잉카인터넷 시큐리티대응센터 블로그

금융정보 탈취하는 KRBanker 분석 보고서 1. 개요 최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명adinstall.exe파일크기478,208 byte진단명Banker/W32.Agent.478208.B악성동작파밍, 금융정보 탈취네트워크103.***.***.86 – 공격자 서버 2-2. 유포 경로해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지..

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 KRBanker_d8dba.exe 파일크기 338,944 byte 진단명 Banker/W32.Agent.338944 악성동작 금융정보 탈취 네트워크 104.***.***.27 (파밍서버..

system1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 system1.exe 파일크기 145,408 byte 진단명 Trojan/W32.KRBanker.145408.B 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 Process Explorer, Wireshark, NetMon, OllyDbg 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***...