국내에서는 3가지 피해사례가 끊임없이 발견되고 있다.
1. 온라인게임 계정 유출로 인한 피해
2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해
3. 상품권 번호 유출로 인한 피해
1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다.
http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드]
http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드]
http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]
국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다.
그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.
해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다.
네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.
testsample.exe CREATE C:\WINDOWS\system32\drivers\7f12a432.sys testsample.exe CREATE C:\WINDOWS\system32\kakubi.dll testsample.exe CREATE C:\WINDOWS\system32\wshtcpbi.dll testsample.exe DELETE C:\WINDOWS\system32\wshtcpip.dll testsample.exe CREATE C:\WINDOWS\system32\wshtcpip.dll testsample.exe CREATE C:\WINDOWS\system32\drivers\03b991b4.sys testsample.exe DELETE C:\WINDOWS\system32\drivers\03b991b4.sys testsample.exe DELETE C:\WINDOWS\system32\midimap.dll testsample.exe CREATE C:\WINDOWS\system32\midimap.dll testsample.exe CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Coor.bat |
[File Monitor Information]
testsample.exe TCP CONNECT 127.0.0.1 => 2xx.16.1xx.xxx:80 testsample.exe HTTP CONNECT 127.0.0.1 => 2xx.16.1xx.xxx:80 2xx.16.1xx.xxx/xx/get.asp?mac=3F72BD929D0****9E0C0E24FDDCC4F09&os=winxp%20Professional&avs=(V3)&ps=NO.&ver=NOON testsample.exe TCP DISCONNECT 127.0.0.1 => 2xx.16.1xx.xxx:80 |
[Network Monitor Information]
감염된 상태에서 특정 사이트를 접속하여 실제 유출되는 과정을 살펴보자.
- 계정 정보 탈취
[그림1] 북**** 닷컴 로그인 화면
위의 [그림1]은 북****닷컴 사이트의 로그인 화면이며, 로그인을 하게 되면 아래와 같은 패킷이 확인된다.
[그림2] 로그인 시, 패킷 덤프
[그림2]는 패킷을 캡쳐한 화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가 전송되는 것을 확인할 수 있다.
- 상품권 정보 탈취
[그림3] 북****닷컴 상품권 입력 화면
[그림4] 상품권 번호 입력 시, 패킷덤프
로그인 후에 상품권 번호 입력을 하게 되면 로그인 계정과 마찬가지로 상품권 정보를 탈취하는 패킷을 확인할 수 있으며, 이 역시 같은 IP로 상품권 정보가 전송 된다. 테스트로 살펴본 북****닷컴 외에도 악성코드가 로드 되어 있을 때 메모리에서 아래의 사이트 String 정보들을 확인할 수 있었고 이 사이트들의 계정 정보도 탈취할 수 있다는 것을 보여준다.
aran.kr.gameclub.com login.nexon.com auth.siren24.com bns.plaync.com heroes.nexon.com www.nexon.com www.happymoney.co.kr www.teencash.co.kr www.cultureland.co.kr www.booknlife.com capogames.net dragonnest.nexon.com elsword.nexon.com clubaudition.ndolfin.com www.netmarble.net itemmania.com www.itembay.com www.pmang.com aion.plaync.jp plaync.co.kr maplestory.nexon.com fifaonline.pmang.com df.nexon.com nxpay.nexon.com baram.nexon.com (생략…) |
[그 외 해당 사이트들]
실제로 유출사례가 발견 되었고 꾸준히 발견되고 있는 악성코드인 만큼 사용자들의 각별한 주의가 요구된다.
이외에도 많은 악성코드들이 윈도우 및 응용프로그램 취약점을 통하여 감염된다.
따라서, 반드시 최신 보안패치를 설치하고, 안전성이 확인되지 않은 파일공유사이트(P2P, Torrent)등에서 받은 불법적인 파일은 실행하지 않는것이 중요하다.
▶ Microsoft
http://update.microsoft.com
▶ Flash Player 업데이트
http://get.adobe.com/kr/flashplayer/
▶ Java (JRE) 업데이트
▶ 한글과컴퓨터 업데이트 방법
<V3 제품군의 진단명>
Trojan/Win32.OnlineGameHack
'악성코드 정보' 카테고리의 다른 글
2012년 7대 보안 위협 트렌드 발표 (0) | 2012.12.28 |
---|---|
연말 숙박 예약시 주의사항 (부킹닷컴 사칭 메일) (0) | 2012.12.28 |
금융 정보 탈취 악성코드 Citadel 경고 (0) | 2012.12.26 |
Citmo 모바일 뱅킹 정보 탈취 안드로이드 악성코드 (0) | 2012.12.17 |
Autorun.inf에 쓰레기 데이터를 채운 DorkBot (0) | 2012.12.10 |
댓글