|
PUP를 통해 유포되는 파밍 악성코드...주의! AhnLab / 2015-06-16
최근 불필요한 프로그램(PUP)의 업데이트 모듈을 이용해 파밍 악성코드를 유포한 경향이 확인됐다. 파밍 악성코드는 파일을 실행하거나 프로그램을 설치하는 등의 행위는 하지 않고, 사이트에 접속만 해도 악성코드를 감염시키는 '드라이브-바이 다운로드(Drive-by-download) 방식'으로 유포되고 있다.
불필요한 프로그램은 인터넷을 통해 다운로드 받은 프로그램을 설치할 때 함께 설치된다. [그림 1]과 같이 인터넷 익스플로러 다운로드 창으로 위장한 프로그램 설치 화면 하단에는 '제휴 프로그램 설치 안내 문구'와 '설치 여부를 확인하는 체크 상자'가 표기되어 있다. 이러한 설치 여부 확인을 무심코 넘어갈 경우 사용자도 모르는 사이 시스템에는 불필요한 프로그램이 설치된다.
[그림 1] 정상 다운로드 창(상)/ 다운로드 창으로 위조된 설치 화면(하)
[그림 1]과 같이 설치된 불필요한 프로그램은 업데이트를 위해 주기적으로 통신하며, 새로운 파일을 다운로드하고 실행한다.
[그림 2] 업데이트 서버 패킷 정보
악성코드 제작자는 파일을 다운로드할 때 사용하는 주소 부분인 'down url'을 악성코드를 업로드해둔 주소로 바꿔치기하는 수법으로 파밍 악성코드를 유포했다.
[표 1] 변경된 'down url'
이렇게 다운로드된 파일은 [그림 3]과 같이 자동 압축 해제(self-extracting, SFX) 파일 형식이다.
[그림 3] 파일 ****man.exe
압축파일 내부에 있는 파일 ''*6.exe', '*7.exe'는 파밍 악성코드이며, '*7.exe'는 정상으로 다운로드했을 경우 생성되는 PUP 파일이다.
[그림 4] 파일 *6.exe, *7.exe
압축 파일 '****man.exe'를 실행하면 압축 파일에 저장된 SFX 스크립트에 의해 내부 파일이 자동으로 생성 및 실행된다.
[표 2] SFX 스크립트
파밍 악성코드 '36.exe'가 실행되면 정상 파일 C:\Windows\System32\attrib.exe'에 악성코드를 삽입한다. 이후 파일 'attrib.exe'는 레지스트리에 [표 3]과 같은 값을 생성한다.
[표 3] 레지스트리 정보
이후 사이트 '*****.qq.com'에 접속하여, C&C서버주소를 가져오며, 시스템에 저장된 공인인증서를 C&C서버에 업로드한다. 또한 시스템의 DNS 서버주소를 변조하여 사용자를 파밍사이트 접속을 유도한다.
[그림 5] 변조된 DNS 서버 주소
인터넷 익스플로러를 실행하면 금융감독원 사칭 팝업창을 확인할 수 있다. 팝업창에 있는 금융사이트를 클릭하면 [그림 6]과 같이 사용자의 개인정보 및 금융정보를 입력하는 페이지로 연결된다.
[그림 6] 개인정보 및 금융정보 탈취 페이지
불필요한 프로그램의 주목적은 광고를 통한 금전 이득이다. 이를 위해 프로그램 제작자는 광고를 노출하기 위해 사람들이 자주 사용하는 프로그램 설치 파일로 위장해 인터넷에 유포한다. PUP는 주목적이 프로그램 배포이므로 프로그램이 제작된 이후에는 관리가 어렵다. 이렇게 탄생한 PUP는 다수의 사용자에게 배포되며 보안 관리가 허술하다. 악성코드 제작자는 이전부터 이런 취약점을 이용해 악성코드를 유포했다.
이처럼 파밍 공격은 점점 더 교묘하게 진화하고 있다. 파밍 공격을 예방하려면 보안 업데이트를 설치하고 드라이브 바이 다운로드 공격을 막으며, 불필요한 프로그램 설치는 지양해야 한다. 또 백신 제품의 엔진을 최신으로 유지하는 사용자의 올바른 습관이 중요하다. @ |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 악성 행위에 악용되는 PDF 문서, 정상 파일도 주의 (0) | 2015.07.02 |
|---|---|
| 알아두면 좋은 기능! 드롭박스 동기화를 제어하는 법 (0) | 2015.06.27 |
| 윈도 10으로 업그레이드하는 방법과 알아야 할 점 (0) | 2015.06.23 |
| 악성코드보다 더 불편한 PUP, 확실한 제거 방법 (0) | 2015.06.22 |
| 다가오는 휴가철, 내 신용카드를 지키는 법 (0) | 2015.06.21 |