자격증과 세미나, 프로그램 이야기를 주저없이 써봅니다.

Since 2008. 10.

해킹, 보안

인터넷 뱅킹 파밍 - BlackMoon 악성코드 분석 보고서

럭키맨 운수 2014. 3. 8. 21:26

 

3월 5일 NSHC(대표 허영일) Red Alert팀에서 DNS Cache 조작 및 ‘hosts.ics’를 생성해 사용자로 하여금 변조 웹 페이지로 접근을 유도하는 악성코드에 대해 상세 분석 보고서를 발표했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

인터넷 뱅킹 파밍용 악성코드가 지속적으로 유포되고 있어 각별한 주의가 요구됩니다. 이 악성코드는 DNS Cache 조작 및 hosts.ics를 생성해 사용자로 하여금 변조 웹 페이지로 접근을 유도합니다. 변조 웹 페이지는 실명정보, 계좌정보, 인터넷 뱅킹 계정정보, 보안카드 정보 입력을 유도해 사용자 정보를 탈취하게 됩니다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요합니다.

 

상세보고서를 발표한 Red Alert팀은 “악성코드가 시스템에 감염되면 hosts 파일이 변조되고 hosts.ics 파일이 생성된다. 이를 통해 특정 레지스트리 키 값을 변조해 IE의 시작 페이지를 변경시킨다. 이때 사용자가 인터넷을 실행사면 공격자 서버의 변조된 시작 페이지에 접속된다”고 설명했습니다. 즉 변조된 페이지의 팝업을 통해 파밍용 인터넷뱅킹 페이지에 접속을 유도하는 것입니다.

 

시작 페이지 및 각종 포털 사이트, 인터넷 뱅킹 사이트를 파밍하기 위해 hosts.ics에 기록된 URL 리스트도 공개하고 있습니다.

Red Alert팀은 “인터넷 뱅킹 파밍에 관련된 악성코드가 지속적으로 유포되고 있다. IP정보를 특정 페이지에서 동적으로 파싱해 동작하는 것은 기존에 보고되었던 내용과 매우 유사한 형태를 띄고 있다”며 “파밍 페이지의 경우 일반 사용자들은 구분하기 어렵기 때문에 은행에서 제공하는 보안정책을 이용해 추가 인증을 하기를 권고한다. 또한 은행에서는 보안카드 전에 일련번호와 전체 번호를 요구하지 않는 다는 점을 명심해야 한다”고 강조했습니다.

 

출처: Red Alert팀 페이스북(https://www.facebook.com/nshc.redalert)

20140305_Internet_Bank_Pharming_-_BlackMoon_Ver_1.0.pdf
0.98MB