SlideShare ist ein Scribd-Unternehmen logo

브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w

R
re4lfl0w

브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w

Software
1 von 30
Downloaden Sie, um offline zu lesen
Bitscan 금융정보탈취 1 금융 정보 탈취 목차 1. 범위 2. 사용자 입장에서 본 악성코드 역할 3. 악성코드 역할(공인인증서 탈취) 4. 공인인증서 재발급 5. 최종 악성 파일 보안 프로그램 유사 6. 파밍 사이트 변경 내역(2월 3주차) 7. 파밍 사이트 변경 내역(2월 4주차) 8. 파밍 사이트 변경 내역(3월 1주차) 9. 파밍 사이트 변경 내역(3월 2주차) 10. 파밍 사이트 변경 내역(3월 3주차) 11. 파밍 사이트 변경 내역(3월 4주차) - MBR 파괴 기능 추가 12. 결론 범위 빛스캔에서는 지난 2012년 5~6월부터 지속적으로 금융정보 탈취 악성코드가 유포된다고 알려 왔습니다. 올해 1월말부터 발생한, 대규모 유포된 금융 정보 탈취 악성코드의 추이에 대해 각 주차별로 정리하여 제공합니다. 1월 중순부터 집중 분석된 악성코드는 기존과 다르게 보안서비스를 팝업으로 띄우지 않으며 ID/PW 로그인시 보안카드정보 및 사용자명, 주민등록번호 등을 수집합니다. 특징으로는 기존 호스트파일 변조하는 방식에서 Internet Explorer에서 은행사이트로 접근 시 원래 은행사이트와 동일하게 제작된 피싱 사이트로 리다이렉트하여 금융정보를 탈취합니다. 결론적으로 Host 파일 변조를 통한 공격기법에서 변화하는 양상을 보이고 있습니다. 사용자 PC의 모든 권한을 가진 상태이기에 그 어떤 일도 할 수 있는 상태라서 가능한 부분이 되겠습니다. 또한 악성코드들 대부분이 추가 다운로드 기능을 가지고 있는 상태이며, 외부로 업데이트를 확인 하는 행동들이 감지 되고 있습니다. 만약 악성코드에 감염된다면 추가 업데이트를 통해 DDoS나 원격화면정보 등을 수집하는 봇 에이전트를 추가 설치하는 등 2차 침해사고도 예상됩니다.
Bitscan 금융정보탈취 2 <금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나> 국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 3가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 매우 심각한 상황입니다. 이 MalwareNet만 해도 총 20여군데에 영향을 미치고 있습니다. 사용자 입장에서 본 악성코드 역할
Bitscan 금융정보탈취 3 <국민은행 피싱 사이트> 검색 사이트에서 정상적으로 검색을 하고 접속을 하여도 피싱 사이트로 리다이렉트 되는 것을 확인할 수 있습니다. 주소창을 보아도 정상적인 국민은행 사이트 주소(www.kbstar.com) 입니다. 사용자들이 피싱 사이트인지 정상 사이트인지 구분하기가 매우 어렵습니다. 구분하는 방법은 정상 사이트들은 보안카드 비밀번호 전부를 요구하지는 않는다는 정도이며 이를 잘 모르는 사람들은 피싱에 그대로 노출될 수 밖에 없는 상황입니다. 권한을 가지고 자유자재로 통제되는 좀비 PC는 이미 소유권은 다른 곳에 있을 뿐입니다.
Bitscan 금융정보탈취 4 <최소 8자리 비밀번호인데 6자리 입력만으로도 통과> 금융권 최소 비밀번호가 8자리인데도 불구하고 6자리 만으로도 통과가 되며 인증서가 없는데도 불구하고 다음 창으로 넘어가게 됩니다. 만약 인증서가 있다면 해당 인증서가 나타난 이후 입력되는 인증서 비밀번호가 그대로 공격자에게 전달 될 수 밖에 없도록 구성 되어 있습니다.
Bitscan 금융정보탈취 5 <전자금융사기 예방서비스라고 사용자들을 속임, 오타 포함> 고객님의 계좌가 위험한 지역에서 로그인 기록이 등록 되여 있습니다. 계좌의 안전을 위하여 지금 바로 금융사기예방 서비스 신청이 필요합니다. ‘되여’ 부분이 오타입니다.
Bitscan 금융정보탈취 6 <이름, 주민등록번호 수집> 방문자의 이름과 주민등록번호를 수집하고 있습니다. <국민은행 각종 금융 정보 수집> 사용자 ID, 출금계좌번호, 출금계좌비밀번호, 핸드폰번호, 보안매체 비밀번호 입력까지 모든 정보들을 입력할 것을 요구하고 있습니다. 분명 정상적인 절차는 아니지만 이에 대해서 잘 모르는 분들은 모두 입력할 수 밖에 없는 현실입니다.
Bitscan 금융정보탈취 7 <입력폼에 정보들이 입력될 때마다 금융 정보 유출> 공격자는 입력폼에 정보들이 입력될 때마다 금융 정보를 유출하고 있습니다. 이는 중간에 사용자가 정상적이지 않다는 인식을 할 수도 있고 중간에 브라우저들이 오류가 발생하여 금융정보를 탈취할 수 없는 상황을 예방하기 위하여 입력폼에 문자가 입력될 때마다 입력폼 정보인 금융정보를 유출하는 것을 확인할 수 있습니다.
Bitscan 금융정보탈취 8 <최종적으로 모든 입력폼에 있는 정보 다시 한 번 전송> 최종적으로 모든 입력폼에 들어 있는 금융 정보들을 다시 한 번 전송하는 치밀함을 보여주고 있습니다. <두 시간 안에 금융정보를 탈취 할 목적으로 사용자들을 안심 시킴> 금융 예방 서비스 신청을 완료했다는 메시지로 사용자들을 안심시키며 2시간 후에 접속하라는 메시지를 보여줍니다. 이는 실질적으로 유출한 정보들을 사용하여 계좌이체를 할 수 있는 시간을 벌기 위한 수단입니다. 악성코드 역할(공인인증서 탈취) 또한 2월 2주차에는 최근 언론에서 주목하고 있는 FTP 서버로 공인인증서를 탈취하는 악성코드의 변종이 추가로 발견 되었습니다. 해당 악성 코드는 기존에 발견되었던 샘플과 마찬가지로 dll 파일을 웹 브라우저에 BHO로 등록하고, 사용자가 특정 금융 사이트에 접속했을 때 조작된 화면을 이용하여 보안 카드 비밀번호를 탈취합니다. 또한 사용자의 하드디스크 드라이브를 검색하여 공인인증서의 존재 여부를 확인하고, 만약 존재한다면 FTP 서버로 파일을 유출 합니다.
Bitscan 금융정보탈취 9 <공격자들의 FTP에 올려진 탈취된 공인인증서 목록1> <공격자들의 FTP에 올려진 탈취된 공인인증서 목록2> <탈취된 공인인증서 일부>
Bitscan 금융정보탈취 10 공인인증서 대규모 탈취된 목록입니다. 탈취된 공인인증서로 본인도 모르는 사이에 계좌이체가 되는 직접적인 피해 사례가 발생하고 있습니다. 실제 탈취된 공인인증서를 열어 보았더니 실제 공인인증서와 동일합니다. 실명이 적혀져 있으며 유효 기간까지 있는 것을 확인할 수 있습니다. <금융 정보 탈취 악성코드 VirusTotal 결과. 전세계 최초 업로드> 취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 40 여종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된 바 없는 악성코드가 사용자 PC에 설치 되는 상황입니다. 사용자들이 할 수 있는 대책이 과연 무엇이 있겠습니까? 공인인증서 재발급 <공인인증서 재발급 요건>
Bitscan 금융정보탈취 11 공격자들은 공인인증서를 재발급 받기 위한 금융 정보들을 수집하는 것을 확인할 수 있습니다. 유출된 금융 정보들은 사회공학적 기법으로 이용될 가능성이 높습니다. 최종 악성 파일 보안 프로그램 유사 <veraport 보안 프로그램 유사> 사용자를 속이기 위해 Veraport 보안 프로그램과 유사한 이름으로 악성코드가 제작된 것을 확인할 수 있습니다. 참고로, VeraPort는 인터넷 뱅킹 등의 서비스를 이용하기 위해 설치해야 하는 Active-X 플러그인을 손쉽게 설치할 수 있도록 도와주는 프로그램으로 꽤 많은 금융 사이트에 적용되어 있습니다. 파밍 사이트 변경 내역(2월 3주차) <공격자들이 파밍을 역이용한 메시지 팝업창1> <공격자들이 파밍을 역이용한 메시지 팝업창2> 공격자들의 메시지가 더욱 정교해 지고 있습니다. 이는 공격자들이 국내 언론을 모두 모니터링 하고 있다는 뜻입니다.
Bitscan 금융정보탈취 12 <단 2일 사이에 최종 다운로드 받는 악성코드 10여 차례 변경> 본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하고 있습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야만 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다. <파밍에 사용되는 악성코드를 올려놓은 사이트> PC에 윈도우 보안패치, JAVA와 같은 애플리케이션 패치가 완벽하지 않은 상태에서 악성링크가 삽입되어 있는 웹 사이트들을 방문하면 악성코드에 감염이 되어 좀비 PC가 됩니다. 좀비 PC는 위의 사이트에서 추가 다운로드를 합니다. 추가 다운로드 되는 악성코드는 공격자의 공격 의도에 따라 언제든지 변경할 수 있습니다. 즉, 파밍으로 쓰일 수도 있고, DDoS로도 곧바로 응용이 가능한 상태입니다.
Bitscan 금융정보탈취 13 <파밍 사이트 리스트1> <파밍 사이트 리스트2>
Bitscan 금융정보탈취 14 현재 파밍 관련된 기사가 국내 언론의 1면을 차지하고 있는데도 공격을 멈추지 않고 파밍 사이트를 지속적으로 변경하고 있습니다. 파밍 사이트 주소만 막는다고 하여 현재 문제가 해결되는 것이 아닙니다. 공격자들은 파밍 사이트 주소가 막힐 것을 우려하여 처음 다운로드 받는 악성코드에는 파밍 사이트 주소를 넣지 않고 추가 다운로드 형식으로 받아오며 파밍 사이트 주소를 지속적으로 변경하고 있습니다. 파밍 악성코드가 유포되는 근본적인 문제가 무엇인지 파헤쳐 보아야 합니다. 파밍 사이트 변경 내역(2월 4주차) 2월 4주차에도 역시 파밍 관련 악성코드가 대규모로 유포 되었습니다. <파밍 악성코드 유포 도메인> 국내 유명 사이트를 통한 파밍 악성코드가 유포 되었습니다. 삼성 SDI 분사 기업이며 가격비교 사이트인 마이마진, 국내 유명 패스트푸드 업체인 미스터 피자, 팝티비 등에서 파밍 관련 악성코드를 유포하였습니다. 특히 미스터 피자1 같은 경우에는 지속적으로 언론에 알렸음에도 불구하고 여전히 악성코드를 유포하고 있습니다. 1 피자 할인 받으려다 악성코드 감염된다고? 미스터피자·뉴스토마토 홈피, 악성링크 유포지로 악용! 피자에서·대학까지 악성코드 무차별 확산
Bitscan 금융정보탈취 15 <악성코드에 감염된 후 추가 다운로드 되는 목록> 파밍 악성코드에 추가적으로 DDoS 공격이 가능한 봇 에이전트를 다운로드받아 대기하고 있습니다. 공격자의 의도에 따라 그 대상이 달라지며, DDoS 명령이 떨어지게 된다면 국내 기관 및 기관이 대상이 될 수 있습니다. <v.exe 파밍 악성코드를 주기적으로 다운로드 받아 파밍 사이트 주소를 변경> 감염된 PC는 주기적으로 v.exe 라는 악성코드를 추가 다운로드 받습니다. 국내 대응으로 파밍 사이트 주소가 막힐 것을 우려하여 지속적으로 파밍 사이트 주소를 변경하는 상황입니다. 사이버공격 날개를 달아주는 현재의 SNS 마케팅!
Bitscan 금융정보탈취 16 <파밍 악성코드에 감염된 수치> v.exe는 악성코드에 감염이 된 후 추가적으로 다운로드 받는 파밍 악성코드입니다. 즉, v.exe를 다운로드 받는 상황은 백신 등에 의해서 악성코드가 삭제된 경우를 제외하고 실질적으로 파밍 악성코드에 감염이 된 경우입니다. 67.198.xxx.xxx:xxx(1번째 서버) 2월 22일 16시경 1번째 최종 악성코드 올려놓음 2월 23일 15시경 2번째 최종 악성코드 변경 2월 23일 22시경 파밍 악성코드 감염 수치, 12882명 2월 23일 23시경 서버 닫힘 현재 공격자가 HttpFileServer를 사용하여 감염된 경우만 통계를 낸 상황인데도 불구하고 1만 3천 여대의 컴퓨터가 파밍 악성코드에 감염이 되었습니다. 파악되지 않은 다른 공격 경로와 공격방법까지 추정한다면 파밍 악성코드에 감염된 컴퓨터 수치는 훨씬 많을 것으로 예상 됩니다. 파밍 사이트 변경 내역(3월 1주차)
Bitscan 금융정보탈취 17 <주민등록번호 오류 검사 기능 추가> 기존에는 주민등록번호 입력시 오류가 있어도 무시하고 넘어갔었지만, 이번 주에 이르러서는 주민등록번호의 오류 여부를 검사하는 기능까지 추가되었습니다. 이를 통해 좀더 정확한 정보를 얻어 낼 수 있고, 오히려 사용자는 이러한 부분을 봄으로써 감염되었다는 사실을 모르게 할 가능성도 있습니다. 파밍 사이트 변경 내역(3월 2주차) <BHO를 통한 파밍 사이트 연결>
Bitscan 금융정보탈취 18 파밍은 호스트 파일 변조가 주를 이루었으나 파밍캅이나 각종 백신 등에서 호스트 파일 변조하는 악성코드를 잡아내자 공격자들은 호스트 파일 변조를 하지 않습니다. IE에 기본으로 등록되는 BHO (Browser Helper Object)를 이용하여 은행 사이트 주소가 입력될 때마다 공격자가 지정한 파밍 사이트로 연결되도록 하고 있습니다. 이에 따라 호스트 파일 변조를 감시하는 파밍캅이나 백신 등에서 잡아내기 어려워 졌습니다. 파밍 사이트 변경 내역(3월 3주차) <금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나> 국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 5가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 매우 심각한 상황입니다. 이 MalwareNet만 해도 총 10여군데에 영향을 미치고 있습니다. 온라인 종합 경제 미디어 업체인 뉴스핌, 앱스토어 어플리케이션 커뮤니티인 앱스토리, 부동산 포털로 유명한 닥터아파트 등에서 파밍 악성코드를 대규모 유포하였기에 방문자들의 주의가 필요합니다.
Bitscan 금융정보탈취 19 <파밍캅을 우회하기 위한 공격자들의 전략> 3월 2주차에서 언급하였듯이 공격자들은 호스트 파일을 변조하지 않기 때문에 호스트 파일 변조를 탐지하는 파밍캅이나 다른 백신들에게 탐지되지 않습니다. 파밍캅 제작자 또한 파밍 악성코드가 현재 호스트 파일 변조하는 것을 뛰어넘을 수도 있기 때문에 모든 파밍 공격을 막는다고는 할 수 없다고 합니다. 파밍 사이트 변경 내역(3월 4주차) Intro “3.20 전산망 마비 사태 이후 보안점검을 강화합니다. 고객님의 개인정보를 다시 확인합니다.” 24일 인터넷뱅킹 사이트에 접속했을 당시 떴던 공지사항이었습니다. 순서에 따라 신상정보와 계좌번호, 공인인증서, 비밀번호 등을 입력합니다. 하지만 이로부터 5분 뒤 컴퓨터가 강제로 꺼진 뒤 재부팅이 되지 않았습니다. 순식간에 먹통 PC가 되어 버렸습니다. 2013년 3월 23일 23시 29분경 웹 사이트에 삽입되어 있는 비정상 링크를 사전탐지체계(PCDS, Pre-Crime Detect Satellite)에 의해 탐지 되었습니다. 1) 비정상링크: 103.14.114.47/naver/naver01.html 2) 최종다운로드 링크: www.krgame01.com/naver01.exe 3) 추가다운로드 링크 및 통계링크: lo1.opop189.com
Bitscan 금융정보탈취 20 4) 악성파일명: naver01.html, Server.exe, 64.exe 1. 웹사이트 방문시 Drive-by-download로 악성코드에 감염 baxx-xxxx/files/xxxxx/xxx.html 해당 웹 사이트에 방문만 해도 Drive-by-download에 의해서 자동으로 악성링크인 103.14.xxx.xx/naver/naver01.html에 접속하여 자바 6종, MS 1종, Flash 1종 취약점중 하나라도 취약한 것이 있다면 1차 감염(연결 통로) 됩니다. <악성링크에 삽입 되어 공격코드가 난독화된 악성코드 – 실행파일 naver01.exe 가 내려온다> <악성링크의 구조도 - 연결통로> 해당 악성링크에서 사용하는 취약점은 총 8가지 CVE(3544-0507-1723-4681-5076-1889-0442-0634)가 사용되었습니다. Java 6종, MS 1종, Flash 1종이 사용되었으며 이중 하나라도 취약하다면 악성코드에 감염됩니다. 2. 감염된 PC lo1.opop189.com로 접속하여 추가 다운로드
Bitscan 금융정보탈취 21 <감염된 PC가 추가 다운로드하기 위해 접속하는 서버> 악성코드에 감염된 PC는lo1.opop189.com로 접속하여 server.exe를 추가 다운로드 받습니다. 추가 다운로드를 받는 것은 초기에 다운로더 기능만이 있는 악성코드를 내려 보내어 백신을 회피하기 위한 것이며 쉽게 다른 기능의 악성코드로 변경하기 위한 목적입니다. 1. server.exe File Name server.exe File Size 81.9 kb MD5 2142526e81fd46409fccecc31721b669 Download Time 201303241630 2. 64.exe File Name 64.exe File Size 27.1 kb MD5 524a0156c1aea38f17c25d1cc7ab2a8e Download Time 201303241630 3. 64.exe File Name naver01.exe File Size 117.1 kb
Bitscan 금융정보탈취 22 MD5 04c15573b776eab363529c7c9ea9ecb8 Download Time 201303241630 3. 감염된 PC가 C&C 서버로 지속적 접속 <n01.hades08.com 로 지속적 접속> 감염된 PC는 C&C서버인 n01.hades08.com로 접속합니다. 포트번호는 2012 입니다. 지속적으로 접속 시도를 하며 개인 사용자 정보도 함께 유출됩니다. - C:WINDOWS[랜덤 8자리]svchsot.exe 생성 - 64.exe 다운로드 <레즈스트리에 등록된 날짜>
Bitscan 금융정보탈취 23 <스케쥴러에 등록된 스케쥴> svchost.exe 는 스케줄러에 24개 예약작업을 등록하여 1시간마다 실행하게 합니다. 매주 월, 화, 수, 목, 금, 토, 일요일이 등록되어 있기 때문에 매 시각 정시에 예약된 작업이 실행됩니다. 4. 파밍 사이트 접속 <파밍 사이트 접속시 메시지 진화> 파밍 사이트 접속하여 이름과 주민등록번호를 입력하면, ‘전산망 마비사태로 인한 고객정보유실여부를 확인하기 위하여 보안인증 절차를 실행하고 있습니다. 보다 안전한 금융거래를 위해 금융예방 서비스를 신청 후 이용해 주시기 바랍니다.’ 라는 메시지를 보여 줍니다. 국내 상황을 정확히 파악하여 메시지를 교묘하게 제작하고 있다는 의미로 볼 수 있습니다.
Bitscan 금융정보탈취 24 <금융 정보 입력할 때마다 유출> 금융 정보 입력할 때마다 지속적으로 금융정보가 유출됩니다. 사용자들이 늦게나마 파밍이라 알아채더라도 이전까지 입력한 금융 정보를 탈취하기 위한 목적으로 보입니다. 5. 지속적으로 사용자 정보 유출
Bitscan 금융정보탈취 25 <사용자 정보 유출 현황> 파밍 사이트에 접속하여 금융 정보 유출하고 있는 도중에 지속적으로 사용자 정보가 유출되는 것을 확인할 수 있습니다. 다만, 주고받는 정보는 암호화된 것으로 추정되어 파악하기 어렵습니다. 6. 시스템 부팅 파일 삭제 파밍 사이트에서 금융 정보가 모두 유출되고 난 후 스케줄러에 예약된 작업이 1시간마다 실행되어 시스템을 파괴합니다. <부팅 관련 파일들 삭제> MSDOS.SYS, IO.SYS, CONFIG.SYS, boot.ini 등을 삭제하며 5분 후에 강제 재부팅이 됩니다. <1차 테스트시 정상적 부팅 불가>
Bitscan 금융정보탈취 26 <2차 테스트시 정상적 부팅 불가> 재부팅 후에는 부팅할 수 없다는 오류 메시지를 보여주며 정상적으로 부팅할 수 없습니다. 시사점 이번에 발견된 변종 악성코드가 MBR(부팅영역) 파괴 기능 등 악성코드 3.20 사이버테러 때와 같은 악성코드 제작기법이 사용되었으며 동일한 C&C 서버를 사용하였기 때문에 동일 공격 조직으로 추정합니다. 형태는 바뀌었지만 3.20 사이버테러의 주범들의 공격이 현재 진행중이라는 해석도 가능합니다. 3.20 사이버테러 같은 경우에는 특정 시간인 오후 2시에 모두 시스템 파괴 명령을 수행하였습니다. 하지만 이번 2차 사이버테러는 일반인들을 대상으로 한 공격으로 특정 조건(파밍)이 성공하면 C&C 서버의 명령을 받아 MBR(부팅영역) 파괴 기능을 수행합니다. 현재 이 같은 악성코드는 주로 보안이 취약한 웹사이트를 해킹한 뒤 해당 홈페이지 방문자들을 상대로 무작위적으로 유포되고 있습니다. 특정 대상을 가리지 않는다는 얘기이며 그 누구나 대상이 될 수 있다는 점에서 굉장히 위험합니다. 현재는 특정 조건(파밍)이 일치하여야 MBR(부팅영역)을 파괴하지만 공격자가 특정 조건을 지정하지 않는다면 악성코드에 감염된 PC는 그대로 MBR(부팅영역)이 파괴되어 부팅이 되지 않을 것입니다. 파밍 사이트 변경 내역(4월 1주차) 경남지방경찰청에서는 파밍으로 인한 피해를 줄이기 위해 ‘파밍캅’이라는 소프트웨어를 개발하여 제공하고 있으며 최근 2.0 버전까지 갱신되었습니다. [관련 링크: http://www.gnpolice.go.kr/gn_pr/sub02.asp?idx=4187] 파밍캅은 hosts 파일에 입력되는 주소들 가운데 국내 은행 IP를 모두 확인하여 변조된 경우 이를 알리고 되돌리는 요긴한 기능을 제공합니다. 하지만, BHO을 변조하는 방법을 통한 파밍은 예방할 수 없는 한계를 가지고 있습니다.
Bitscan 금융정보탈취 27 지난 4월초에 hosts.ics 파일을 변조하는 새로운 형태의 파밍 기술이 발견 되었습니다. hosts.ics 파일은 일반적으로 사용하지 않는 파일로 인터넷 연결 공유(ICS, Internet Connection Sharing)시에 특정한 클라이언트의 IP를 강제로 지정하는 기능을 합니다. [관련 정보: http://support.microsoft.com/kb/309642/ko] 더욱 재미있는 점은 이름 풀이 과정에서 각 자원들의 우선순위가 있다는 점입니다. 공격자가 이러한 특징을 안다는 점에서 나름 뛰어난 네트워크 기술을 가진 것으로 추정됩니다. 참고로, hosts.ics는 hosts 파일 다음의 우선순위를 가지며 DNS보다 높습니다. 1) Local DNS Cache: ipconfig /displaydns로 확인 가능 2) hosts 파일 3) hosts.ics 파일 4) DNS 5) WINS [관련 정보: http://www.dslreports.com/forum/remark,15902538]
Bitscan 금융정보탈취 28 <hosts.ics 파일에 파밍으로 이용되는 IP 주소를 추가> 국내에서 유포된 파밍 악성파일 중에 hosts.ics 파일을 활용하여 감염된 경우 파밍이 이뤄지는 상태를 보여주고 있습니다. 앞에서도 언급했지만, 파밍캅의 경우 다음의 2가지 한계를 가지고 있는 것으로 예상됩니다.
Bitscan 금융정보탈취 29 <hosts 파일에도 백신회사 IP 추가> 1) hosts 파일 내에 은행 관련 IP 주소만 저장하고 있으며, 백신사의 접근 및 업데이트를 방해하는 IP 주소 입력시 진단하지 못하는 한계를 가집니다. 하지만, 이 또한 추가할 데이터의 범위를 정하는 것 자체도 어렵기 때문에 공격 유형에 따라 대응해야 합니다. 2) hosts.ics 파일에서 발생하는 변조 기법을 인식하지 못하므로, 최신 파밍 기법에 대응하기 어렵습니다. 결론 사용자 동의없는 피싱 사이트가 어떻게 해서 활개를 치는지 근본적인 부분을 심도있게 고민해 보아야 할 때입니다. 현재 상황에서 피싱과 파밍을 이용한 정보탈취 사이트가 활개를 치는 것은 악성코드가 대규모로 유포되기 때문입니다. 악성코드를 대규모로 유포하는데 가장 효과적인 것은 웹사이트를 해킹한 후에 악성링크를 추가하여, 모든 방문자들을 대상으로 감염을 시키는 것이 가장 효과적인 방법이라는 것을 공격자들도 알고 있기 때문입니다. 지금까지 공인인증서 발급기관인 한국전자인증 악성코드 유포건을 비롯하여 금융권인 흥국증권에서 악성코드를 유포한 사건들은 보안이 상대적으로 잘되어 있는 국내 금융권조차 전체적인 웹서비스의 상시적인 관리와 유지 측면에서 문제가 있다는 것을 반증하는 사례가 될 것입니다. 금융권이 이러할진대 일반 기업들의 서비스는 말할 필요도 없는 상태일 것입니다. 웹 사이트는 수시로 수정할 수 밖에 없는 구조인데도 불구하고 웹 보안 검사는 1년에 1~2번 밖에 할 수 없는 게 현실입니다. 또한 모든 사이트들을 대상으로 할 수 없기에 대표적인 사이트만 할 수 밖에 없는 상황입니다. 상시적으로 웹 해킹에 사용되는 인자값 검사가 가능해야 악성코드가 대규모로 유포되는 근본적인 원인을 제거할 수 있을 것입니다. 파밍을 해결하기 위해 프로그램, 장비, 기타 보안 기술 등 다양하게 선보이고 있습니다만, 원천적인 문제를 해결하지 않는 한 미봉책에 불과할 것입니다.
Bitscan 금융정보탈취 30 감사합니다.

Empfohlen

전자금융보안론 방글라데시 SWIFT 해킹사례
전자금융보안론 방글라데시 SWIFT 해킹사례전자금융보안론 방글라데시 SWIFT 해킹사례
전자금융보안론 방글라데시 SWIFT 해킹사례Jisoo Park
 
20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례
20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례
20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례Jisoo Park
 
2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판
2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판
2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판Minseok(Jacky) Cha
 
2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판
2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판
2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판Minseok(Jacky) Cha
 
Bitscan appliance
Bitscan applianceBitscan appliance
Bitscan applianceBitscan
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토plainbit
 
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)Bitscan
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 

Empfohlen

전자금융보안론 방글라데시 SWIFT 해킹사례
전자금융보안론 방글라데시 SWIFT 해킹사례전자금융보안론 방글라데시 SWIFT 해킹사례
전자금융보안론 방글라데시 SWIFT 해킹사례Jisoo Park
 
20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례
20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례
20160519 전자금융보안론 금융사고사례 조사 방글라데시 은행 SWIFT 해킹사례Jisoo Park
 
2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판
2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판
2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판Minseok(Jacky) Cha
 
2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판
2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판
2016년 4분기 주요 정보보안 소식 20170101 차민석_공개판Minseok(Jacky) Cha
 
Bitscan appliance
Bitscan applianceBitscan appliance
Bitscan applianceBitscan
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토plainbit
 
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)
악성링크 분석 보고서(코리아닷컴) 빛스캔 (공개용)Bitscan
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)여성환경연대
 
5조브루노무나리
5조브루노무나리5조브루노무나리
5조브루노무나리rincho
 
Social Design Thesis Proposal
Social Design Thesis ProposalSocial Design Thesis Proposal
Social Design Thesis ProposalSharon Kong
 
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5E-Gazarchin Online University
 
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2Н. Батмагнай
 
두부는 반드시 먹어야 하는가_순창 두부워크샵
두부는 반드시 먹어야 하는가_순창 두부워크샵두부는 반드시 먹어야 하는가_순창 두부워크샵
두부는 반드시 먹어야 하는가_순창 두부워크샵Nongchon(http://blog.naver.com/jazzjb)
 
Scamper
ScamperScamper
Scamper서용 이
 
Mt3500as Menual
Mt3500as MenualMt3500as Menual
Mt3500as Menualguest45ae29
 
3 Keys To Ace Your Next Design Competition
3 Keys To Ace Your Next Design Competition3 Keys To Ace Your Next Design Competition
3 Keys To Ace Your Next Design CompetitionJoseph Louis Tan
 
4.1.4엄윤정
4.1.4엄윤정4.1.4엄윤정
4.1.4엄윤정yunjeong Eom
 
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)(주)인키움넷
 
OWASP TOP 10 - 2013 (정다운)
OWASP TOP 10 - 2013 (정다운)OWASP TOP 10 - 2013 (정다운)
OWASP TOP 10 - 2013 (정다운)다운 정
 
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min... RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...RiverFirst Initiative
 
[SIP 2015] Design Proposal: Design and animated prototype
[SIP 2015] Design Proposal: Design and animated prototype[SIP 2015] Design Proposal: Design and animated prototype
[SIP 2015] Design Proposal: Design and animated prototypeSilicon Straits
 
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1E-Gazarchin Online University
 
2010.11%29러시아 개황%28용량 다운%29
2010.11%29러시아 개황%28용량 다운%292010.11%29러시아 개황%28용량 다운%29
2010.11%29러시아 개황%28용량 다운%29drtravel
 
테스트 냄새
테스트 냄새테스트 냄새
테스트 냄새SukYun Yoon
 
Untitled 2
Untitled 2Untitled 2
Untitled 2yujinj
 
북일고 화학실험 아스피린
북일고 화학실험 아스피린북일고 화학실험 아스피린
북일고 화학실험 아스피린태훈 정
 
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서Moon Heo
 
(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가INSIGHT FORENSIC
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015 Chanjin Park
 

Weitere ähnliche Inhalte

Andere mochten auch

[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)여성환경연대
 
5조브루노무나리
5조브루노무나리5조브루노무나리
5조브루노무나리rincho
 
Social Design Thesis Proposal
Social Design Thesis ProposalSocial Design Thesis Proposal
Social Design Thesis ProposalSharon Kong
 
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5E-Gazarchin Online University
 
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2Н. Батмагнай
 
3 Keys To Ace Your Next Design Competition
3 Keys To Ace Your Next Design Competition3 Keys To Ace Your Next Design Competition
3 Keys To Ace Your Next Design CompetitionJoseph Louis Tan
 
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)(주)인키움넷
 
OWASP TOP 10 - 2013 (정다운)
OWASP TOP 10 - 2013 (정다운)OWASP TOP 10 - 2013 (정다운)
OWASP TOP 10 - 2013 (정다운)다운 정
 
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min... RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...RiverFirst Initiative
 
[SIP 2015] Design Proposal: Design and animated prototype
[SIP 2015] Design Proposal: Design and animated prototype[SIP 2015] Design Proposal: Design and animated prototype
[SIP 2015] Design Proposal: Design and animated prototypeSilicon Straits
 
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1E-Gazarchin Online University
 
2010.11%29러시아 개황%28용량 다운%29
2010.11%29러시아 개황%28용량 다운%292010.11%29러시아 개황%28용량 다운%29
2010.11%29러시아 개황%28용량 다운%29drtravel
 
테스트 냄새
테스트 냄새테스트 냄새
테스트 냄새SukYun Yoon
 
Untitled 2
Untitled 2Untitled 2
Untitled 2yujinj
 
북일고 화학실험 아스피린
북일고 화학실험 아스피린북일고 화학실험 아스피린
북일고 화학실험 아스피린태훈 정
 
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서Moon Heo
 

Andere mochten auch (20)

[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
[보도자료]방향제·탈취제 80%에서 알러지 유발물질 검출(2013년)
 
5조브루노무나리
5조브루노무나리5조브루노무나리
5조브루노무나리
 
Social Design Thesis Proposal
Social Design Thesis ProposalSocial Design Thesis Proposal
Social Design Thesis Proposal
 
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
Mongol hund zoriulsan solongos helnii tsogts surah bichig 5
 
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
Монгол хүнд зориулсан солонгос хэлний цогц сурах бичиг 2
 
두부는 반드시 먹어야 하는가_순창 두부워크샵
두부는 반드시 먹어야 하는가_순창 두부워크샵두부는 반드시 먹어야 하는가_순창 두부워크샵
두부는 반드시 먹어야 하는가_순창 두부워크샵
 
Scamper
ScamperScamper
Scamper
 
Mt3500as Menual
Mt3500as MenualMt3500as Menual
Mt3500as Menual
 
3 Keys To Ace Your Next Design Competition
3 Keys To Ace Your Next Design Competition3 Keys To Ace Your Next Design Competition
3 Keys To Ace Your Next Design Competition
 
4.1.4엄윤정
4.1.4엄윤정4.1.4엄윤정
4.1.4엄윤정
 
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
소리엔(다기능 유무선마이크) 제안서 다산일렉트론(주)
 
OWASP TOP 10 - 2013 (정다운)
OWASP TOP 10 - 2013 (정다운)OWASP TOP 10 - 2013 (정다운)
OWASP TOP 10 - 2013 (정다운)
 
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min... RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
RiverFIRST: A Parks Design Proposal and Implementation Framework for the Min...
 
[SIP 2015] Design Proposal: Design and animated prototype
[SIP 2015] Design Proposal: Design and animated prototype[SIP 2015] Design Proposal: Design and animated prototype
[SIP 2015] Design Proposal: Design and animated prototype
 
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
Mongol hund zoriulsan solongos helnii tsogts surah bichig 1
 
2010.11%29러시아 개황%28용량 다운%29
2010.11%29러시아 개황%28용량 다운%292010.11%29러시아 개황%28용량 다운%29
2010.11%29러시아 개황%28용량 다운%29
 
테스트 냄새
테스트 냄새테스트 냄새
테스트 냄새
 
Untitled 2
Untitled 2Untitled 2
Untitled 2
 
북일고 화학실험 아스피린
북일고 화학실험 아스피린북일고 화학실험 아스피린
북일고 화학실험 아스피린
 
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
Up!그레이드: 방향제 브랜드 그레이드의 페이스북 마케팅 가상 제안서
 

Ähnlich wie 브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w

(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가INSIGHT FORENSIC
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015 Chanjin Park
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서poisoneye
 
CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문Jiransoft Korea
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법Youngjun Chang
 
악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안Youngjun Chang
 
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]은옥 조
 
금융부문 컴퓨터포렌식
금융부문 컴퓨터포렌식금융부문 컴퓨터포렌식
금융부문 컴퓨터포렌식용욱 정
 
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전Lee Chanwoo
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법Youngjun Chang
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationJason Choi
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어INSIGHT FORENSIC
 
2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서poisoneye
 
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...Lee Chanwoo
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향Youngjun Chang
 
Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019sang yoo
 

Ähnlich wie 브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w (20)

(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가(Ficon2015) #2 어떻게 조사할 것인가
(Ficon2015) #2 어떻게 조사할 것인가
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서
 
CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문CYREN 2013년 인터넷 위협 보고서_국문
CYREN 2013년 인터넷 위협 보고서_국문
 
Bitscan appliance
Bitscan appliance Bitscan appliance
Bitscan appliance
 
전자
전자전자
전자
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
랜섬웨어
랜섬웨어랜섬웨어
랜섬웨어
 
악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안악성코드 동향 및 대응 방안
악성코드 동향 및 대응 방안
 
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
Ibm X-force 리포트 [랜섬웨어 : 최근 가장 왕성한 활동을 보이는 보안 위협]
 
금융부문 컴퓨터포렌식
금융부문 컴퓨터포렌식금융부문 컴퓨터포렌식
금융부문 컴퓨터포렌식
 
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전사이버 보안 트렌드_이찬우_2018020309_최종발표버전
사이버 보안 트렌드_이찬우_2018020309_최종발표버전
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
 
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
(Ficon2016) #3 분석가와 관리자가 바라본 랜섬웨어
 
2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서
 
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
[이찬우 강사] Gyeonggi Institute of Science & Technology Promotion_employee inform...
 
주간 보안 It뉴스 8월 첫째주 v3
주간 보안 It뉴스 8월 첫째주 v3주간 보안 It뉴스 8월 첫째주 v3
주간 보안 It뉴스 8월 첫째주 v3
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019Cloudoc against ransomware_kor_20171019
Cloudoc against ransomware_kor_20171019
 

브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w

  • 1. Bitscan 금융정보탈취 1 금융 정보 탈취 목차 1. 범위 2. 사용자 입장에서 본 악성코드 역할 3. 악성코드 역할(공인인증서 탈취) 4. 공인인증서 재발급 5. 최종 악성 파일 보안 프로그램 유사 6. 파밍 사이트 변경 내역(2월 3주차) 7. 파밍 사이트 변경 내역(2월 4주차) 8. 파밍 사이트 변경 내역(3월 1주차) 9. 파밍 사이트 변경 내역(3월 2주차) 10. 파밍 사이트 변경 내역(3월 3주차) 11. 파밍 사이트 변경 내역(3월 4주차) - MBR 파괴 기능 추가 12. 결론 범위 빛스캔에서는 지난 2012년 5~6월부터 지속적으로 금융정보 탈취 악성코드가 유포된다고 알려 왔습니다. 올해 1월말부터 발생한, 대규모 유포된 금융 정보 탈취 악성코드의 추이에 대해 각 주차별로 정리하여 제공합니다. 1월 중순부터 집중 분석된 악성코드는 기존과 다르게 보안서비스를 팝업으로 띄우지 않으며 ID/PW 로그인시 보안카드정보 및 사용자명, 주민등록번호 등을 수집합니다. 특징으로는 기존 호스트파일 변조하는 방식에서 Internet Explorer에서 은행사이트로 접근 시 원래 은행사이트와 동일하게 제작된 피싱 사이트로 리다이렉트하여 금융정보를 탈취합니다. 결론적으로 Host 파일 변조를 통한 공격기법에서 변화하는 양상을 보이고 있습니다. 사용자 PC의 모든 권한을 가진 상태이기에 그 어떤 일도 할 수 있는 상태라서 가능한 부분이 되겠습니다. 또한 악성코드들 대부분이 추가 다운로드 기능을 가지고 있는 상태이며, 외부로 업데이트를 확인 하는 행동들이 감지 되고 있습니다. 만약 악성코드에 감염된다면 추가 업데이트를 통해 DDoS나 원격화면정보 등을 수집하는 봇 에이전트를 추가 설치하는 등 2차 침해사고도 예상됩니다.
  • 2. Bitscan 금융정보탈취 2 <금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나> 국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 3가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 매우 심각한 상황입니다. 이 MalwareNet만 해도 총 20여군데에 영향을 미치고 있습니다. 사용자 입장에서 본 악성코드 역할
  • 3. Bitscan 금융정보탈취 3 <국민은행 피싱 사이트> 검색 사이트에서 정상적으로 검색을 하고 접속을 하여도 피싱 사이트로 리다이렉트 되는 것을 확인할 수 있습니다. 주소창을 보아도 정상적인 국민은행 사이트 주소(www.kbstar.com) 입니다. 사용자들이 피싱 사이트인지 정상 사이트인지 구분하기가 매우 어렵습니다. 구분하는 방법은 정상 사이트들은 보안카드 비밀번호 전부를 요구하지는 않는다는 정도이며 이를 잘 모르는 사람들은 피싱에 그대로 노출될 수 밖에 없는 상황입니다. 권한을 가지고 자유자재로 통제되는 좀비 PC는 이미 소유권은 다른 곳에 있을 뿐입니다.
  • 4. Bitscan 금융정보탈취 4 <최소 8자리 비밀번호인데 6자리 입력만으로도 통과> 금융권 최소 비밀번호가 8자리인데도 불구하고 6자리 만으로도 통과가 되며 인증서가 없는데도 불구하고 다음 창으로 넘어가게 됩니다. 만약 인증서가 있다면 해당 인증서가 나타난 이후 입력되는 인증서 비밀번호가 그대로 공격자에게 전달 될 수 밖에 없도록 구성 되어 있습니다.
  • 5. Bitscan 금융정보탈취 5 <전자금융사기 예방서비스라고 사용자들을 속임, 오타 포함> 고객님의 계좌가 위험한 지역에서 로그인 기록이 등록 되여 있습니다. 계좌의 안전을 위하여 지금 바로 금융사기예방 서비스 신청이 필요합니다. ‘되여’ 부분이 오타입니다.
  • 6. Bitscan 금융정보탈취 6 <이름, 주민등록번호 수집> 방문자의 이름과 주민등록번호를 수집하고 있습니다. <국민은행 각종 금융 정보 수집> 사용자 ID, 출금계좌번호, 출금계좌비밀번호, 핸드폰번호, 보안매체 비밀번호 입력까지 모든 정보들을 입력할 것을 요구하고 있습니다. 분명 정상적인 절차는 아니지만 이에 대해서 잘 모르는 분들은 모두 입력할 수 밖에 없는 현실입니다.
  • 7. Bitscan 금융정보탈취 7 <입력폼에 정보들이 입력될 때마다 금융 정보 유출> 공격자는 입력폼에 정보들이 입력될 때마다 금융 정보를 유출하고 있습니다. 이는 중간에 사용자가 정상적이지 않다는 인식을 할 수도 있고 중간에 브라우저들이 오류가 발생하여 금융정보를 탈취할 수 없는 상황을 예방하기 위하여 입력폼에 문자가 입력될 때마다 입력폼 정보인 금융정보를 유출하는 것을 확인할 수 있습니다.
  • 8. Bitscan 금융정보탈취 8 <최종적으로 모든 입력폼에 있는 정보 다시 한 번 전송> 최종적으로 모든 입력폼에 들어 있는 금융 정보들을 다시 한 번 전송하는 치밀함을 보여주고 있습니다. <두 시간 안에 금융정보를 탈취 할 목적으로 사용자들을 안심 시킴> 금융 예방 서비스 신청을 완료했다는 메시지로 사용자들을 안심시키며 2시간 후에 접속하라는 메시지를 보여줍니다. 이는 실질적으로 유출한 정보들을 사용하여 계좌이체를 할 수 있는 시간을 벌기 위한 수단입니다. 악성코드 역할(공인인증서 탈취) 또한 2월 2주차에는 최근 언론에서 주목하고 있는 FTP 서버로 공인인증서를 탈취하는 악성코드의 변종이 추가로 발견 되었습니다. 해당 악성 코드는 기존에 발견되었던 샘플과 마찬가지로 dll 파일을 웹 브라우저에 BHO로 등록하고, 사용자가 특정 금융 사이트에 접속했을 때 조작된 화면을 이용하여 보안 카드 비밀번호를 탈취합니다. 또한 사용자의 하드디스크 드라이브를 검색하여 공인인증서의 존재 여부를 확인하고, 만약 존재한다면 FTP 서버로 파일을 유출 합니다.
  • 9. Bitscan 금융정보탈취 9 <공격자들의 FTP에 올려진 탈취된 공인인증서 목록1> <공격자들의 FTP에 올려진 탈취된 공인인증서 목록2> <탈취된 공인인증서 일부>
  • 10. Bitscan 금융정보탈취 10 공인인증서 대규모 탈취된 목록입니다. 탈취된 공인인증서로 본인도 모르는 사이에 계좌이체가 되는 직접적인 피해 사례가 발생하고 있습니다. 실제 탈취된 공인인증서를 열어 보았더니 실제 공인인증서와 동일합니다. 실명이 적혀져 있으며 유효 기간까지 있는 것을 확인할 수 있습니다. <금융 정보 탈취 악성코드 VirusTotal 결과. 전세계 최초 업로드> 취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 40 여종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된 바 없는 악성코드가 사용자 PC에 설치 되는 상황입니다. 사용자들이 할 수 있는 대책이 과연 무엇이 있겠습니까? 공인인증서 재발급 <공인인증서 재발급 요건>
  • 11. Bitscan 금융정보탈취 11 공격자들은 공인인증서를 재발급 받기 위한 금융 정보들을 수집하는 것을 확인할 수 있습니다. 유출된 금융 정보들은 사회공학적 기법으로 이용될 가능성이 높습니다. 최종 악성 파일 보안 프로그램 유사 <veraport 보안 프로그램 유사> 사용자를 속이기 위해 Veraport 보안 프로그램과 유사한 이름으로 악성코드가 제작된 것을 확인할 수 있습니다. 참고로, VeraPort는 인터넷 뱅킹 등의 서비스를 이용하기 위해 설치해야 하는 Active-X 플러그인을 손쉽게 설치할 수 있도록 도와주는 프로그램으로 꽤 많은 금융 사이트에 적용되어 있습니다. 파밍 사이트 변경 내역(2월 3주차) <공격자들이 파밍을 역이용한 메시지 팝업창1> <공격자들이 파밍을 역이용한 메시지 팝업창2> 공격자들의 메시지가 더욱 정교해 지고 있습니다. 이는 공격자들이 국내 언론을 모두 모니터링 하고 있다는 뜻입니다.
  • 12. Bitscan 금융정보탈취 12 <단 2일 사이에 최종 다운로드 받는 악성코드 10여 차례 변경> 본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하고 있습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야만 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다. <파밍에 사용되는 악성코드를 올려놓은 사이트> PC에 윈도우 보안패치, JAVA와 같은 애플리케이션 패치가 완벽하지 않은 상태에서 악성링크가 삽입되어 있는 웹 사이트들을 방문하면 악성코드에 감염이 되어 좀비 PC가 됩니다. 좀비 PC는 위의 사이트에서 추가 다운로드를 합니다. 추가 다운로드 되는 악성코드는 공격자의 공격 의도에 따라 언제든지 변경할 수 있습니다. 즉, 파밍으로 쓰일 수도 있고, DDoS로도 곧바로 응용이 가능한 상태입니다.
  • 13. Bitscan 금융정보탈취 13 <파밍 사이트 리스트1> <파밍 사이트 리스트2>
  • 14. Bitscan 금융정보탈취 14 현재 파밍 관련된 기사가 국내 언론의 1면을 차지하고 있는데도 공격을 멈추지 않고 파밍 사이트를 지속적으로 변경하고 있습니다. 파밍 사이트 주소만 막는다고 하여 현재 문제가 해결되는 것이 아닙니다. 공격자들은 파밍 사이트 주소가 막힐 것을 우려하여 처음 다운로드 받는 악성코드에는 파밍 사이트 주소를 넣지 않고 추가 다운로드 형식으로 받아오며 파밍 사이트 주소를 지속적으로 변경하고 있습니다. 파밍 악성코드가 유포되는 근본적인 문제가 무엇인지 파헤쳐 보아야 합니다. 파밍 사이트 변경 내역(2월 4주차) 2월 4주차에도 역시 파밍 관련 악성코드가 대규모로 유포 되었습니다. <파밍 악성코드 유포 도메인> 국내 유명 사이트를 통한 파밍 악성코드가 유포 되었습니다. 삼성 SDI 분사 기업이며 가격비교 사이트인 마이마진, 국내 유명 패스트푸드 업체인 미스터 피자, 팝티비 등에서 파밍 관련 악성코드를 유포하였습니다. 특히 미스터 피자1 같은 경우에는 지속적으로 언론에 알렸음에도 불구하고 여전히 악성코드를 유포하고 있습니다. 1 피자 할인 받으려다 악성코드 감염된다고? 미스터피자·뉴스토마토 홈피, 악성링크 유포지로 악용! 피자에서·대학까지 악성코드 무차별 확산
  • 15. Bitscan 금융정보탈취 15 <악성코드에 감염된 후 추가 다운로드 되는 목록> 파밍 악성코드에 추가적으로 DDoS 공격이 가능한 봇 에이전트를 다운로드받아 대기하고 있습니다. 공격자의 의도에 따라 그 대상이 달라지며, DDoS 명령이 떨어지게 된다면 국내 기관 및 기관이 대상이 될 수 있습니다. <v.exe 파밍 악성코드를 주기적으로 다운로드 받아 파밍 사이트 주소를 변경> 감염된 PC는 주기적으로 v.exe 라는 악성코드를 추가 다운로드 받습니다. 국내 대응으로 파밍 사이트 주소가 막힐 것을 우려하여 지속적으로 파밍 사이트 주소를 변경하는 상황입니다. 사이버공격 날개를 달아주는 현재의 SNS 마케팅!
  • 16. Bitscan 금융정보탈취 16 <파밍 악성코드에 감염된 수치> v.exe는 악성코드에 감염이 된 후 추가적으로 다운로드 받는 파밍 악성코드입니다. 즉, v.exe를 다운로드 받는 상황은 백신 등에 의해서 악성코드가 삭제된 경우를 제외하고 실질적으로 파밍 악성코드에 감염이 된 경우입니다. 67.198.xxx.xxx:xxx(1번째 서버) 2월 22일 16시경 1번째 최종 악성코드 올려놓음 2월 23일 15시경 2번째 최종 악성코드 변경 2월 23일 22시경 파밍 악성코드 감염 수치, 12882명 2월 23일 23시경 서버 닫힘 현재 공격자가 HttpFileServer를 사용하여 감염된 경우만 통계를 낸 상황인데도 불구하고 1만 3천 여대의 컴퓨터가 파밍 악성코드에 감염이 되었습니다. 파악되지 않은 다른 공격 경로와 공격방법까지 추정한다면 파밍 악성코드에 감염된 컴퓨터 수치는 훨씬 많을 것으로 예상 됩니다. 파밍 사이트 변경 내역(3월 1주차)
  • 17. Bitscan 금융정보탈취 17 <주민등록번호 오류 검사 기능 추가> 기존에는 주민등록번호 입력시 오류가 있어도 무시하고 넘어갔었지만, 이번 주에 이르러서는 주민등록번호의 오류 여부를 검사하는 기능까지 추가되었습니다. 이를 통해 좀더 정확한 정보를 얻어 낼 수 있고, 오히려 사용자는 이러한 부분을 봄으로써 감염되었다는 사실을 모르게 할 가능성도 있습니다. 파밍 사이트 변경 내역(3월 2주차) <BHO를 통한 파밍 사이트 연결>
  • 18. Bitscan 금융정보탈취 18 파밍은 호스트 파일 변조가 주를 이루었으나 파밍캅이나 각종 백신 등에서 호스트 파일 변조하는 악성코드를 잡아내자 공격자들은 호스트 파일 변조를 하지 않습니다. IE에 기본으로 등록되는 BHO (Browser Helper Object)를 이용하여 은행 사이트 주소가 입력될 때마다 공격자가 지정한 파밍 사이트로 연결되도록 하고 있습니다. 이에 따라 호스트 파일 변조를 감시하는 파밍캅이나 백신 등에서 잡아내기 어려워 졌습니다. 파밍 사이트 변경 내역(3월 3주차) <금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나> 국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 5가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 매우 심각한 상황입니다. 이 MalwareNet만 해도 총 10여군데에 영향을 미치고 있습니다. 온라인 종합 경제 미디어 업체인 뉴스핌, 앱스토어 어플리케이션 커뮤니티인 앱스토리, 부동산 포털로 유명한 닥터아파트 등에서 파밍 악성코드를 대규모 유포하였기에 방문자들의 주의가 필요합니다.
  • 19. Bitscan 금융정보탈취 19 <파밍캅을 우회하기 위한 공격자들의 전략> 3월 2주차에서 언급하였듯이 공격자들은 호스트 파일을 변조하지 않기 때문에 호스트 파일 변조를 탐지하는 파밍캅이나 다른 백신들에게 탐지되지 않습니다. 파밍캅 제작자 또한 파밍 악성코드가 현재 호스트 파일 변조하는 것을 뛰어넘을 수도 있기 때문에 모든 파밍 공격을 막는다고는 할 수 없다고 합니다. 파밍 사이트 변경 내역(3월 4주차) Intro “3.20 전산망 마비 사태 이후 보안점검을 강화합니다. 고객님의 개인정보를 다시 확인합니다.” 24일 인터넷뱅킹 사이트에 접속했을 당시 떴던 공지사항이었습니다. 순서에 따라 신상정보와 계좌번호, 공인인증서, 비밀번호 등을 입력합니다. 하지만 이로부터 5분 뒤 컴퓨터가 강제로 꺼진 뒤 재부팅이 되지 않았습니다. 순식간에 먹통 PC가 되어 버렸습니다. 2013년 3월 23일 23시 29분경 웹 사이트에 삽입되어 있는 비정상 링크를 사전탐지체계(PCDS, Pre-Crime Detect Satellite)에 의해 탐지 되었습니다. 1) 비정상링크: 103.14.114.47/naver/naver01.html 2) 최종다운로드 링크: www.krgame01.com/naver01.exe 3) 추가다운로드 링크 및 통계링크: lo1.opop189.com
  • 20. Bitscan 금융정보탈취 20 4) 악성파일명: naver01.html, Server.exe, 64.exe 1. 웹사이트 방문시 Drive-by-download로 악성코드에 감염 baxx-xxxx/files/xxxxx/xxx.html 해당 웹 사이트에 방문만 해도 Drive-by-download에 의해서 자동으로 악성링크인 103.14.xxx.xx/naver/naver01.html에 접속하여 자바 6종, MS 1종, Flash 1종 취약점중 하나라도 취약한 것이 있다면 1차 감염(연결 통로) 됩니다. <악성링크에 삽입 되어 공격코드가 난독화된 악성코드 – 실행파일 naver01.exe 가 내려온다> <악성링크의 구조도 - 연결통로> 해당 악성링크에서 사용하는 취약점은 총 8가지 CVE(3544-0507-1723-4681-5076-1889-0442-0634)가 사용되었습니다. Java 6종, MS 1종, Flash 1종이 사용되었으며 이중 하나라도 취약하다면 악성코드에 감염됩니다. 2. 감염된 PC lo1.opop189.com로 접속하여 추가 다운로드
  • 21. Bitscan 금융정보탈취 21 <감염된 PC가 추가 다운로드하기 위해 접속하는 서버> 악성코드에 감염된 PC는lo1.opop189.com로 접속하여 server.exe를 추가 다운로드 받습니다. 추가 다운로드를 받는 것은 초기에 다운로더 기능만이 있는 악성코드를 내려 보내어 백신을 회피하기 위한 것이며 쉽게 다른 기능의 악성코드로 변경하기 위한 목적입니다. 1. server.exe File Name server.exe File Size 81.9 kb MD5 2142526e81fd46409fccecc31721b669 Download Time 201303241630 2. 64.exe File Name 64.exe File Size 27.1 kb MD5 524a0156c1aea38f17c25d1cc7ab2a8e Download Time 201303241630 3. 64.exe File Name naver01.exe File Size 117.1 kb
  • 22. Bitscan 금융정보탈취 22 MD5 04c15573b776eab363529c7c9ea9ecb8 Download Time 201303241630 3. 감염된 PC가 C&C 서버로 지속적 접속 <n01.hades08.com 로 지속적 접속> 감염된 PC는 C&C서버인 n01.hades08.com로 접속합니다. 포트번호는 2012 입니다. 지속적으로 접속 시도를 하며 개인 사용자 정보도 함께 유출됩니다. - C:WINDOWS[랜덤 8자리]svchsot.exe 생성 - 64.exe 다운로드 <레즈스트리에 등록된 날짜>
  • 23. Bitscan 금융정보탈취 23 <스케쥴러에 등록된 스케쥴> svchost.exe 는 스케줄러에 24개 예약작업을 등록하여 1시간마다 실행하게 합니다. 매주 월, 화, 수, 목, 금, 토, 일요일이 등록되어 있기 때문에 매 시각 정시에 예약된 작업이 실행됩니다. 4. 파밍 사이트 접속 <파밍 사이트 접속시 메시지 진화> 파밍 사이트 접속하여 이름과 주민등록번호를 입력하면, ‘전산망 마비사태로 인한 고객정보유실여부를 확인하기 위하여 보안인증 절차를 실행하고 있습니다. 보다 안전한 금융거래를 위해 금융예방 서비스를 신청 후 이용해 주시기 바랍니다.’ 라는 메시지를 보여 줍니다. 국내 상황을 정확히 파악하여 메시지를 교묘하게 제작하고 있다는 의미로 볼 수 있습니다.
  • 24. Bitscan 금융정보탈취 24 <금융 정보 입력할 때마다 유출> 금융 정보 입력할 때마다 지속적으로 금융정보가 유출됩니다. 사용자들이 늦게나마 파밍이라 알아채더라도 이전까지 입력한 금융 정보를 탈취하기 위한 목적으로 보입니다. 5. 지속적으로 사용자 정보 유출
  • 25. Bitscan 금융정보탈취 25 <사용자 정보 유출 현황> 파밍 사이트에 접속하여 금융 정보 유출하고 있는 도중에 지속적으로 사용자 정보가 유출되는 것을 확인할 수 있습니다. 다만, 주고받는 정보는 암호화된 것으로 추정되어 파악하기 어렵습니다. 6. 시스템 부팅 파일 삭제 파밍 사이트에서 금융 정보가 모두 유출되고 난 후 스케줄러에 예약된 작업이 1시간마다 실행되어 시스템을 파괴합니다. <부팅 관련 파일들 삭제> MSDOS.SYS, IO.SYS, CONFIG.SYS, boot.ini 등을 삭제하며 5분 후에 강제 재부팅이 됩니다. <1차 테스트시 정상적 부팅 불가>
  • 26. Bitscan 금융정보탈취 26 <2차 테스트시 정상적 부팅 불가> 재부팅 후에는 부팅할 수 없다는 오류 메시지를 보여주며 정상적으로 부팅할 수 없습니다. 시사점 이번에 발견된 변종 악성코드가 MBR(부팅영역) 파괴 기능 등 악성코드 3.20 사이버테러 때와 같은 악성코드 제작기법이 사용되었으며 동일한 C&C 서버를 사용하였기 때문에 동일 공격 조직으로 추정합니다. 형태는 바뀌었지만 3.20 사이버테러의 주범들의 공격이 현재 진행중이라는 해석도 가능합니다. 3.20 사이버테러 같은 경우에는 특정 시간인 오후 2시에 모두 시스템 파괴 명령을 수행하였습니다. 하지만 이번 2차 사이버테러는 일반인들을 대상으로 한 공격으로 특정 조건(파밍)이 성공하면 C&C 서버의 명령을 받아 MBR(부팅영역) 파괴 기능을 수행합니다. 현재 이 같은 악성코드는 주로 보안이 취약한 웹사이트를 해킹한 뒤 해당 홈페이지 방문자들을 상대로 무작위적으로 유포되고 있습니다. 특정 대상을 가리지 않는다는 얘기이며 그 누구나 대상이 될 수 있다는 점에서 굉장히 위험합니다. 현재는 특정 조건(파밍)이 일치하여야 MBR(부팅영역)을 파괴하지만 공격자가 특정 조건을 지정하지 않는다면 악성코드에 감염된 PC는 그대로 MBR(부팅영역)이 파괴되어 부팅이 되지 않을 것입니다. 파밍 사이트 변경 내역(4월 1주차) 경남지방경찰청에서는 파밍으로 인한 피해를 줄이기 위해 ‘파밍캅’이라는 소프트웨어를 개발하여 제공하고 있으며 최근 2.0 버전까지 갱신되었습니다. [관련 링크: http://www.gnpolice.go.kr/gn_pr/sub02.asp?idx=4187] 파밍캅은 hosts 파일에 입력되는 주소들 가운데 국내 은행 IP를 모두 확인하여 변조된 경우 이를 알리고 되돌리는 요긴한 기능을 제공합니다. 하지만, BHO을 변조하는 방법을 통한 파밍은 예방할 수 없는 한계를 가지고 있습니다.
  • 27. Bitscan 금융정보탈취 27 지난 4월초에 hosts.ics 파일을 변조하는 새로운 형태의 파밍 기술이 발견 되었습니다. hosts.ics 파일은 일반적으로 사용하지 않는 파일로 인터넷 연결 공유(ICS, Internet Connection Sharing)시에 특정한 클라이언트의 IP를 강제로 지정하는 기능을 합니다. [관련 정보: http://support.microsoft.com/kb/309642/ko] 더욱 재미있는 점은 이름 풀이 과정에서 각 자원들의 우선순위가 있다는 점입니다. 공격자가 이러한 특징을 안다는 점에서 나름 뛰어난 네트워크 기술을 가진 것으로 추정됩니다. 참고로, hosts.ics는 hosts 파일 다음의 우선순위를 가지며 DNS보다 높습니다. 1) Local DNS Cache: ipconfig /displaydns로 확인 가능 2) hosts 파일 3) hosts.ics 파일 4) DNS 5) WINS [관련 정보: http://www.dslreports.com/forum/remark,15902538]
  • 28. Bitscan 금융정보탈취 28 <hosts.ics 파일에 파밍으로 이용되는 IP 주소를 추가> 국내에서 유포된 파밍 악성파일 중에 hosts.ics 파일을 활용하여 감염된 경우 파밍이 이뤄지는 상태를 보여주고 있습니다. 앞에서도 언급했지만, 파밍캅의 경우 다음의 2가지 한계를 가지고 있는 것으로 예상됩니다.
  • 29. Bitscan 금융정보탈취 29 <hosts 파일에도 백신회사 IP 추가> 1) hosts 파일 내에 은행 관련 IP 주소만 저장하고 있으며, 백신사의 접근 및 업데이트를 방해하는 IP 주소 입력시 진단하지 못하는 한계를 가집니다. 하지만, 이 또한 추가할 데이터의 범위를 정하는 것 자체도 어렵기 때문에 공격 유형에 따라 대응해야 합니다. 2) hosts.ics 파일에서 발생하는 변조 기법을 인식하지 못하므로, 최신 파밍 기법에 대응하기 어렵습니다. 결론 사용자 동의없는 피싱 사이트가 어떻게 해서 활개를 치는지 근본적인 부분을 심도있게 고민해 보아야 할 때입니다. 현재 상황에서 피싱과 파밍을 이용한 정보탈취 사이트가 활개를 치는 것은 악성코드가 대규모로 유포되기 때문입니다. 악성코드를 대규모로 유포하는데 가장 효과적인 것은 웹사이트를 해킹한 후에 악성링크를 추가하여, 모든 방문자들을 대상으로 감염을 시키는 것이 가장 효과적인 방법이라는 것을 공격자들도 알고 있기 때문입니다. 지금까지 공인인증서 발급기관인 한국전자인증 악성코드 유포건을 비롯하여 금융권인 흥국증권에서 악성코드를 유포한 사건들은 보안이 상대적으로 잘되어 있는 국내 금융권조차 전체적인 웹서비스의 상시적인 관리와 유지 측면에서 문제가 있다는 것을 반증하는 사례가 될 것입니다. 금융권이 이러할진대 일반 기업들의 서비스는 말할 필요도 없는 상태일 것입니다. 웹 사이트는 수시로 수정할 수 밖에 없는 구조인데도 불구하고 웹 보안 검사는 1년에 1~2번 밖에 할 수 없는 게 현실입니다. 또한 모든 사이트들을 대상으로 할 수 없기에 대표적인 사이트만 할 수 밖에 없는 상황입니다. 상시적으로 웹 해킹에 사용되는 인자값 검사가 가능해야 악성코드가 대규모로 유포되는 근본적인 원인을 제거할 수 있을 것입니다. 파밍을 해결하기 위해 프로그램, 장비, 기타 보안 기술 등 다양하게 선보이고 있습니다만, 원천적인 문제를 해결하지 않는 한 미봉책에 불과할 것입니다.