시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

Similar documents
Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

유포지탐지동향

*2008년1월호진짜

[ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 D

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

ActFax 4.31 Local Privilege Escalation Exploit

#WI DNS DDoS 공격악성코드분석

[ 목차 ] 1. 개요 2 2. 악성앱배포방식 2 3. 채굴악성앱유형분석 정상앱을리패키징하여채굴기능포함후재배포 앱개발시의도적으로채굴기능포함 9 4. 스마트폰악성앱감염예방방법및대처 참고문헌 12 [ 붙임 ] 13

I. 주요현황 FOCUS 1. PC 악성코드동향 한국인터넷진흥원인터넷침해사고대응통계월보 ( 13.1 월호 ) 에따르면당월한달간신고접수된악성코드감염피해신고건수는총 2,557 건으로전월 2,462 건대비 3.9% 증가한것으로집계되었다. 지난해연간피해신고된주요악성코드로는,

신종파밍악성코드분석 Bolaven


< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

[Blank Page] i

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

SBR-100S User Manual


Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

Secure Programming Lecture1 : Introduction

804NW±¹¹®

Red Alert Malware Report

untitled

Windows 8에서 BioStar 1 설치하기

Android Master Key Vulnerability

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

08_spam.hwp

게시판 스팸 실시간 차단 시스템

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Security Trend ASEC REPORT VOL.67 July, 2015

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Security Trend ASEC Report VOL.56 August, 2014


Operation-name: 악성행위의종류를말하며, Sending SMS Calling Sending sensitive information Converting data 로분류합니다. Operation-target: 악성행위의목표물을말하며, Premium-rate SM

<31305FBEC6C0CCC5DB2E687770>

< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

메뉴얼41페이지-2

Install stm32cubemx and st-link utility

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

B2B 매뉴얼

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

정보

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

NX1000_Ver1.1


ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

암호내지

PowerPoint Template

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

helpU 1.0

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

PowerPoint 프레젠테이션

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

4S 1차년도 평가 발표자료

digitalpost vol.644 contents XXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXX XXXXXXXXXX

Secure Programming Lecture1 : Introduction

untitled

07_alman.hwp

RHEV 2.2 인증서 만료 확인 및 갱신

고객 카드

Security Trend ASEC Report VOL.52 April, 2014

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

<C0CCC8ADC1F82E687770>

PowerPoint Template

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1

Transcription:

진화하는악성코드 파밍 큐싱결합해 PC 스마트폰동시공격 파밍으로인터넷뱅킹정보수집하고큐싱으로악성앱설치하여모바일뱅킹정보를수집하는악성코드 KISA 코드분석팀송지훤, 류소준 개요최근 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고있다 실제한국인터넷진흥원에신고 접수된악성앱중 이상과 악성코드중 이상이보안카드번호 주민등록번호등금융정보를탈취하고있다 뿐만아니라가능한많은금융정보를수집하기위해해커는파밍 과큐싱 수법을복합적으로사용하여인터넷뱅킹정보와모바일뱅킹정보를동시에수집하는것으로확인되었다 뿐만아니라해커는원격제어및 공격이가능한 계열악성코드를함께유포하고있었다 파밍 (Pharming) : 피싱 (Phishig) 과농사 (Farming) 의합성어로 PC에가짜은행사이트로유도하는악성코드를설치하고금융정보를빼낸후예금을인출하는사기범죄 큐싱 (Qshing) : QR코드와개인정보, 금융정보를낚는다 (Fishig) 는의미의합성어로 QR코드를통해악성링크로의접속을유도하여악성앱을설치하는사기범죄 < 파밍유도화면 > < 2 차채널을가장한큐싱화면 > 해커는일반웹사이트를해킹하고브라우저 자바등의취약점을통해 악성코드를유포시켰다 해당악성코드는감염된 에서공인인증서및

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에따라진화하고있다는것을보여준다고할수있다 2차채널인증의무화 : 13년 9월 26일부터시행된미등록기기에서금융거래시본인인증을 1채널 (PC) 외에 2채널 ( 스마트폰, 유선전화등 ) 로확대하는방안 < 악성코드및악성앱공격개요도 > 악성코드유포기간및규모 년 월부터최소 개월간해당악성코드를제작한해커는여행사 수련관 웹하드업체등 개가넘는국내홈페이지를통해악성코드를유포하였다 악성코드를유포한사이트와시기는다음과같다 연도유포일자악성코드유포지 2013 년 9.11 http://xxx.xx.xxx.xxx/xxxx/mk/index.html 9.17 http://xxxxx.xxxx.xx.kr/xxxxxxx/ms/test/index.html 9.21 http://xxxxxx.xx.kr/bbs/pop.exe 9.23 http://xxxxxxx.xx.kr/xxxxxx/goods/pop/xx.js 9.24 http://xxxxxxxxx.com/shop/data/pop/index.html 9.25 http://www.xxx.com/data/test/lndex.html 9.30 http://xxxxxxx.xx.kr/xxxxxxx.exe 10.22 http://xxx.xxx.xx.kr/session/s/index.html 11.11 http://xxxxxxx.com/xxxx/w/index.html 11.14 http://www.xxxxx.com/xxxx/mk/index.html 11.25 http://xxxxxx.com/xxx/index.htm

2014 년 11.26 http://xxxxx.com/xxxx/index.html 12.04 http://www.xxxxxxxx.com/xxx/index.html 12.05 http://xxx.xx.kr/bbs/skin/add/index.html 12.13 http://xxxxxxxx.com/xxx/index.html 12.20 http://xxx.xx.xxx.xxx:xxx/index.html 12.21 http://xx.xxxx.xxxx.net/xxxxxxxx/mm/index.html 12.24 http://xxxxxxxx.kr/pop/index.html 12.30 http://xxxxxx.xx.kr/pop/index.html 1.2 http://xx.xxx.xxx.xx:xxx/index.html 1.8 http://xxxxxxxx.com/pop/index.html 1.9 http://xxxxxxxxxxx.com/pop/index.html 1.10 http://xxxxxxx.net/pop/index.html 1.11 http://xxxxxxx.xx.kr/pop/index.html 1.13 http://xxxxxxxxx.com/pop/index.html 1.17 http://xxxxxxxxxxx.com/pop/index.html 1.18 http://xxxxxxxxxxxxx.com/pop/index.html 1.19 http://xxxxxx.xx.kr/pop/index.html 1.20 http://xxxxxxxxxxx.net/pop/index.html 1.23 http://xxxxxx.com/pop/index.html 1.23 http://xxx.xx.kr/pop/index.html 1.25 http://xxxxxxxcom/pop/index.html 1.25 http://www.xxxxxxxx.com/banner/upfiles/pop/index.html 1.30 http://xxxxxxx.xx/news/index.html 2.7 http://xxxxxxxxxx.com/pop/index.html 2.13 http://www.xxxxx.co.kr/uploads/info/click.exe 2.13 http://xxxxxxxxx.com/pop/index.html 2.14 http://xxxxxxxxx.com/xxxxxx/files/album/xxxxxxxx.html 2.19 http://xxxxxxxx.com/pop/index.html 2.19 http://xxxxx.co.kr/pop/index.html 2.21 http://xxxxxxxxxxx.com/pop/index.html 2.21 http://xxxxxxxxx.com/xxxxxxxcss/index.html 2.22 http://xxxxxxxxx.kr/pop/index.html 2.23 http://xxxxxxxxxx.com/pop/index.html 2.26 http://xxxxxx.xxxx.net/index.html 2.28 http://xxxxxxxxxxxxx.xx.kr/pop/index.html 3.3 http://www.xxxxxxxx.xx.kr/lang/xxxxxxxxx/xxxxxxxxx.html 3.5 http://xxxxxxx.xxxx.net/smss.exe 3.6 http://www.xxxxxxxxx.com/resources/file/xx/index.html 3.13 http://xxxxxxxx.xxxxxxx.com/hot/index.html 3.15 http://www.xxxxxxxx.com/resources/file/image/index.html 3.19 http://xxx.xx.xxx.xxx:xxx/index.html 3.22 http://www.xxxxxxxxxx.xx.kr/xxx/log/index.html 3.22 http://xxxxxxxxxxxxx.org/xxxxxxxxxx/xxxxxxx/xxhtml 3.22 http://www.xxxxxxxx.xx.kr/css/index.html 3.23 http://xxx.xxx.xxx.xxx/css/index.html 3.23 http://xxxxxx.com/board/xxxxxx/ga.html 3.24 http://xxx.xxx.xx.xxx/index.html 3.24 http://xxx.xx.xxx.xx/xxxxxxxx.html 3.25 http://xx.xx.xxx.xxx/index.html 3.26 http://xxxxxxxxxxxx.kr/pop/index.html 악성코드분석결과 악성코드특징점여러유포지에서다운로드되는악성코드는본래 단계에걸쳐악성코드를생성한다 대부분 혹은 이 를 가 를 가 를순차적

으로다운받아실행하는것으로나타났다 악성코드마다각기다른악성행위를하며개인정보 컴퓨터정보등을유출시킨다 또한이악성코드들은모두독자적으로유포되기도한다 전체구조와악성코드별행위들은아래표와같다 < 악성코드생성및실행순서 > < 악성코드별행위 > 악성코드 smss.exe mydat.dll CHIinwywamzi.exe svchsot.exe kb0ce.exe 악성행위 o 악성코드 (dll) 드랍 o 백신탐지 o hosts 파일변조, 공인인증서유출 o 악성코드추가다운 o 자기자신을 svchsot.exe로복제하여생성 o 키로깅 o 화면정보유출 o 악성코드추가다운 o 원격제어, DDoS 공격 o hosts 파일변조 악성코드파일명은사고마다변경되나주요행위및모듈은동일 개이상사이트에서발견된악성코드를분석한결과 대부분아래와같은공통점이발견되었으며동일조직이금융정보수집을위해아이피와기능만약간수정하여끊임없이악성코드를유포하고있는것으로추정된다 공통점 파일변조금융정보를수집하는악성코드이름은대부분 이었으며링크파일 을통해실행되었다 실행된뒤에는호스트파일을변조하여가짜금융사이트로접속을유도하는데해당악성코드는공격에사용되는아이피를두가지방식을통해서얻어온다 첫번째방식은주로서버에서 라는파일의내용을읽어아이피를가져오는방식으로 소스코드상에는인코딩되어있지만악성코드내부의디코딩루틴을거친후에는공격아이피와도메인의내용이나타나게된다

< 서버내아이피가저장된 plus.php > < 디코딩된 plus.php 내용 > < plus.php 디코딩모듈 > 두번째방식은중국블로그에서아이피를파싱해오는방식이다 주로 이라는중국블로그에서 을기준으로아이피를검색한후금융사이트접속시해당아이피로연결되도록호스트파일을변조한다 < 중국블로그내아이피 > < # 을기준으로아이피검색 > 초기에는첫번째방식과두번째방식이번갈아사용되었으나최근에는두방식을함께사용하는악성코드가발견되고있다 그이유는추가악성코드유포지가차단되었을때를고려하여두가지방식을함께사용하는것으로보인다 두번째방식은실제국제협력채널을사용해야하기때문에중국블로그에조치요청하기까지많은시간이소요되고있다

< 악성코드가생성한호스트 (host.ics) 파일 > 공통점 공인인증서수집 악성코드는대부분공인인증서가저장되어있는 폴더를압축 하여해커의정보유출지로유출하였다 < 공인인증서가저장된 NPKI 폴더검색모듈 > 공통점 에서사용되는커맨드형식의압축방식사용 개이상사이트에서유포된악성코드는공통적으로공인인증서가저장된 폴더를 압축프로그램콘솔버전 으로압축하였다

< 7-zip 압축프로그램으로공인인증서가저장된 NPKI 폴더를압축하는모듈 > 명령어를확인한결과 악성코드는대부분압축파일형식을 으로압축비밀번호는 으로사용하였다 악성코드가압축시사용하는 옵션별의미는아래표와같다 악성코드사용한 7-zip 명령 ( 예 ) : C:\7az.exe a t7z p123 aoa mhe [ 공인인증서 ] < 악성코드가사용하는옵션별의미 > 옵션 a 파일추가 -t 파일타입 -p 압축비밀번호 -aoa 덮어쓰기 -mhe 파일의헤더까지암호화 의미 < 압축된 NPKI 폴더 > < 압축을푼뒤의파일 > 공통점 사용자를인식및관리하기위해사용자계정유출악성코드는 종류 운영체제정보 크기등을유출하는데해당정보는감염된사용자를인식하고관리하기위함으로추정된다 수집한데이터는아래모듈을통해인코딩하는것으로확인되었다

< 인코딩하는연산과정 > 공통점 프로세스실행목록에서백신종료악성코드는현재프로세스실행목록에서백신프로세스나서비스를검색하고기능을멈추거나백신을종료한다 < 악성코드가종료하는백신 > 악성코드가검색하는백신프로세스 V3LSvc.exe AYRTSrv.aye avp.exe Rstray.exe KSafeTray.exe 백신이름 V3 Lite 알약카스퍼스키 Rising Antivirus Kingsoft System Defender 공통점 분석방해를위해 디코딩방식사용악성코드는정보유출지서버 레지스트리경로 백신명 함수명등주요문자열을전부 로인코딩하였다 해커는악성코드가문자열로인해쉽게분석되는것을피하기위해문자열을전부 로인코딩하였다 문자열은사용되기직전 디코딩함수를거친후사용되었다 Base64 방식 : 8비트이진데이터를문자코드에영향을받지않는공통 ASCII 영역의문자들로만이루어진일련의문자열로바꾸는인코딩방식

< 인코딩된문자열 > 공통점 악성코드추가다운로드해커는다양한용도로감염 를활용하기위해 계열원격제어및 공격악성코드를유포하고있는것으로나타났다 원격제어기능으로는키보드및마우스제어 화면제어 파일다운로드등이있으며 기능으로는 등이있다 테스트결과 실제악성코드가 관리프로그램에접속되어제어가능하였다 < 악성코드내 GET Flooding 모듈 > < Gh0st Rat 3.75 프로그램에접속한악성코드 >

해커가이용한서버및취약점분석결과 년 월부터해커가이용한서버를분석한결과 악성코드는피싱아이피를전달받기위해대부분 에서정보를수집하였다 국가별로는피싱아이피정보수집및정보유출을위해미국에존재하는서버를애용하였다 또한호스트파일에기재되는피싱아이피는주로일본서버를애용하였으나해당서버가해킹되어이용되었을가능성도존재한다 순번 서버 국가 순번 서버 국가 1 xxx.xx.xxx.xxx 태국 28 xx.xxx.xxx.xx:xxx/plus.php 미국 2 xxx.xx.xxx.xxx 태국 29 xx.xxx.xxx.xx:xx/plus.php 미국 3 xxx.xx.xxx.xxx 태국 30 xx.xxx.xxx.xx:xxx/plus.php 미국 4 xxx.xx.xxx.xxx 태국 31 xx.xxxxxxxx.com - 5 xxx.xx.xxx.xxx:xxxx - 32 xx.xxxxxxxxxx.com 홍콩 6 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 33 xxx.xxxxxx.com - 7 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 34 xxxxx.com/plus.php 일본 8 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 35 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 9 xxx.xxx.xxx.xxx 미국 36 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 10 xx.xxx.xx.xxx 일본 37 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 11 xx.xxx.xx.xxx 일본 38 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 12 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 39 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 13 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 40 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그 14 xx.xxx.xxx.xxx 미국 41 xx.xxxxx.com - 15 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 42 xx.xxxxx.com/shit.php - 16 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 43 xx.xxxxx.com 미국 17 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 44 xx.xxxxx.com - 18 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 45 xx.xxxxxx.com - 19 xxx.xxx.xxx.xx/plus.php 미국 46 xx.xxxxxx.com:xxxx/plus.php - 20 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 47 www.xxxxx.com:xxxx/plus.php - 21 xx.xxx.xxx.xxx 일본 48 xxx.xxx.xx.xx 일본 22 xxx.xxx.xx.xx 일본 49 xxx.xxx.xxx.xx 일본 23 xxx.xx.xxx.xx 일본 50 xxx.xx.xx.xx 홍콩 24 xx.xxx.xx.xxx 일본 51 xxx.xxx.xx.xxx - 25 xxx.xxx.xxx.xx 미국 52 xx.xxxxx.com - 26 xxx.xxx.xxx.xx 미국 53 user.qzone.qq.com/xxxxxxxxx 중국블로그 27 xxx.xxx.xxx.xx 미국 54 xxx.xxx.xxx.xx 미국 해커는약 가지취약점등을이용하여악성코드를유포하는것으로 확인되었다 또한악성코드감염률을높이기위해대중적으로사용되는 브라우저 자바취약점등을이용하였다 순번 CVE 번호 설명 1 CVE-2011-3544 Oracle Java SE Rhino Script Engine 입력값검증오류취약점 2 CVE-2012-0507 Oracle Java Sandbox 우회원격코드실행취약점 3 CVE-2012-0634 Apple itunes, Safari에서사용되는 Webkit 메모리손상취약점 4 CVE-2012-1723 Oracle Java SE 원격코드실행취약점 5 CVE-2012-1889 Microsoft XML Core Services의초기화되지않은메모리개체접근으로인한원격코드실행취약점 6 CVE-2012-3544 Apache Tomcat 서비스거부취약점 7 CVE-2012-4681 Oracle Java Sandbox 우회원격코드실행취약점 8 CVE-2012-5076 Oracle Java Security Manager 우회원격코드실행취약점 9 CVE-2013-0422 Oracle Java Runtime Environment 원격코드실행취약점 10 CVE-2013-0634 Adobe Flash Player 메모리손상취약점 11 CVE-2013-2465 Oralce Java SE 메모리손상취약점 12 CVE-2013-3897 Internet Explorer 메모리손상취약점

피싱사이트에서 코드를통해악성앱유포악성코드에감염되면호스트파일변조방식으로금융사이트뿐만아니라사용자가다수인사이트 유명포털사이트등 도피싱사이트로연결한다 사용자가웹검색등을위해유명포털사이트등에접속하면해커가구성한가짜페이지가보여주고이때보안관련인증절차를요구한다 인증을위해해커의은행피싱사이트에로그인하면아이디및패스워드가암호화되지않은채정보유출지로전송된다 < 로그인유도페이지 > < 평문그대로값전달 > 이후악성코드는 채널본인인증을위해큐싱기법으로악성앱설치를유도한다 해커는 코드를인식하는앱이설치되지않은상황을대비해 의추가설치를권유하였다 코드를사진처럼찍으면악성앱다운로드용 로연결되어설치가시작되었다 < 2 차채널보안인증을위해악성앱설치유도 > < QR Droid 설치권유 >

스마트폰악성앱분석결과 큐싱 을통해다운로드되는악성앱의특징 해커는악성코드와악성앱을함께배포하여복합적으로사용자를 공격하였다 해커는악성앱유포경로로 코드를선택하였는데 이는제작자추적이어렵고앱다운로드를위해연결되는 의악성 여부확인이어렵기때문으로보인다 코드를통해설치된악성 앱은스마트폰기기에능숙하지못한사용자가앱삭제를쉽게못하도록 기기관리자로자기자신을등록한다 악성앱을실행하면서버점검중 이라는허위메시지를보여주어사용자를속인다 1 악성앱설치유도 2 관리자권한으로등록 3 서버점검중이라는허위메시지 이후악성앱은사용자스마트폰정보 전화번호부 메시지를유출하고 서버에 분간격으로접속하여명령을기다린다 악성앱은서버에서전송한명령에따라문자수신방해 착신전환서비스설정시도등을수행한다 < SMS 메시지유출코드일부 >

< 서버에명령을요청하고수신한명령을수행하는코드일부 > 하지만해당악성앱은사용하는착신전환설정방식이우리나라이동통신사업자의방식과는다르기때문에외국 중국 유럽등 에서제작된앱으로추정된다 외국의경우는착신전환코드가 연결희망번호 으로설정이가능하지만우리나라는우선이동통신사의홈페이지나오프라인대리점등에서착신전환유료부가서비스를가입해야하고 설정코드도 연결희망번호 로다르다 따라서해당앱을통해실제로착신전환이설정되지는않지만이부분이우리나라이동통신환경에맞게개발된다면은행의자금이체시추가보안방법인 인증을우회하여금융사기에악용될수도있을것으로보인다 < 착신전환설정 / 해지코드일부 > < 착신전환부가서비스가입방법 > ( 14.04.11) SKT KT LG UPlus 홈페이지, 114 고객센터, 고객센터앱오프라인매장홈페이지, 고객센터앱 악성코드감염예방방법및대처 한국인터넷진흥원은매일취약한사이트에서악성코드유포현황을 모니터링하고있으며악성코드분석을통해악성코드유포지 정보수집

서버등을조치 차단하고있다 뿐만아니라파급력이높은악성코드는백신사에샘플을공유하고백신개발을요청하여이용자피해최소화를위해노력하고있다 또한최근에는금융사별악성코드대응을위해추가보안인증방법등을도입하고있다 그러나해커는끊임없이취약한사이트를찾아악성코드를유포하고있으며변경된인터넷뱅킹절차에따라진화된악성코드를유포하고있다 따라서취약한사이트에접속하더라도악성코드에감염되지않도록사용자는 와스마트폰의백신을최신버전으로업데이트하고주기적으로검사해야한다 또한평소정품소프트웨어를사용하고의심스러운사이트방문과 등악성코드유포지로악용될수있는서비스이용을자제해야한다 공인인증서는가급적외부저장소에저장하는것이좋으며스마트폰에알수없는출처의앱을다운받을때는주의해야한다 악성코드에감염이의심되면일단백신으로검사한후 센터등에신고하는것이필요하다