[악성코드 분석] 일본 금융사이트 대상 파밍 악성코드

smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서

 

1. 개요

최근, 금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다.

금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다.

이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 보이지 않았던 루프 백 DNS 방식을 사용한 파밍 기법에 대해 설명하고자 한다.

 

[그림] 악성코드 유형별 비율 (자료출처: 한국인터넷진흥원)

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	smo.exe
파일크기	64,696 byte
진단명	Trojan/W32.JPBanker.64696
악성동작	인터넷 뱅킹 파밍
네트워크	103.***.***.167

 

2-2. 유포 경로

smo.exe 는 http://g****m*.com/bbc/smo.exe 주소를 통해 유포되고 있었다. 주목할만한 부분은 일본 금융권을 표적으로 한 악성코드가 국내 사이트에서 발견 되었다는 점이다. 따라서, 취약하거나 잘 관리되고 있지 않은 국내 사이트가 일본 대상 파밍 공격 유포지로 이용되고 있는 것으로 보인다.

[그림] 중간 경유지로 이용되고 있는 국내 사이트

2-3. 실행 과정

smo.exe 악성코드는 실행 시 프로세스로 상주하며 yahoo.co.jp와 일본은행 도메인에 대해 DNS 변조를 시도 한다. DNS 변조로 사용자는 피싱 사이트에 접속하게 된다. 피싱 사이트엔 사용자 정보를 탈취할 수 있도록 제작되어 있다.

하지만 smo.exe 파일의 경우, 실행이 지속되어야 파밍 공격의 성공률이 높아지는데 재부팅 시에는 파일이 다시 실행되지 않는 점을 가지고 있다. 결과적으로, 악성코드가 정상적으로 동작하더라도 사용자가 PC를 재부팅하면 파밍 동작이 수행되지 않는 것이다. 

따라서, 일련의 완벽한 악성동작을 위해선 수집한 smo.exe 파일 외에 또 다른 모듈이 있었을 것으로 보여진다.

 

3. 악성 동작

3-1. 방화벽 검사 예외 등록

악성코드는 방화벽 관련 COM 오브젝트를 이용하여 자기 자신을 Sevsl이라 명하고, 방화벽 검사를 예외처리 한다. 만약, 해당 악성코드에 대한 예외처리를 해제 한다면 파밍 동작은 수행되지 않는다.

[그림] 악성파일을 방화벽 검사 예외로 등록

3-2. DNS 변조, 피싱 사이트 연결

악성코드는 특정 값으로 인코딩 되어 있는 비주얼 베이직 코드를 복호화하여 DNS 설정을 변경한다. 복호화 된 비주얼 베이직 코드는 '[그림] 복호화 된 DNS 변조 코드' 와 같으며, 첫 번째 DNS 주소를 사용자 PC 자신으로 만들고(루프 백) 두 번째 DNS 주소는 구글(Google)의 DNS 주소로 변경 하는 동작을 한다. 구글의 정상 DNS 서버를 두 번째 주소로 사용하는 이유는 악성코드의 표적이 아닌 사이트의 도메인 네임 요청이 들어 왔을 경우, 인터넷 연결을 정상적으로 동작 시키기 위함이다.

루프 백 IP란 자기자신을 가리키는 IP로써 127.0.0.1 이라는 고정된 주소 값을 가진다. 해당 악성코드는 루프 백 IP로 DNS를 변조시켜 악성코드 자신이 DNS 서버가 된다. 이후 사용자가 발생시킨 DNS 쿼리 중 공격 대상 사이트가 존재할 경우 피싱사이트로 연결해주는 동작을 한다.

 

[그림] 복호화 된 DNS 변조 코드

[그림] 복호화 된 DNS 변조 코드 (정렬)

 

마지막으로 악성코드가 DNS 서버로 동작하기 위해서는 53번 포트를 사용해야 한다. 53번 포트는 잘 알려진 포트(Well-known port) 중 하나이며 DNS 프로토콜을 위해 사용된다. 해당 파일은 bind 함수를 사용하여 53번(0x35) 포트를 사용하도록 설정한다.

[그림] bind 함수를 사용하여 53번 포트를 할당

 

모든 설정이 끝난 smo.exe 파일은 PC 에서 DNS 서버 역할을 하기 위해 특정 주소(u***s.q***e.**.com)에서 피싱 사이트 IP주소를 가져온 뒤 공격 대상이 되는 도메인에 대해 변조를 수행한다. 또한, 인터넷 익스플로러 시작페이지를 yahoo.jp 로 변경하여 사용자가 인터넷에 접속 시 바로 피싱 사이트로 접속하게 한다.

 

[그림] DNS 서버 동작을 하고 있는 smo.exe

[그림] 특정 주소지에 변조 할 IP를 요청

[그림] 변조된 도메인 IP

 

3-3. PC 정보 탈취

해당 악성코드는 감염된 PC의 MAC 정보를 전송하는 정보탈취 동작을 수행한다.

[그림] 감염된 PC의 MAC 주소 전송

3-4. 피싱 사이트, 계정 탈취

루프 백 DNS 변조기법을 사용하여 파밍 동작을 수행한 이후 피싱 사이트에서의 악성동작은 다른 피싱 사이트들의 악성동작과 크게 다르지 않다. 처음 접속되는 yahoo.jp 를 통하여 총 8개의 일본은행 피싱 사이트로 접속을 유도하며, 각 은행사에 대한 또 다른 피싱 사이트를 통해 사용자가 입력한 계정 정보를 공격자에게 전송한다.

[그림] yahoo.jp 의 피싱 사이트에서 가짜 경고문 생성

 

총 8개의 은행에 대한 피싱 사이트를 운영하고 있으며 아래 은행이 대상 사이트이다.

bk.mufg.jp	resonabank.co.jp
japannetbank.co.jp	mizuho.co.jp
shinseibank.com	smbc.co.jp
rakuten-bank.co.jp	jp-bank.japanpost.jp

[표] 피싱 공격의 대상이 되는 금융권 사이트

은행 피싱 사이트에서는 어떤 링크를 누르더라도 하단의 웹 페이지로 연결되며 경고문과 함께 로그인을 요구하고 있다. 물론 해당 웹 페이지는 정상페이지가 아니며 계정정보를 입력 후 로그인 버튼을 누르면 사용자 계정정보가 특정 서버로 전송된다.

[그림] 가짜 로그인 화면

[그림] 사용자 로그인 계정정보가 전송

 

4. 결론

smo.exe 의 전체적인 동작은 기존 국내에서 활동하던 파밍 악성코드가 동작하던 방식과 매우 유사하다. 다만, 그 대상이 일본은행으로 바뀌었고, 일본 내 금융환경에 맞게 공인인증서 탈취와 같은 불필요한 동작이 제거되었다. 또한, 파밍의 방법에 있어 최근에 자주 쓰이던 파밍 방식과 다른 방식을 사용했기 때문에 다양한 방면으로 공격을 시도하고 있음을 알 수 있다.

국내에 비해 일본은 파밍 공격 악성코드가 잘 알려져 있지 않았고, 사회적으로도 큰 이슈가 되지 않았기 때문에 계속적인 피해가 우려된다. 또한, smo.exe 은 해외에 거주하고 있는 재외국민들도 해외 금융권 거래에서 더 이상 안전 할 수 없음을 시사한다. 

따라서 금융거래 시에 개인 이용자 스스로 항상 주의를 기울이는 것은 물론, 관련기관 또한 악성공격에 대한 대비와 충분한 홍보가 이루어 져야 할 것이다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면