2024-03-29 07:25 (금)
[주의] 소켓통신 가로채기…전자금융사기 수법 추가 등장!
상태바
[주의] 소켓통신 가로채기…전자금융사기 수법 추가 등장!
  • 길민권
  • 승인 2013.07.19 02:16
이 기사를 공유합니다

호스트파일 변조기법 아닌 지능화된 금융보안 위협 가속화
지난 7월 14일에 제작되어 국내에 다수 유포된 신종 금융정보 탈취용 악성파일이 또 발견됐다. 이 악성파일은 기존에 널리 보고된 바 있는 호스트파일(hosts) 조작 방식을 적용하지 않고, 기존과 다르게 Winsock(LSP) 조작 방식을 도입한 것이 특징이다.
 
이를 최초 발견하고 블로그에 포스팅한 잉카인터넷 대응팀 문종현 팀장은 “LSP(Layered Service Provider)를 이용한 악성파일은 이미 2007년도에 온라인 게임계정 악성파일이 사용했던 고전적인 수법 중에 하나”라며 “이처럼 호스트 파일 변조기법이 아닌 다양한 형태의 감염사례가 속속 등장하고 있어 인터넷 뱅킹 이용자들의 각별한 주의가 필요하다”고 강조했다.
 
또 “해당 악성파일에 감염되는 것을 사전에 차단시키고, 피해를 최소화하기 위해서 숙주(Dropper) 악성파일에 대한 탐지 및 치료기능을 nProtect 제품군에 추가 완료한 상태”라며 “특히 국내 인터넷 뱅킹 금융사별로 특화화된 악성파일이 정교하게 제작되고 있고 해킹한 계좌에 예금이 적을 경우 이용자 예금을 실시간으로 자동조회해 입금이 이루어질 경우 바로 불법이체를 시도하려는 지능화된 공격징후도 있어 갈수록 전자 금융보안 위협이 진화를 거듭하고 있는 상태”라고 주의를 당부했다.
 
최근 이슈화 되고 있는 메모리 변조기법의 금융정보 탈취용 악성파일은 "msimsg.dll.mui", "kakutk.dll" 등의 이름으로 감염되고 있고, Winsock 변조기법을 이용하는 금융정보 탈취용 악성파일은 "ole2dlg.dll" 이름으로 감염되고 있다고 한다.
 
먼저 muimsg.dll.mui 이름의 악성파일은 금융보안 솔루션 중에 하나인 Wizvera 설치폴더(C:Program FilesWizveraDelfino)에 존재하는 npdelfinoplugin.dll 파일의 존재여부를 주기적으로 체크하고, 해당 dll 파일이 메모리에 맵핑되면 강제로 메모리 값을 수정하여 키보드 입력값을 외부로 유출하는 기능을 수행한다.

 
더불어 금융보안 솔루션 중에 하나인 XecureWeb 설치폴더(C:Program FilesSoftforumXecureWebNPPlugindll)에 존재하는 XecureAcPKCS8.dll 파일이 메모리 상에 맵핑되면 XecureMacuxCSM.dll 파일을 메모리에서 찾아 코드를 수정(Patch)한다. 코드수정을 통해서 npdelfinoplugin.dll 파일의 특정코드가 실행불가 상태로 변경되면 악성파일은 키보드 입력 값을 가로채어 외부로 유출을 시도하는 것이 특징이다.
 
kakutk.dll 이름의 악성파일의 경우에는 이용자가 인터넷 뱅킹 사이트에 접속하고 있는지 수시로 비교하고, 만약 악성파일이 원하는 인터넷 뱅킹 사이트로 연결되면 감염된 컴퓨터 내부에 공인인증서가 저장되어 있는지 해당 폴더(C:Program FilesNPKI)를 확인한다. 공인인증서 폴더 경로에 SignCert.der 파일과 SignPri.key 파일이 존재하는지 비교한다. 그리고 국내 금융보안 솔루션 중에 공인인증서 보안모듈 중에 하나인 INITECH 설치폴더(C:Program FilesInitechSHTTPplugin)에 존재하는 PKI_UI.11108.dll 파일의 메모리 값을 수정하여 보안기능 동작 전에 악성파일이 동작하도록 만든다.
 
아울러 금융보안 솔루션인 키보드보안 프로그램 중 하나인 SoftCamp 설치폴더(C:WINDOWSsystem32)에서 SCSK4.ocx 파일의 메모리 값을 수정해 보안기능이 동작하기 전에 악성파일이 동작하도록 한다. 그리고 키보드보안 프로그램 중에 하나인 RAONSECURE 설치폴더(C:WINDOWSsystem32)에 존재하는 TouchEnKey.dll 파일의 메모리 값을 수정하여 보안기능이 동작하기 전에 악성파일이 동작하도록 만들기도 한다.
 
문 팀장은 “최근 공격기법이 금융 보안모듈을 직접적으로 겨냥해 보안기능 무력화를 시도하는 등 매우 과감해지고 기술적으로도 지능화, 정교화되고 있는 추세”라며 “악성파일에 의해서 코드가 조작되면 금융정보 수집 목적의 허위 보안정보 입력화면을 보여주며 사용자로 하여금 금융정보를 입력하도록 현혹시킨다”고 설명했다.
 
◇Winsock 기능을 변조하는 KRBanker 출현
이번에 발견된 KRBanker 변종 악성파일은 호스트파일을 변조하지 않고 Winsock 기능을 변조해 가짜 금융사이트로 연결되도록 만들어진 것이 특징이다. 악성파일은 7월 14일에 제작되었고 금융정보를 입력하도록 유도하는 가짜 사이트로 접속되도록 한다. 더불어 기존과 유사하게 포털사이트 접속시 가짜 포털사이트 이미지 배경화면으로 조작된 공지화면을 보여주어 인터넷 뱅킹 사이트로 접속을 유도하기도 한다.
 
악성파일에 감염되면 윈도우 시스템폴더 경로에 ole2dlg.dll 이름의 악성 DLL 파일이 생성되고, 마치 윈도우 운영체제 파일처럼 속성을 위장한다. 이 때문에 분석가들은 상황에 따라 정상파일로 판단착오를 일으킬 수도 있고 일부 분석프로그램의 경우 마이크로 소프트사의 정상파일로 분류되어 필터링될 수도 있다.
 
악성파일은 WinSock2 파라미터 값을 조작해 인터넷 익스플로러가 작동할 때 ole2dlg.dll 악성파일이 로딩되도록 만든다.

 
악성파일은 코드 내부적으로 금융사이트 정보를 하드코딩해 가지고 있으며 국내 금융사 도메인으로 접속을 시도할 경우 미국의 특정 서버로 접속해 가짜 금융사이트 화면을 보여주게 된다.
 
악성파일에 감염된 상태에서 인터넷 뱅킹 사이트로 접속을 하게 되면 금융사기 관련 조작된 공지화면을 출력하여 이용자로 하여금 금융정보를 입력하도록 유도하게 된다.
 
대응팀 관계자는 “과도하게 금융정보를 요구하는 웹 사이트가 있다거나 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것”이라며 “2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★