http://xxxxxxxxxxxxx.xx.kr/pop/index.html 3.3 http://www.xxxxxxxx.xx.kr/lang/xxxxxxxxx/xxxxxxxxx.html 3.5 http://xxxxxxx.xxxx.net/smss.exe 3.6 http://www.xxxxxxxxx.com/resources/file/xx/index.html 3.13 http://xxxxxxxx.xxxxxxx.com/hot/index.html 3.15 http://www.xxxxxxxx.com/resources/file/image/index.html 3.19 http://xxx.xx.xxx.xxx:xxx/index.html 3.22 http://www.xxxxxxxxxx.xx.kr/xxx/log/index.html 3.22 http://xxxxxxxxxxxxx.org/xxxxxxxxxx/xxxxxxx/xxhtml 3.22 http://www.xxxxxxxx.xx.kr/css/index.html 3.23 http://xxx.xxx.xxx.xxx/css/index.html 3.23 http://xxxxxx.com/board/xxxxxx/ga.html 3.24 http://xxx.xxx.xx.xxx/index.html 3.24 http://xxx.xx.xxx.xx/xxxxxxxx.html 3.25 http://xx.xx.xxx.xxx/index.html 3.26 http://xxxxxxxxxxxx.kr/pop/index.html 악성코드분석결과 악성코드특징점여러유포지에서다운로드되는악성코드는본래 단계에걸쳐악성코드를생성한다 대부분 혹은 이 를 가 를 가 를순차적
으로다운받아실행하는것으로나타났다 악성코드마다각기다른악성행위를하며개인정보 컴퓨터정보등을유출시킨다 또한이악성코드들은모두독자적으로유포되기도한다 전체구조와악성코드별행위들은아래표와같다 < 악성코드생성및실행순서 > < 악성코드별행위 > 악성코드 smss.exe mydat.dll CHIinwywamzi.exe svchsot.exe kb0ce.exe 악성행위 o 악성코드 (dll) 드랍 o 백신탐지 o hosts 파일변조, 공인인증서유출 o 악성코드추가다운 o 자기자신을 svchsot.exe로복제하여생성 o 키로깅 o 화면정보유출 o 악성코드추가다운 o 원격제어, DDoS 공격 o hosts 파일변조 악성코드파일명은사고마다변경되나주요행위및모듈은동일 개이상사이트에서발견된악성코드를분석한결과 대부분아래와같은공통점이발견되었으며동일조직이금융정보수집을위해아이피와기능만약간수정하여끊임없이악성코드를유포하고있는것으로추정된다 공통점 파일변조금융정보를수집하는악성코드이름은대부분 이었으며링크파일 을통해실행되었다 실행된뒤에는호스트파일을변조하여가짜금융사이트로접속을유도하는데해당악성코드는공격에사용되는아이피를두가지방식을통해서얻어온다 첫번째방식은주로서버에서 라는파일의내용을읽어아이피를가져오는방식으로 소스코드상에는인코딩되어있지만악성코드내부의디코딩루틴을거친후에는공격아이피와도메인의내용이나타나게된다
< 서버내아이피가저장된 plus.php > < 디코딩된 plus.php 내용 > < plus.php 디코딩모듈 > 두번째방식은중국블로그에서아이피를파싱해오는방식이다 주로 이라는중국블로그에서 을기준으로아이피를검색한후금융사이트접속시해당아이피로연결되도록호스트파일을변조한다 < 중국블로그내아이피 > < # 을기준으로아이피검색 > 초기에는첫번째방식과두번째방식이번갈아사용되었으나최근에는두방식을함께사용하는악성코드가발견되고있다 그이유는추가악성코드유포지가차단되었을때를고려하여두가지방식을함께사용하는것으로보인다 두번째방식은실제국제협력채널을사용해야하기때문에중국블로그에조치요청하기까지많은시간이소요되고있다
< 악성코드가생성한호스트 (host.ics) 파일 > 공통점 공인인증서수집 악성코드는대부분공인인증서가저장되어있는 폴더를압축 하여해커의정보유출지로유출하였다 < 공인인증서가저장된 NPKI 폴더검색모듈 > 공통점 에서사용되는커맨드형식의압축방식사용 개이상사이트에서유포된악성코드는공통적으로공인인증서가저장된 폴더를 압축프로그램콘솔버전 으로압축하였다
< 7-zip 압축프로그램으로공인인증서가저장된 NPKI 폴더를압축하는모듈 > 명령어를확인한결과 악성코드는대부분압축파일형식을 으로압축비밀번호는 으로사용하였다 악성코드가압축시사용하는 옵션별의미는아래표와같다 악성코드사용한 7-zip 명령 ( 예 ) : C:\7az.exe a t7z p123 aoa mhe [ 공인인증서 ] < 악성코드가사용하는옵션별의미 > 옵션 a 파일추가 -t 파일타입 -p 압축비밀번호 -aoa 덮어쓰기 -mhe 파일의헤더까지암호화 의미 < 압축된 NPKI 폴더 > < 압축을푼뒤의파일 > 공통점 사용자를인식및관리하기위해사용자계정유출악성코드는 종류 운영체제정보 크기등을유출하는데해당정보는감염된사용자를인식하고관리하기위함으로추정된다 수집한데이터는아래모듈을통해인코딩하는것으로확인되었다
< 인코딩하는연산과정 > 공통점 프로세스실행목록에서백신종료악성코드는현재프로세스실행목록에서백신프로세스나서비스를검색하고기능을멈추거나백신을종료한다 < 악성코드가종료하는백신 > 악성코드가검색하는백신프로세스 V3LSvc.exe AYRTSrv.aye avp.exe Rstray.exe KSafeTray.exe 백신이름 V3 Lite 알약카스퍼스키 Rising Antivirus Kingsoft System Defender 공통점 분석방해를위해 디코딩방식사용악성코드는정보유출지서버 레지스트리경로 백신명 함수명등주요문자열을전부 로인코딩하였다 해커는악성코드가문자열로인해쉽게분석되는것을피하기위해문자열을전부 로인코딩하였다 문자열은사용되기직전 디코딩함수를거친후사용되었다 Base64 방식 : 8비트이진데이터를문자코드에영향을받지않는공통 ASCII 영역의문자들로만이루어진일련의문자열로바꾸는인코딩방식
< 인코딩된문자열 > 공통점 악성코드추가다운로드해커는다양한용도로감염 를활용하기위해 계열원격제어및 공격악성코드를유포하고있는것으로나타났다 원격제어기능으로는키보드및마우스제어 화면제어 파일다운로드등이있으며 기능으로는 등이있다 테스트결과 실제악성코드가 관리프로그램에접속되어제어가능하였다 < 악성코드내 GET Flooding 모듈 > < Gh0st Rat 3.75 프로그램에접속한악성코드 >
해커가이용한서버및취약점분석결과 년 월부터해커가이용한서버를분석한결과 악성코드는피싱아이피를전달받기위해대부분 에서정보를수집하였다 국가별로는피싱아이피정보수집및정보유출을위해미국에존재하는서버를애용하였다 또한호스트파일에기재되는피싱아이피는주로일본서버를애용하였으나해당서버가해킹되어이용되었을가능성도존재한다 순번 서버 국가 순번 서버 국가 1 xxx.xx.xxx.xxx 태국 28 xx.xxx.xxx.xx:xxx/plus.php 미국 2 xxx.xx.xxx.xxx 태국 29 xx.xxx.xxx.xx:xx/plus.php 미국 3 xxx.xx.xxx.xxx 태국 30 xx.xxx.xxx.xx:xxx/plus.php 미국 4 xxx.xx.xxx.xxx 태국 31 xx.xxxxxxxx.com - 5 xxx.xx.xxx.xxx:xxxx - 32 xx.xxxxxxxxxx.com 홍콩 6 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 33 xxx.xxxxxx.com - 7 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 34 xxxxx.com/plus.php 일본 8 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 35 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 9 xxx.xxx.xxx.xxx 미국 36 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 10 xx.xxx.xx.xxx 일본 37 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 11 xx.xxx.xx.xxx 일본 38 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 12 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 39 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 13 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 40 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 14 xx.xxx.xxx.xxx 미국 41 xx.xxxxx.com - 15 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 42 xx.xxxxx.com/shit.php - 16 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 43 xx.xxxxx.com 미국 17 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 44 xx.xxxxx.com - 18 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 45 xx.xxxxxx.com - 19 xxx.xxx.xxx.xx/plus.php 미국 46 xx.xxxxxx.com:xxxx/plus.php - 20 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 47 www.xxxxx.com:xxxx/plus.php - 21 xx.xxx.xxx.xxx 일본 48 xxx.xxx.xx.xx 일본 22 xxx.xxx.xx.xx 일본 49 xxx.xxx.xxx.xx 일본 23 xxx.xx.xxx.xx 일본 50 xxx.xx.xx.xx 홍콩 24 xx.xxx.xx.xxx 일본 51 xxx.xxx.xx.xxx - 25 xxx.xxx.xxx.xx 미국 52 xx.xxxxx.com - 26 xxx.xxx.xxx.xx 미국 53 user.qzone.qq.com/xxxxxxxxx 중국블로그 27 xxx.xxx.xxx.xx 미국 54 xxx.xxx.xxx.xx 미국 해커는약 가지취약점등을이용하여악성코드를유포하는것으로 확인되었다 또한악성코드감염률을높이기위해대중적으로사용되는 브라우저 자바취약점등을이용하였다 순번 CVE 번호 설명 1 CVE-2011-3544 Oracle Java SE Rhino Script Engine 입력값검증오류취약점 2 CVE-2012-0507 Oracle Java Sandbox 우회원격코드실행취약점 3 CVE-2012-0634 Apple itunes, Safari에서사용되는 Webkit 메모리손상취약점 4 CVE-2012-1723 Oracle Java SE 원격코드실행취약점 5 CVE-2012-1889 Microsoft XML Core Services의초기화되지않은메모리개체접근으로인한원격코드실행취약점 6 CVE-2012-3544 Apache Tomcat 서비스거부취약점 7 CVE-2012-4681 Oracle Java Sandbox 우회원격코드실행취약점 8 CVE-2012-5076 Oracle Java Security Manager 우회원격코드실행취약점 9 CVE-2013-0422 Oracle Java Runtime Environment 원격코드실행취약점 10 CVE-2013-0634 Adobe Flash Player 메모리손상취약점 11 CVE-2013-2465 Oralce Java SE 메모리손상취약점 12 CVE-2013-3897 Internet Explorer 메모리손상취약점
피싱사이트에서 코드를통해악성앱유포악성코드에감염되면호스트파일변조방식으로금융사이트뿐만아니라사용자가다수인사이트 유명포털사이트등 도피싱사이트로연결한다 사용자가웹검색등을위해유명포털사이트등에접속하면해커가구성한가짜페이지가보여주고이때보안관련인증절차를요구한다 인증을위해해커의은행피싱사이트에로그인하면아이디및패스워드가암호화되지않은채정보유출지로전송된다 < 로그인유도페이지 > < 평문그대로값전달 > 이후악성코드는 채널본인인증을위해큐싱기법으로악성앱설치를유도한다 해커는 코드를인식하는앱이설치되지않은상황을대비해 의추가설치를권유하였다 코드를사진처럼찍으면악성앱다운로드용 로연결되어설치가시작되었다 < 2 차채널보안인증을위해악성앱설치유도 > < QR Droid 설치권유 >
스마트폰악성앱분석결과 큐싱 을통해다운로드되는악성앱의특징 해커는악성코드와악성앱을함께배포하여복합적으로사용자를 공격하였다 해커는악성앱유포경로로 코드를선택하였는데 이는제작자추적이어렵고앱다운로드를위해연결되는 의악성 여부확인이어렵기때문으로보인다 코드를통해설치된악성 앱은스마트폰기기에능숙하지못한사용자가앱삭제를쉽게못하도록 기기관리자로자기자신을등록한다 악성앱을실행하면서버점검중 이라는허위메시지를보여주어사용자를속인다 1 악성앱설치유도 2 관리자권한으로등록 3 서버점검중이라는허위메시지 이후악성앱은사용자스마트폰정보 전화번호부 메시지를유출하고 서버에 분간격으로접속하여명령을기다린다 악성앱은서버에서전송한명령에따라문자수신방해 착신전환서비스설정시도등을수행한다 < SMS 메시지유출코드일부 >
< 서버에명령을요청하고수신한명령을수행하는코드일부 > 하지만해당악성앱은사용하는착신전환설정방식이우리나라이동통신사업자의방식과는다르기때문에외국 중국 유럽등 에서제작된앱으로추정된다 외국의경우는착신전환코드가 연결희망번호 으로설정이가능하지만우리나라는우선이동통신사의홈페이지나오프라인대리점등에서착신전환유료부가서비스를가입해야하고 설정코드도 연결희망번호 로다르다 따라서해당앱을통해실제로착신전환이설정되지는않지만이부분이우리나라이동통신환경에맞게개발된다면은행의자금이체시추가보안방법인 인증을우회하여금융사기에악용될수도있을것으로보인다 < 착신전환설정 / 해지코드일부 > < 착신전환부가서비스가입방법 > ( 14.04.11) SKT KT LG UPlus 홈페이지, 114 고객센터, 고객센터앱오프라인매장홈페이지, 고객센터앱 악성코드감염예방방법및대처 한국인터넷진흥원은매일취약한사이트에서악성코드유포현황을 모니터링하고있으며악성코드분석을통해악성코드유포지 정보수집
서버등을조치 차단하고있다 뿐만아니라파급력이높은악성코드는백신사에샘플을공유하고백신개발을요청하여이용자피해최소화를위해노력하고있다 또한최근에는금융사별악성코드대응을위해추가보안인증방법등을도입하고있다 그러나해커는끊임없이취약한사이트를찾아악성코드를유포하고있으며변경된인터넷뱅킹절차에따라진화된악성코드를유포하고있다 따라서취약한사이트에접속하더라도악성코드에감염되지않도록사용자는 와스마트폰의백신을최신버전으로업데이트하고주기적으로검사해야한다 또한평소정품소프트웨어를사용하고의심스러운사이트방문과 등악성코드유포지로악용될수있는서비스이용을자제해야한다 공인인증서는가급적외부저장소에저장하는것이좋으며스마트폰에알수없는출처의앱을다운받을때는주의해야한다 악성코드에감염이의심되면일단백신으로검사한후 센터등에신고하는것이필요하다