자격증과 세미나, 프로그램 이야기를 주저없이 써봅니다.

Since 2008. 10.

해킹, 보안

IE취약점 CVE-2013-3897 인터넷 뱅킹 파밍 악성코드 분석 보고서

럭키맨 운수 2014. 3. 6. 23:55

 

2월 26일 NSHC(대표 허영일) Red Alert팀에서 IE취약점인 CVE-2013-3897을 통해 인터넷 뱅킹 파밍용 악성코드 변종으로 의심되는 파일이 발견된 악성코드에 대해 상세 분석 보고서를 발표했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

2월 마지막 주말, IE취약점인 CVE-2013-3897을 통해 인터넷 뱅킹 파밍용 악성코드 변종으로 의심되는 파일이 발견되었습니다. 공격자는 용산구 소재 중고차 매매 센터의 홈페이지에 특정 페이지를 삽입해 쉘코드를 실행시키며, 쉘코드는 국내 반도체 관련 잡지사 홈페이지에서 악성코드를 다운로드하는 것으로 밝혀졌습니다. 이 악성코드는 감염자 PC에서 공인인증서 정보를 탈취해 가고 있습니다.

 

악성코드 분석 보고서를 발표한 Red Alert팀은 “중국발 공격으로 의심되며 국내 사용자들을 대상으로 공격했으며 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 권고했습니다. 보고서에 따르면, 공격에 사용된 스크립트는 한국어와 일본어를 사용하는 윈도우 XP의 IE 8.0 사용자를 대상으로 공격코드가 동작합니다. 악성코드에는 국내 안티바이러스 제품 일부에 대한 우회 루틴이 존재하는데 백신을 탐지해 우회를 위한 드라이버를 드랍 및 로딩하는 것입니다.

 

특히 악성코드는 사용자 공인인증서 탈취를 위해 로컬 디스크에 있는 공인인증서 폴더인 NPKI 폴더를 검색해 공인인증서 파일을 복사합니다. 이를 압축해 공격자는 자신의 서버로 전송해 가고, 또 악성코드는 CPU 이름, 언어, 윈도우 버전 등의 정보도 공격자 서버로 전송합니다.

 

Red Alert팀 관계자는 “인터넷 파밍용 악성코드는 지난해부터 지속적으로 발견되고 있으며 현재 파밍용 악성코드 변종이 배포되는 정황을 확인했다. 이번 악성코드는 QQ블로그를 사용해 지속적으로 서버 정보를 요청하는 것과 파밍 대상 사이트 리스트를 지속적으로 요청하는 것으로 미루어 동시 다발적인 공격을 위해 현재 악성코드를 배포하는 것에 집중하는 것으로 추정된다. x86, x64 시스템과 윈도우 버전에 상관없이 동작해 시스템 감염 및 공인인증서를 탈취하고 있어 공인인증서 관리에 각별한 주의가 필요하다”고 강조했습니다.

 

출처: Red Alert팀 페이스북(https://www.facebook.com/nshc.redalert)

20140226_Internet_Bank_Pharming_with_CVE-2013-3897.pdf
1.27MB