Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.dailysecu.com/news/articleView.html?idxno=15869 

국내 인터넷뱅킹 정보 수집할 목적으로 제작된 파밍 악성코드…10일부터 유포중



국내 인터넷뱅킹 정보를 수집할 목적으로 제작된 파밍 악성코드가 시디스페이스(CDSpace) 가상 드라이브 프로그램의 업데이트 서버를 통해 지난 9월 10일 오후 3시경부터 유포되는 것이 확인됐다. 이용자들의 각별한 주의가 요구된다.


이번 파밍 악성코드를 분석한 내용을 포스팅한 보안블로그 ‘울지않는 벌새’는 다음과 같이 설명하고 있다.

해당 악성코드 감염 방식을 살펴보면 시디스페이스 구버전이 설치된 환경에서 업데이트를 시도할 경우 "C:\Program Files\CDSpace\CDSpace8\CDSpaceUpdate.exe" 파일이 생성돼 최신 버전으로 패치가 이루어지는 과정에서 악성 파일이 다운로드될 수 있다.



15869_10926_2214.jpg
▲다운로드된 악성 파일은 외부 서버가 아닌 CDSpace 정식 업데이트 서버에서 다운로드되고 있으며 이는 서버 관리자 권한이 탈취된 것으로 추정. 울지않는 벌새 블로그 이미지


다운로드된 악성 파일은 외부 서버가 아닌 시디스페이  스 정식 업데이트 서버에서 다운로드되고 있으며 이는 서버 관리자 권한이 탈취된 것으로 보인다.

이를 통해 구버전 파일은 악성 파일로 패치가 이루어진다.

패치된 CDSpace8.exe 악성 파일은 윈도우 방화벽 설정을 변경해 외부와의 통신이 차단되지 않도록 ‘快快游戏’ 이름으로 허용 프로그램에 추가한다.

또한 기존의 CDSpace8 시작 프로그램 등록값 외에 사용자 맥어드레스 값을 기반으로 한 시작 프로그램 항목을 추가해 윈도우 시작 시 악성 파일이 자동 실행되도록 구성한다.

자동 실행된 CDSpace8.exe 악성 파일은 ‘users.qzone.qq.com’ 서비스에 등록된 특정 계정 정보를 체크해 미국에 위치한 ‘98.126.13.26’ IP 주소값을 받아온다.


이를 기반으로 웹 브라우저 실행을 통해 포털 사이트 접속 시 자동 구성 스크립트에 추가된 "127.0.0.1:1172/F240ED201BD1CF1C4248E" 주소를 통해 Proxy Auto-Config (PAC) 스크립트를 체크하도록 구성되어 있다.


난독화된 스크립트에는 15개의 국내 은행 주소가 포함되어 있으며, 사용자가 해당 주소에 접근할 경우 동일하게 제작된 가짜 금융 사이트로 연결하도록 하는 역할을 수행한다.


이는 국내 백신 프로그램들이 파밍 악성코드 대응 방식으로 호스트 파일을 감시함에 따라 호스트 파일 수정없이 가짜 사이트로 연결할 수 있도록 2016년 1월경부터 도입된 방식이다.


이를 통해 사용자가 포털 사이트 메인에 접속할 경우 금융감독원 메시지창이 생성되어 보안 인증 절차를 진행하도록 각 은행으로 접속을 유도하는 행위를 확인할 수 있다.


특히 사용자로 하여금 빠른 접근을 하도록 인터넷 익스플로러 웹 브라우저의 홈페이지 주소를 ‘네이버’로 변경을 시도한다.


하지만 웹 브라우저에서 표시된 URL 주소와는 다르게 실제로 접속된 네이버 메인 페이지 주소는 ‘www.naver.com.org’ 임을 알 수 있다.


또한 금융감독원에 표시된 국내 금융권 주소의 경우에도 웹 브라우저 상에서는 정상적인 URL 주소로 표시가 이루어진다.



1. KB국민은행 : www.kbstar.com.org

2. NH농협 : www.nonghyup.com.org

3. 신한은행 : www.shinhan.com.org

4. 우리은행 : www.wooribank.com.org

5. 한국씨티은행 : www.citibank.co.kr.org

6. 우체국 : www.epostbank.go.kr.org

7. IBK기업은행 : www.ibk.co.kr.org

8. KEB하나은행 : www.keb.co.kr.org

9. 새마을금고 : www.kfcc.co.kr.org

10. SC제일은행 : www.standardchartered.co.kr.org

11. 수협 : www.suhyup.co.kr.org

12. 신협 : www.cu.co.kr.org

13. 부산은행 : www.busanbank.co.kr.org

14. 광주은행 : www.kjbank.com.org

15. 경남은행 : www.knbank.co.kr.org


하지만 실제 연결된 금융 사이트 URL 주소는 ‘98.126.13.26’ IP 주소를 통해 연결되는 내부 주소로 구성된 파밍 사이트다.


이를 통해 동일한 디자인을 한 가짜 금융 사이트 접속 시 "보다 안전한 인터넷뱅킹 이용을 위하여 2016년9월10일부로 인터넷뱅킹 스마트폰뱅킹 텔레뱅킹 이 모든 서비스를 이용하시려면 (개인.기업)추가인증을 하신 후 이용이 가능합니다" 메시지를 생성해 개인/금융 정보를 입력하도록 유도한다.



15869_10927_2340.jpg
▲연결된 '전자금융사기예방서비스'에서는 개인정보 및 금융 정보, 보안카드/OTP 인증코드를 모두 입력하도록 한 후 계좌에 입금된 금전을 인출하는 행위가 이루어짐. 울지않는 벌새 블로그 이미지


연결된 ‘전자금융사기예방서비스’에서는 개인정보 및 금융 정보, 보안카드/OTP 인증코드를 모두 입력하도록 한 후 계좌에 입금된 금전을 인출하는 행위가 이루어진다.


감염된 CDSpace8.exe 악성코드는 실행 시마다 NPKI 공인인증서를 스캔해 존재할 경우 "C:\Users\%UserName%\AppData\Local\Temp\DFD2FD\(드라이브명)_npki" 폴더에 복사한 후 임시 폴더(%Temp%)에 ZIP 압축 파일 형태로 저장한다.


이후 "98.126.13.26/bing.php?p" IP 서버로 수집된 공인인증서가 포함된 ZIP 압축 파일을 전송하는 행위를 수행한다.

따라서 이용자는 CDSpace 가상 시디 프로그램이 설치된 환경에서는 포털 사이트 접속 시 금융감독원 메시지가 표시될 경우 메모리에 상주하는 CDSpace8.exe 프로세스를 찾아 종료한 후 제어판에서 CDSpace 프로그램을 찾아 제거할 것을 권고한다.


또한 "인터넷 옵션 → 연결 (LAN 설정) → 자동 구성 스크립트 사용" 항목에 추가된 URL 주소(127.0.0.1)를 삭제하고 반드시 체크 해제를 해야 한다.


그는 “파밍 악성코드는 일반적인 악성코드와는 다르게 금융감독원 메시지가 표시되는 등 외형적으로 인지할 수 있다는 점에서 사용자가 조금만 관심과 주의를 기울인다면 감염되어도 금전 피해로 연결되지 않는다는 점에서 인터넷 시대에서 보안에 관심을 조금만 더 가지길 바란다”고 강조했다.



★정보보안 & IT 대표 미디어 데일리시큐!★

길민권 기자  mkgil@dailysecu.com

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>


http://www.dailysecu.com/news/articleView.html?idxno=15869

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2016.09.20 18:14
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

요즘엔 사용하지 않는데...사용하는 사람은 피해가 클듯 하네요....감사합니다.

profile

agong

2016.09.20 19:35
가입일: 2016:07.02
총 게시물수: 340
총 댓글수: 8851

좋은 정보 감사합니다.

profile

회탈리카

2016.09.20 20:54
가입일: 2016:06.26
총 게시물수: 5958
총 댓글수: 4797

아직 시디스페이스 사용하시는 분들이 있군요. 정보 고맙습니다

profile

유토피아

2016.09.20 21:42
가입일: 2015:12.05
총 게시물수: 44
총 댓글수: 143

아직까지 시디스페이스가 쓰이고 있었군요..^^;

profile

다니엘헤딩

2016.09.21 00:54
가입일: 2018:10.11
총 게시물수: 2
총 댓글수: 197

바이러스 없는 세상에 살고 싶네요 덤으로 엑티브x 까지

profile

장스

2016.09.21 08:24
가입일: 2016:02.08
총 게시물수: 14
총 댓글수: 416

이젠 추억의 시디스페이스..

요즘은 데몬/알콜도 사용안하죠.

profile

HAMMER

2016.09.21 08:50
가입일: 2018:11.22
총 게시물수: 5
총 댓글수: 210

요즘은 안쓰는데...............

가끔 쓰는분들을 보긴했습니다 

profile

큐튜큐튜

2016.09.21 10:06
가입일: 2018:10.14
총 게시물수: 33
총 댓글수: 364

좋은 정보 고맙습니다.

profile

징징현아

2016.09.21 10:17
가입일: 2016:09.19
총 게시물수: 130
총 댓글수: 105

정말 오랫만에 들어보는 시디스페이스......

profile

킹초딩

2016.09.21 14:50
가입일:
총 게시물수: 0
총 댓글수: 19

진짜 오래간만에 들어보는 이름이네요

profile

경호

2016.09.21 16:56
가입일: 2016:01.04
총 게시물수: 0
총 댓글수: 59

좋은 정보 감사합니다.

profile

빽이

2016.09.21 21:02
가입일: 2015:11.28
총 게시물수: 70
총 댓글수: 499

좋은 정보감사합니다...무서운 일이네요..정식 서버가..

profile

무무심

2016.09.21 23:34
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다...

profile

아버지

2016.09.22 06:45
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

좋은 정보 입니다...!!!

profile

난달

2016.09.22 09:06
가입일:
총 게시물수: 3
총 댓글수: 67

한때 시디스페이스 애용했었는데 정보 감사합니다...

profile

나우시카

2016.09.22 19:18
가입일:
총 게시물수: 6
총 댓글수: 411

정보 감사합니다~

profile

마케니로스

2016.09.22 19:51
가입일:
총 게시물수: 3
총 댓글수: 29

오랜만에 들어보네요 시디스페이스 ㅎㅎ

profile

홈즈

2016.09.23 00:40
가입일: 2018:10.20
총 게시물수: 3
총 댓글수: 191

중요한 정보 감사합니다..


profile

별내리는바다

2016.09.24 12:59
가입일:
총 게시물수: 0
총 댓글수: 52

^^좋은 정보입니다. 저는 다행히 카스퍼스키에서 방어를 해 주었습니다.

profile

IMTERMILANO

2016.11.01 02:39
가입일:
총 게시물수: 52
총 댓글수: 165

LCD때문에 cd스페이스 사용중인데 VirtualDVD가 LCD부터 ISO까지 다 지원 가능하더군요

이걸 써야겠어요

profile

아파야낫는다

2017.05.03 07:19
가입일: 2015:11.27
총 게시물수: 7
총 댓글수: 1065

좋은 소식 감사합니다

List of Articles
등록된 글이 없습니다.