Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보금융 정보를 노린 피싱(Phishing) 악성코드 및 제거 방법
작성일 2017-08-28 조회 1242

 

 

오늘 소개해드릴 공격 기법은 개인의 금융 정보를 탈취 후 금전적인 피해를 야기할 수 있는 피싱(Phishing) Site입니다. 최근에 또다시 등장하고 있지만 새로운 공격 방식이 아닌 기존의 공격방식을 좀 더 고도화 시킬 공격 기법으로 등장했습니다. 

 

피싱이란?

피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이다. ‘피싱’(phishing)이란 용어는 fishing에서 유래하였으며 private data와 fishing의 합성어이다.

 

2000년대 후반부터 등장하기 시작하여 최근 10년 간 약 7,000 억원의 피해를 입힌 'Phishing Site' 공격 기법은 많은 매체를 통해 소개되었습니다. 정상적인 금융 사이트와 똑같이 설계된 사이트로 유도하여 금융 정보를 입력을 요구합니다. 그 이후 입력된 정보는 공격자에게 전달되고 해당 정보를 통해 계좌를 컨트롤 하게 됩니다. 

 

피싱 사이트 악성코드 유포 방식은 해당 악성코드에 감염된 소프트웨어를 다운 받거나, 이메일, 공유 사이트 등 다양한 방법으로 유포가 되고 있습니다. 

 

 

우리의 부주의로 통해 피싱 사이트 악성코드에 감염되었다면 우리 PC 내에는 어떤 일이 발생하게 될까요.

지금부터 최근 발생한 피싱 사이트 악성코드를 살펴보도록 하겠습니다.

 

악성코드를 실행하게 되면 내부에 할당되어 있던 C2 서버로 통신을 진행하게 됩니다. 그 이후 다시 한 번 다른 C2 서버로 접속을 유도하게 됩니다. 2차 C&C 통신에서 다운로드 하는 파일이 실제 피싱 사이트로 유도하게 만드는 악성코드입니다.

 

1차 C&C /opapp/utilshare/app/update/update.xml
2차 C&C uploads/clin_inst.exe (각 유포 버전마다 2차 C2 변동)

 

[그림1] 1차 C&C 통신

 

[그림2] 2차 C&C 통신

 

 

PC 내 피싱사이트 감염이 이루어지면 우리나라의 3대 포털 사이트 접속 시 아래와 같은 화면을 확인할 수 있습니다. 피싱 금융 관련 악성코드는 대부분 우리나라에 환경에 맞게 제작되어 있으며 외국의 포털사이트 접속시에는 피싱 사이트의 화면을 확인하지 못합니다. 

 

자동 구성 스크립트를 사용하여 우리가 원하는 포털사이트 접근 시 그럴듯하게 꾸며놓은 내부(LocalHost)로 연결되게 되며 그 이후부터는 공격자의 꼭두각시가 되어 개인정보를 넘겨주게 됩니다.

 

[그림3] 자동 스크립트 구성

 

[그림4] 피싱 사이트 악성코드 감염 후 (Naver)

 

 

[그림5] 피싱 사이트 악성코드 감염 후 (Daum)

 

 

[그림6] 피싱 사이트 악성코드 감염 후 (nate)

 

 

금융감독원 "전자금융 사기예방서비스" 라는 타이틀과 함께 많은 은행 사이트로 갈 수 있는 링크를 확인할 수 있습니다. 해당 팝업 뒤에 보이는 포털사이트의 기사를 보면 2016년 3월 기사로 확인할 수 있으며 해당 악성코드의 소스 또한 같은 기간에 만들어 졌다는 것을 유추할 수 있습니다.

 

본인의 거래 은행을 선택해 들어가면 해당 은행의 홈페이지와 동일하게 꾸며져 있습니다. 하지만 모든 기능을 똑같이 구현할 수 없기 때문에 어떠한 버튼을 누르더라도 아래의 그림과 같이 팝업 창을 띄어 공격자들이 원하는 사이트로 이동하게 합니다.

 

 

[그림7] 은행 사이트 팝업창

 

 

금융감독원부터 시작하여 각 은행 및 KISA 까지, 피해자들을 속이기 위한 부단한 노력을 확인할 수 있습니다. 이 후 사이트마다 피해자들의 개인 정보를 습득하기 위해 다양한 입력란이 있습니다. 

 

잘못된 주민등록번호 입력시 다시 입력하라는 팝업창이 뜨기 때문에 실제 존재하는 주민등록번호를 입력해야 하기 때문에 눈물을 머금고 필자의 주민등록번호를 입력했습니다.

 

 

[그림8] 이용자 정보 입력

 

 

공격자의 의도에 맞게 착실히 정보를 입력하면 신분증 발행일자부터 공인인증서 비밀번호까지 공격자에게 전송되게 됩니다. 당연한 이야기겠죠.

 

[그림9] 이용자 정보 전송

 

피해자의 이용자 정보를 알아내었다면 실제 금융 정보를 얻기 위한 페이지가 생성됩니다. 과거에는 보안카드만 있을 뿐 OTP 인증란은 존재하지 않았으며 현재 유포되는 피싱 사이트 악성코드는 OTP 까지 수집 가능합니다.

 

[그림10] 금융 정보 입력

 

개인정보와 마찬가지로 해당 정보는 고스란히 공격자에게 전송됩니다.

 

[그림11] 금융 정보 입력

 

 

모든 정보가 전송이 된 이후에는 "보안 프로그램 설치 및 실행" 팝업이 무한히 반복됩니다. 해당 팝업이 끝나길 기다리다보면 어느샌가 통장의 잔액은 '0' 이 될 것입니다.

 

[그림12] 금융 정보 전송

 

과거의 피싱 공격보다 좀 더 피해자들의 눈을 확실하게 속이기 위한 방법들이 나타나고 있습니다. 하지만 감염되었다 하더라도 상기 모든 페이지가 나의 금전을 노리는 피싱 사이트라는 것 하나만 알고 있다면 피해를 예방할 수 있습니다. 그렇다면 위의 악성코드를 제거하는 방법은 어떤 것이 있을까요?

 

피싱사이트 삭제 프로그램 링크 

 - http://cafe.naver.com/malzero/94376

 

상기 링크에서 프로그램 다운 이후 내부 동봉 설명서대로 진행하신다면 이전처럼 깨끗한 포털사이트의 모습으로 돌아갈 것입니다. 언제나 명심해야할 사항은 금융사에서는 개인의 비밀번호를 요청하지 않는다는 점 꼭 기억하시길 바랍니다.

 

 

Wins Sniper IPS 패턴

[ 3957 ] Win32/Phishing.Openkeyword.153152

 

 

출처

[그림] http://www.csoonline.com/article/2117843/phishing/identity-theft-prevention-phishing-the-basics.html

첨부파일 첨부파일이 없습니다.
태그   Phishing  피싱 사이트  피싱 사이트 제거