요즘 유포되는 악성코드의 대부분은 금전적 이득을 목적으로 제작된다. 소액결제를 노린 'chest' 금융정보를 노린 'bankun' 등의 능동적 수익 모델과 랜섬웨어와 같은 입금을 기다리는 수동적인 모델이 있는데, 오늘 다루고자 하는 악성 앱은 후자의 경우에 속하는 모바일 랜섬웨어를 다루고자 한다.

 

국내의 경우에는, 아직 대부분 문서작업등을 PC에서 하고 있기 때문에 PC(Windows)보다 상대적으로 위협적이진 않다. 하지만 스마트 폰에 의해 만들어진 사진, 영상 등은 스마트 폰에서 생성되는 유일한 자료라고 본다면 그렇지 않을지도 모르겠다.

 

과거 ASEC Blog를 통하여 안드로이드 랜섬웨어인 ANDROID DEFENDER에 대해 다룬 적이 있다. 해당 악성 앱은 허위 감염 내용으로 금전적 이득을 취하려는 내용이었다.

 

ASEC Blog : http://asec.ahnlab.com/974 (안드로이드 랜섬웨어)

 

이번에는 SimpleLocker 라고 불리는 랜섬웨어에 대하여 살펴보겠다. 해당 악성 앱은 스마트 폰의 파일을 암호화하고 이를 통하여 금전적 이득을 취하려고 한다. 이런 모습은 Windows 기반의 랜섬웨어와 유사하다. 이 악성앱은 지난 5월경부터 꾸준히 발견되고 있다.

 

악성 앱이 사용한 아이콘을 비교하기 위해 몇 개의 아이콘을 확인해봤다. 안드로이드, iGO, Flash player의 아이콘을 사용함으로써 사용자를 속이기 위한 것으로 보인다.

 

[그림 1] 랜섬웨어의 아이콘

 

위 악성 앱(iGO아이콘)을 설치하는 과정에서 아래와 같은 권한과 휴대폰 관리자 권한을 요구한다. 앱을 설치하면 4PDA(iGO) 러시아 페이지를 보여준다.

 

[그림 2] SimpleLocker 설치

 

휴대폰 관리자를 활성화 할 경우 보여지는 페이지의 소스

[그림 3] 4pda 페이지 로딩 소스

 

악성 앱의 패키지명은 com.simplelocker 이며, Android 4.2 버전에 맞춰서 제작되었다.

 

Android 4.2, 4.2.2

17

JELLY_BEAN_MR1

[표 1] 악성 앱 Android 제작 버전

[그림 4] 악성 앱의 권한정보

 

악성 앱 설치 후에는 스마트폰의 디바이스 정보(IMEI)를 전송한다.

 

[그림 5] 디바이스 정보 전송

 

실제 전송되는 패킷을 살펴보면 아래와 같다.

[그림 6] 디바이스 정보 전송 패킷

 

이후 스마트폰에 저장된 문서, 이미지, 동영상 파일을 'jddlasssadxc322323sf074hr' 키 값으로 암호화한다.

 

또한, 암호화한 파일의 끝에 '.enc' 확장자를 추가하여 저장하며, 원본 파일은 삭제한다. 암호화 대상 파일은

'jpeg', 'jpg', 'png', 'bmp', 'gif', 'pdf', 'doc', 'docx', 'txt', 'avi', 'mkv', '3gp', 'mp4' 이다.

 

[그림 7] 암호화 대상 파일 리스트

 

암호화된 파일은 아래 그림과 같이 확장자가 추가되었다. 일반적으로 이미지(사진) 파일은 갤러리 앱으로 보게 되는데, [그림 8]과 같이 암호화된 경우에는 사진 목록에서 확인할 수 없게 된다.

 

[그림 8] 암호화된 파일

 

 추가적으로 Flash Player 아이콘으로 위장하고 com.common.weather 패키지명을 사용하는 랜섬웨어 악성 앱의 증상을 살펴보겠다. 스마트폰의 기기모델명, IMEI, 전화번호, 통신사, 국가 정보를 가져와 첫 화면에 표시하고, 불법 저작권 및 관리법 위반에 해당하므로 벌금을 내지 않을 경우 2~8년 동안 자유를 박탈하겠다고 협박한다.

 

[그림 9] 랜섬웨어 악성 앱 설치 화면

설명이 장황하지만, 랜섬웨어에 자주 등장하는 단어들이 보인다. 'FBI', 'pornography', 'card with $500' 요약하자면 잠긴 스마트폰을 풀고, 파일을 복호화 하고 싶으면 $500를 입금하고, 입금이 확인되면 미국 재무부에서 24시간 안에 차단을 해제해 주겠다는 내용이다.

 

"To unlock your device and avoid legal persecution to the maximum extent of the law, you are obligated to pay a fine of $500. Acceptable payment must be made through GreenDot MoneyPak. Load a MoneyPak card with $500 and enter the code below. MoneyPak cards can be found in most stores, gas stations and paypoints." (중략)

"As soon as the money arrives to the U.S. Department of the Treasury, your device will be unblocked in 24 hours."

 

[그림 10] FBI 를 사칭한 협박과 금전 요구

화면 중간에 스마트폰 사용자가 보이도록 카메라를 설정했다. 그리고 자신을 범죄자처럼 묘사했다.

 

"Your camera is used for gathering additional information for investigation. All the footage will be added to a criminal case."

 

대부분 랜섬웨어에 감염된 스마트폰은 사용자의 제어를 불가능하게 만든다. 다른 앱의 실행은 물론, 악성 앱 삭제를 할 수 없도록 여러 가지 방법을 사용한다. 이런 경우에는 스마트 폰을 "안전모드"로 부팅하여 "기기 관리자(휴대폰 관리자)"를 비활성화하여 삭제하면 된다.

 

제조사 별로 안전모드에 접근하는 방법은 다양하다. 사용자가 많은 2개 제조사의 안전모드 부팅 방법은 아래와 같다.

 

LG : 전원버튼 -> "전원끄기" 메뉴를 길게 누르고 있으면 안전모드 부팅 메시지가 보인다.

삼성 : 리부팅 시 통신사 로고가 나올 때 '메뉴' 버튼에 불이 들어오는데 이때 '메뉴'버튼을 누르고 있으면 안전모드로 부팅 된다.

 

기기관리자 권한을 획득한 악성 앱을 삭제하려면 아래의 순서로 조치하면 된다.

 

안전모드로 부팅 후, [설정] – [기기관리자(휴대폰 관리자)] 메뉴에서 악성 앱을 비활성화(체크해제)해준다.

다음으로 애플리케이션 목록에서 해당 앱을 제거하면 된다.

 

[그림 11] 기기관리자(휴대폰 관리자) 악성 앱의 권한(체크해제) 및 제거

 

 요즘은 간단한 작업이나 인터넷을 이용할 경우, PC보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 따라서 앱은 공식 마켓에서 다운로드 하여 설치하는 것이 상대적으로 안전하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 지녀야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL 및 앱은 설치는 하지 않도록 주의해야 한다. 또한, 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 더욱 안전한 스마트폰 환경을 만들어야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/Simplelock

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다.

 

 

 

/index.htm - 악성 파일을 로드

/제목 없음.jpg - 사용자를 속이기 위한 그림 파일

/msupdate.exe - 악성 파일

[표 1] CHM에 포함되어 있는 파일들

 

악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다.

[그림 1] CHM 실행 화면 (제목 없음. JPG)

처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다.

 

[그림 2] object 태그를 이용하여 악성 파일(msupdate.exe) 실행

 

msupdate.exe는 리소스 영역에 [표 2]와 같이 DLL을 포함하고 있으며, 실행 시 해당 DLL을 'Application Management'라는 이름의 서비스로 등록시킨다. (서비스 메인 이름 'iamcoming')

 

[표 2] 리소스 영역에 포함하고 있는 DLL(위) & 해당 DLL을 서비스로 등록(아래)

 

등록된 DLL은 C&C인 express.xxxxxx.com: 80 (1x5.4x.2xx.1xx)와 통신하는데 사용자 컴퓨터 명과 IP 등의 시스템 정보를 수집하여 서버로 보내고 두 개의 스레드를 생성해 명령을 주고받는다. 이때의 패킷은 암호화되어 있는데 보낼 때에는 0x67 받을 때는 0x11 로 각각 XOR연산하여 보낸다.

 

[그림 3] 난독화된 패킷 (좌), 복호화 된 패킷(우)

 

해당 악성코드는 서버에서 받아온 명령(ipconfig /all, cd, dir 등)을 통해 PC에 있는 디렉터리 리스트나 IP 정보를 계속 유출하고 있었고, 서버에서 받아온 명령을 그대로 실행해서 더 많은 악성 행위가 이루어질 가능성이 있다. 따라서 메일로 오는 의심스러운 CHM 파일은 열어 보지 않는 등, 사용자의 각별한 주의가 필요하다.

 

 

V3 제품에서는 아래와 같이 진단 가능하다.

 

<V3 제품군의 진단명>

 

Dropper/Agent (2014.10.31.05)

Trojan/Win32.Backdoor (2014.10.30.03)

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

PlugX 형 악성코드는 지난 2012년 국내에 최초 발견되었으며, 발견 당시 APT 형태의 백도어 파일로 감염이 제한적으로 이루어졌으나, 최근에는 불특정 다수의 개인 사용자들을 대상으로 한 공격 시도가 발견되고 있어, 사용자의 주의가 요구된다. 

PlugX 형 악성코드는 '정상 프로그램(EXE)' + '악성 DLL 모듈' + '암호화된 데이터파일' 3가지가 조합된 형태로 배포된다. 악성코드 제작자는 정상 프로그램(EXE)이 실행 시 함께 구동하는 DLL 파일을 (파일명은 정상파일이나, 악성기능을 갖는) 악성파일로 제작하여 배포하고 있으며, 사용자가 정상파일(EXE)을 실행 시, 자동 로드되는 악성 DLL 파일에 의해 악의적인 기능이 수행되도록 한다.

또한, 함께 배포되는 데이터파일은 다양한 확장자 형태로 발견되고 있으며, 내부에는 2차 악성파일이 압축+암호화되어 존재한다. V3에서는 이처럼 정상파일의 동작 구조를 악용하여, 동작하는 악성코드를 PlugX 형태의 악성코드로 분류하고 있다. 

최근 발견되는 샘플은 기존 알려진 정상 프로그램과 달리 새로운 모듈들이 발견되고 있으며, 내부적으로 사용하는 쉘 코드(Shell Code) 및 2차 악성파일인 키로거(Keylogger) 파일이 압축+인코딩된 형태로 유포되고 있어, 백신의 탐지를 어렵도록 한다.


 

1. 동작과정

아래의 [그림-1]은 2014 9 접수된 PlugX 악성파일의 실행 흐름을 나타낸다. "dvcemumanager.exe" 파일은 정상 프로그램이며, "DESqmWrapper.dll" 이라는 이름의 DLL 모듈을 구동하는 기능을 갖고 있다. 여기서 악성 파일은 "DESqmWrapper.dll" 파일이며, 내부에 암호화된 데이터파일 "DESqmWrapper.wrapper" 을 참조하여 2차 악성파일을 메모리 상에서 생성/구동하는 기능을 수행한다.

[그림-1] PlugX 동작과정 (2014년 9월)


2. 주요기능

최초 악성 드로퍼(Dropper)는 실행 후, 아래의 [그림-2]에서 처럼 특정경로에 파일들을 생성하며, 해당 폴더 및 파일들에 숨김 속성을 부여하여, 사용자가 쉽게 발견할 수 없도록 한다.


[그림-2] PlugX 악성코드 감염 시, 폴더의 내용


[그림-2]에서 생성한 파일들의 구성은 다음과 같다.

(1) "dvcemumanager.exe" : 정상 프로그램

(2) "DESqmWrapper.dll" : 악성파일

(3) "DESqmWrapper.wrapper" : 악성 데이터 파일 ('쉘코드' + '2차 악성 키로거 파일 압축+암호화')

(2) "dazc" : 키로깅 정보 저장 시 사용하는 데이터 파일

(3) "wzplkblzouebjhscu" : 8바이트 데이터 파일

 

 

악성 "DESqmWrapper.dll"파일의 주요기능은 자신을 구동한 정상 EXE 프로세스의 메모리 영역을 패치(Patch)하여 DLL 의 코드를 수행하도록 강제 분기시키며, "DESqmWrapper.wrapper" 데이터파일을 읽어 내부에 존재하는 쉘코드를 구동한다.

 

아래의 [그림-3]은 각 단계별 동작을 설명한다.

[그림-3] PlugX 단계별 동작과정

 

(1) 정상 "dvcemumanager.exe" 파일의 동작 구조에 의해 동일폴더의 악성 "DESqmWrapper.dll" 파일이 로드된다.

(2) 악성 DLL의 EntryPoint Code가 실행되면 자신을 로드한 EXE 프로세스의 다음 명령어 코드를 JMP 코드로 패치(Patch)하여, DLL 메인코드가 실행되도록 한다.

(3) 실행흐름은 DLL 코드로 분기하며, EXE 파일의 이후 코드는 동작하지 않는다.

(4) 악성 DLL의 메인코드가 실행되면 동일 폴더의 "DESqmWrapper.wrapper" 파일을 메모리에 읽어들여 해당 쉘코드를 실행한다.

(5) 로드된 쉘코드는 디코딩 루틴을 수행하며, svchost.exe 프로세스를 생성하며 메모리에 디코딩된 코드를 주입(Inject)한다.

(6) svchost.exe 프로세스에 인젝션된 코드는 키로깅, 시스템 정보유출, 화면캡쳐 등의 백도어 기능을 수행한다.

 

 

[그림-4]는 [그림-3]의 (2) 단계에 해당하는 메모리 패치코드 영역이다.

[그림-4] PlugX에 의해 메모리 패치된 JMP 코드

 

해당 DLL 코드가 실행되면 [그림-5]와 같이 동일 폴더내의 "DESqmWrapper.wrapper" 파일을 읽은 후, 실행한다.

 [그림-5] "DESqmWrapper.wrapper" 파일을 참조하는 부분

 

"DESqmWrapper.wrapper" 파일은 외형적으로는 정상적인 데이터 파일로 보이나 실제로는 동작 가능한 쉘 코드로 이루어져 있다

2012년 접수되었던 PlugX 악성코드와의 차이점은, 해당 쉘 코드의 진단 회피를 위해 인코딩(Encoding)된 형태로 배포하고 있으며, 메모리에 로드된 이후에 인코딩된 코드를 디코딩(Decoding)하여 유효한 명령어를 재조합한다.

 

 [그림-6] 2012년 접수된 PlugX 쉘 코드 파일

 

쉘 코드는 아래의 [그림-7]와 같이 여러 반복문 통해 디코딩 작업이 이루어진다.

[그림-7] 셀코드 디코딩 과정

 

또한, 정상 "svchost.exe" 프로세스를 생성하여, 해당 프로세스 메모리 영역에 악성코드를 삽입(Injection)하며 주기적으로 악의적인 동작을 수행하도록 한다.


[그림-8] 인젝션된 svchost.exe 프로세스

 

PlugX 악성코드에서 유출하는 정보는 다음과 같다.

- 활성화된 프로세스 클래스명

- 실행중인 프로세스 경로 

- 악성코드가 동작하는 시스템의 시간정보

- 사용자 이름

- 컴퓨터 이름 

- 키보드 입력 값

- 파일/디스크 정보

- 화면캡쳐

 

 

PlugX는 윈도우 시스템 구동 시, 자동으로 동작하도록 하기위해 다음의 레지스트리값을 등록한다.

HKLM\SYSTEM\CurrentControlSet\Services\DEManager\ImagePath

> "C:\Documents and Settings\All Users\DRM\DEManager\dvcemumanager.exe"

HKLM\SYSTEM\CurrentControlSet\Services\DEManager\DisplayName

> "DEManager"

HKLM\SYSTEM\CurrentControlSet\Services\DEManager\Start

> 0x2

 

획득한 정보는 아래의 [그림-9]와 같이 인코딩하여 "dazc"파일로 저장한다.

 [그림-9] 유출정보 암호화된 형태


"svchost.exe" 프로세스에 인젝션된 코드는 공격자 C&C 서버에 접속하기 위해 주기적으로 연결을 시도하며 주소는 악성코드 내부에 고정되어 있다.

- 1*3.*41.5*.42:80

 

[그림-10] 전송되는 패킷 덤프

 

3. 진단

V3 제품군에서는 해당 PlugX류 악성코드를 다음과 같이 진단한다.

MD5

파일명

진단명

65F2D9866F52B8E8770E81EC327804EA

DESqmWrapper.dll

Trojan/Win32.Agent

1BA72A47060E965F5A8BF079702BFBED

DESqmWrapper.wrapper

BinImage/Plugx

B631661F8A4D0BC8DCEEA0BBD16F53C0

RasTls.dll

Trojan/Win32.PlugX

8DF01FBF7F9B72F56AF6FAE71C2C33C4

RasTls.dll.ak

BinImage/Plugx

 


 

 

신고
Creative Commons License
Creative Commons License
Posted by a0_zest


보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 


이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 


2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다.   


2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다.  취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다.





 



취약점을 가진 워드에서 변조된 문서를 열면 dll 파일이 떨어지고 실행된 후 ~KB8467501.tmp 파일에 최종 감염된 백도어 코드를 쓴다. 


 



시스템에는 최종적으로 KB01b80cc5.dll 등의 이름을 가진 백도어 파일에 감염된다.




국내에서도 2011년 봄 동일한 CVE-2010-3333 취약점을 이용한 공격이 존재했었다. 


 



국내에 발견된 변형은 내부에 RAR로 압축된 파일을 포함하고 있었다.



관련 악성코드는 특징적으로 익스포트(Export) 함수에 SafeSvcInstall, SafeSvcMain, SafeSvcUninstall가 존재한다. 의심스러운 파일 중 해당 익스포트 함수를 가지고 있다면 분석을 위해 보안 업체에 신고하자.  





 


백도어 프로그램으로 원격 제어, 키로깅 등의 기능을 가지고 있다.


ASD(AhnLab Smart Defense)에 수집된 파일 중 동일 익스포트 이름을 사용하고 있는 파일은 2010년 부터 약 200 개가 수집되었다. 이들 파일의 관련성은 추가로 파악해봐야 알 수 있지만 동일 공격자 혹은 동일 그룹의 소행이라면 적어도 2010년 이후 4년 동안 국내외를 대상으로 꾸준한 공격 시도 가능성이 높다.


V3 제품군에서는 다음과 같은 진단된다.


Backdoor/Win32.Etso

Dropper/Exploit-cve-2010-3333

Trojan/Win32.Etso

Dropper/Agent.145096

Rtf/Exploit

 

안랩에서는 관련 공격을 계속 추적할 예정이다.


[참고자료]


- http://cryptam.com/docsearch.php?sha256=52c5131ad098721be54d9d8a2f6ab3f07375239339b44d26096d80f1458e3aa2


- http://cryptam.com/docsearch.php?sha256=11f60c5fee574c21ffdde162c076a81dc01a2f92846862bee2b3a405ec3486a5



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7

 

 요즘 스마트폰을 이용하는 사람은 어느곳에서나 쉽게 찾아 볼 수 있게 되었다. 스마트폰의 편리하고 다양한 기능이 많은 사람들을 스마트폰 유저로 만든 것이 아닐까? 이러한 스마트폰의 다양한 기능을 이용하다 보면, 폰에는 자연스럽게 많은 정보들이 쌓이게 된다. 편리하고 유용한 스마트폰이지만, 쌓이는 정보가 많을 수록 주의해야하는 점도 많아지게 되었다. 스마트폰의 정보를 탈취하는 대표적인 악성앱은 "스미싱"의 형태로 유포되는 "BANKUN" 이다. BANKUN 의 의미는 Bank Uninstall 의 줄임말이다. 의미 그대로 정상적인 은행앱의 삭제를 유도하고, 악성앱의 설치를 시도하는 악성코드 이다. 이러한 유형의 악성코드를 살펴보고, 감염되지 않도록 예방하는 방법에 대해 살펴보자.

 

 아래 그림은 안랩의 "안전한 문자"앱에서 최근 유행하는 스미싱의 유형을 알려주는 화면이다. 이러한 기능을 통해 유행하는 스미싱에 대하여 사전에 인지하고, 설치하지 않도록 주의하자.

[그림 1] 안랩 "안전한 문자" 스미싱 알림 기능

 

 돌잔치를 가장한 스미싱은 과거에도 유행 했었지만, 최근에 다시 유행하고 있다. 최근 트렌드 알림 "돌잔치 초대장"이 얼마나 많이 악용되고 있는지 확인해 보자.

 

[그림 2] 최근 트렌드중 "돌잔치 초대장"

 

 "돌잔치 초대장"으로 유포중인 악성앱중에 하나를 살펴보자. 문자메시지의 링크를 클릭하면, 아래와 같은 악성앱을 다운로드 받게된다. 패키지명은 com.sdwiurse 이고, 앱의 이름은 googl app stoy 이다.

 

[그림 3] 악성앱 권한(좌) / 설치 후 아이콘(우)

 

[그림 4] 악성 앱의 권한정보

 

 권한정보를 살펴보면 메시지, 주소록, 저장소, 전화통화 등에 접근이 가능하다. 이것은 해당 내용을 수집할 가능성이 있다고 짐작 할 수 있다.(물론 정상앱에서도 사용할 수 있는 권한이다.) 악성앱이 설치되면 스마트폰에 설치되어 있는 은행앱이 무엇인지 확인하여, 그 은행에 해당하는 금융정보 탈취를 시도한다.

 

[그림 5] 스마트폰에 설치된 앱 체크리스트

 

 악성 앱을 실행하면 아래와 같은 과정이 진행된다. 사용자를 속이기 위해 "공지사항"과 같은 내용을 사용하며, 가짜 이미지를 이용해 백신이 동작중인 것처럼 위장하기도 한다.

 

[그림 6] 악성 앱 설치 화면

 

이후 사용자의 금융정보를 탈취하기 위해 공인인증서와 개인정보를 수집한다.

아래는 스마트폰 기기정보와 사용자가 입력하는 정보를 탈취하는 코드중 일부이다.

[그림 7] 정보 수집 코드


 

사용자의 이름, 주민번호, 계좌번호, 비밀번호, 보안카드 번호와 같은 개인 정보의 입력을 유도하고 있다.

  

[그림 8] 금융정보 입력 창


 

위와 같은 정보탈취 뿐만 아니라 추가적인 악성 앱의 설치를 시도한다.

  

[그림 9] 추가 악성앱 설치 유도

 


악성 앱에 의하여 수집된 기기정보, 공인인증서, 금융정보는 메일서비스를 이용하여 특정 메일주소로 발송 한다.

[그림 10] 메일 서비스를 이용한 정보 탈취

 


탈취된 정보는 악성코드 제작자의 메일로 전송되며, 그 정보는 아래와 같다. 

[그림 11] 악성코드 제작자의 메일함

 


메일의 첨부파일에는 공인인증서와 금융정보가 압축되어 있다.

[그림 12] 금융정보 및 공인인증서

 

 [그림 8]에서 입력한 금융정보(이름, 계좌번호, 비밀번호, 패스워드, 보안카드 일련번호, 공인인증서 암호, 주민번호)는 아래와 같이 전송한다.

[그림 13] 사용자가 입력한 금융정보

 

 요즘은 PC 보다 스마트폰을 이용하는 경우가 많아졌다. (2014년 7월 기준 스마트폰 가입자: 39,348,621명, 출처: 지식경제부 IT통계포털) 가입자의 증가와 더불어 악성 앱 역시 증가했다. 앱은 공식 마켓에서 다운로드 받아 설치하는 것이 상대적으로 안전하다. 하지만, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 확인하고 설치하는 습관을 가져야 한다. 무심코 문자에 포함된 URL을 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 안전성이 확인되지 않은 URL에 접근하여 앱을 설치 하지 않도록 주의해야 한다. 또한 모바일 전용 보안 앱(V3 모바일 등)이나 스미싱 탐지 앱(안랩 안전한 문자 등)을 설치하고, 자동 업데이트 설정으로 항상 최신 엔진을 유지하여 보다 안전한 스마트폰 환경을 만들어야 한다.

 

 

V3 제품에서는 아래와 같이 진단이 가능하다

 

<V3 제품군의 진단명>

Android-Trojan/Bankun

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@


싸보봇(SsaboBot)은 보싸보(Bossabo), 보싸봇(BoSSaBot) 등으로 불리며 2013년 말 최초 발견되었다. 싸보봇 v2는 싸보봇의 개선 버전으로 2014년 8월부터 발견되었으며 국내에도 변형이 2014년 9월 발견되었다.


싸보봇은 UPX로 패킹되어 있으며 악성코드 내에 ‘BoSSaBot’과 관련된 문자열이 존재한다. 


 




악성 IRC봇이며 다음 IRC서버로 접속한다. (변형에 따라 접속 주소가 다름)


- srv5050.co

- ka3ek.com

- ircqfrum.com

- 8rb.su


 



PHP-CGI 취약점(CVE-2012-1823)을 통해 전파된다.




 

다른 리눅스 악성코드가 대부분 디도스(DDoS) 공격 기능에 중점을 두고 있지만 싸보봇은 비트코인(Bitcoin) 등의 가상화폐 채굴 프로그램을 다운로드 후 실행한다. 금전적 이득을 위해 제작된 리눅스 악성코드이다. 그외 프락시(Proxy), SOCKS5 기능 등이 존재한다.



 


리눅스 시스템 내 실행 프로세스 중 사용자가 모르는 minerd가 존재한다면 싸보봇 변형에 감염되었을 가능성이 높다.


V3 제품군에서는 다음의 진단명으로 진단한다.

- Linux/IRCbot

- Linux/SsaboBot


관련 샘플의 md5 값은 다음과 같다.


e9bb00d0faea2529cd5cc64147affdc4

8e437d8208ba6ea41692ad7aa47b763d

4091fbd79870952f8be6361c31485b3b



해당 악성코드에 대한 추가 정보는 아래 사이트에서 확인 할 수 있다.


- New Bot Malware (BoSSaBoTv2) Attacking Web Servers Discovered



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7



유명 비즈니스 중심 소셜 네트워크 서비스인 링크트인(Linkedin)에서 보낸 메일로 가장해 링크트인 계정 정보를 훔치려는 피싱 메일이 발견되었다.


- 발신자: no-reply@linkedin.com

- 제목: Linkedin Alert.





‘View Now’를 클릭하면 다음 주소로 연결되고 링크트인 로그인 페이지가 뜬다. 


http://drum*****.com/htp/www/linkedin_com






하지만, 해당 웹사이트 주소는 파키스탄의 병원으로 공격자는 특정 병원 홈페이지를 해킹해 공격에 이용했다. 


꾸준히 발견되고 있는 간단한 피싱 공격이지만 사용자가 착각해 로그인 정보를 입력하면 그대로 계정 정보가 유출되고 인적 관계가 알려져 또 다른 공격에 이용 될 수 있다. 따라서, 서비스 업체에서 보낸 메일 중 로그인을 요구하는 사이트는 주소를 다시 한번 확인해야 한다.



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7

2014년 7월 31일 US CERT는 포스 시스템(Pos system)을 노린 악성코드 Backoff에 대해 경고했다. 


보고서에 따르면 2013년 10월부터 2014년 7월까지 활동했다고 한다. 


안랩에서는 관련 악성코드 변형을 확인하던 중 보고서에 언급되지 않은 변형을 발견했다.


Backoff는 악성코드 내 버전 정보를 포함하고 있으며 ‘1.56 wed’와 ‘1.57 NEWGRUP’ 버전이 추가 발견되었다.




악성코드에 감염 되면 다음 위치에 오라클 자바(Oracle Java)로 가장한 악성코드를 생성한다.


 %USERPROFILE%\application data\oraclejava\javaw.exe


또 104.28.25.xxx:80, 81.4.111.xxx:80와 통신한다.


V3 제품군에서는 Trojan/Win32.Backoff로 진단된다.


관련 샘플의 MD5는 다음과 같다.


0b464c9bebd10f02575b9d9d3a771db3

d0f3bf7abbe65b91434905b6955203fe





저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7

 

 지난 4월 16일 수요일 아침. 대한민국 국민들은 믿기지 않는 소식을 접하게 된다. 그것은 세월호 침몰 사고 였다. 지금도 그 당시의 충격이 가시지 않고 있다. 유가족 뿐만 아니라 대한민국 국민 모두가큰 슬픔에 잠겨 있었지만, 세월호와 관련된 허위사실이 SNS로 유포되거나, 악용된 '스미싱' 등이 슬픔에 잠긴 국민들에게 다시한번 돌이킬 수 없는 상처를 주고 있다.

 

'스미싱' 이란 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱(apk)을 다운로드 받게되고,이 앱을 스마트폰 사용자가 설치/실행하게 되면,사용자의 개인정보 및 금융정보를 탈취 당하게 된다.

 

세월호 관련 '스미싱' 문자는 "실시간 속보…", "침몰 그 진실..", "생존자 확인…" 등과 같은 문구를 이용했으며, "세월호 사칭 스미싱 대처 방법" 같은 어처구니 없는 어휘를 사용하기도 했다.

실제 원문은 아래와 같이 다양하게 발견되었다.

스미싱 발송 날짜

원문

5 01 목요일

세월호기부상황 조회 3**.net/y7A

4 23 수요일

23 9시경 실종자6 구조성공이다.ㅊㅋㅊㅋ http://goo.gl/**mMVX

4 22 화요일

[속보]세월호 3호창 생존자 2 발견 http://goo.gl/**Wgnd

4 21 월요일

단원고 학생·교사 78 생존 확인 http://ww.tl/**m

4 21 월요일

세월호 사칭 스미싱 문자 추가 발견..주의 당부 스미싱 대처방법 t.**t99.info

4 20 일요일

세월호 침몰  진실은... http://ww.tl/**so

4 20 일요일

믿기 어려운 세월호 침물 관련 충격 영상 공개 !!http://goo.gl/**kuii

4 20 일요일

세월호 침몰  진실 ...  http://goo.gl/**uX6D[FW]

4 19 토요일

세월호 사칭 스미싱 문자 추가 발견…주의 당부 스미싱 대처방법http://goo.gl/**X4r1

4 19 토요일

[GO! 현장세월호 구조된 6 어린이 http://126.107.**.204/

4 19 토요일

*실시간속보[세월호]침몰사망자55명더늘어*동영상보기 hosisting.**fo

4 18 금요일

[여객선침몰청해진해운 "승선자 명단 없는 사망자명단 kowa.**rtit.com

4 18 금요일

세월호 침몰  진실은...~http://ztc.me/**d

4 18 금요일

세월호 침몰  진실은...http://ww.tl/**ws

4 18 금요일

[연합뉴스]여객선 (세월호)침몰사고 구조현황 동영상 http://goo.gl/**buRb

4 18 금요일

*(실시간속보세월호침몰 사망자 25명으로 늘어..검색더보기 www.sto**paint**.net

4 18 금요일

*실시간속보세월호침몰 사망자 25 늘어 더보기 http://psm8060.h**web.net/ADT.apk

  [표1] 세월호 관련 스미싱 


악성 앱이 사용한 아이콘은 구글 마켓과 세월호 사진 등으로 만들어져 있었다.

 

[그림1] 악성 앱이 사용한 아이콘

 

이러한 세월호 관련 스미싱 악성 앱은 사용자의 연락처 정보, 디바이스 정보, 금융정보를 탈취하여 외부 서버로 전송 하도록 설계되어 있었다.

 

이번 세월호 사건을 악용한 스미싱 제작자는 지난 2014년 1월 카드사 정보유출 사건을 악용하기도 했다.

당시 사용된 메시지와 아이콘은 아래와 같다.

[그림2] 카드사 정보 유출 스미싱(좌) / 악성 앱 아이콘(우)

 

 악성 앱은 스마트폰에서 사용중인 은행 앱을 체크하여, 해당 은행 앱으로 위장한 악성앱을 다운로드 받는 기능이 존재하는데, (카드사 정보유출 사건과)대상 패키지명(은행 앱)이 동일하며, 정보를 탈취하고 전송하는 서버주소의 매개 변수 값도 동일하게 구성되어 있다. 또한 서버주소는 수시로 변경 가능하도록 C&C 명령을 받아 수행하도록 설계되어 있다.

[그림3] 대상 패키지 및 정보 탈취 서버정보의 일부 코드, 카드사 정보유출 사건(좌) / 세월호 사건(우)

 

스미싱 피해를 막기 위해서는 의심스러운 문자메시지의 URL은 클릭하지 않고 스마트폰에 백신 앱을 항상 최신 버전으로 유지해야 한다.또한, "안전한 문자"와 같은 스미싱 예방을 도와주는 앱을 설치하면 좀더 안전하게 스마트폰을 사용할 수 있다.

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

 

뿐만 아니라, 세월호 사건을 악용한 피싱 사이트도 발견 되었다.

트위터에 수많은 사용자의 이름으로 해당 내용이 게시된 것을 확인 할 수 있었다.

[그림4] 세월호 사건의 허위 SNS내용

 

또한 해당 피싱 사이트는 유명 커뮤니티에서도 발견되었다.

[그림5]세월호 사건을 악용한 피싱 사이트

 

 

작성자의 다른 글도 세월호 사건을 언급하고 있다.

[그림6] 동일 작성자에 의해 5/8일 게시된 글

 

해당 피싱 사이트는 NAVER 로그인 페이지로 위장되었으나,자세히 보면 로그인 FORM 과 위치가 맞지 않다.

[그림7] 정상적인 네이버 로그인 페이지(좌) / 악의적인 피싱 사이트(우)

 

사용자가 입력한 아이디와 패스워드는 대만에 위치한 서버(피싱 사이트)로 전송한 후, 정상적인 네이버 페이지에 접속 한다.

 

[그림8] 사용자가 입력한 ID/PW 를 피싱 사이트로 전송하는 페이지 소스코드

 

해당 데이터 패킷을 보면, 아이디와 패스워드가 전송되는 것을 볼 수 있다.

[그림9] 사용자의 계정정보가 전송되는 네트워크 패킷

 

 특히,이번 세월호 관련 스미싱 악성 앱은 국민적 관심과, 슬픔을 돈벌이로 이용하려는 범행 수법으로, 아주 악렬하기 때문에 꼭 검거되어, 강하게 처벌 받기를 바란다.

 

 스미싱 범죄는 '정보통신망이용 촉진 및 정보보호 등에 관한 법률'에 의거 처벌 받을 수 있으며,개인정보 무단 수집의 경우 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.

 


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

최근들어 사용자 시스템의 호스트파일(hosts) 변조를 통한 은행 피싱사이트 방문 유도 및 이를통한 금융정보 유출을 시도하는 악성코드가 빈번하게 발생하고 있다. 관심있게 볼 부분은 3월말부터 접수되는 이러한 유형의 악성코드 내부에는 'Gh0st' 라는 이름의 원격제어 툴이 함께 배포되고 있다는 점이다. 현재 확인된 'Gh0st' 원격제어 툴의 버전은 3.75 버전이며, 이는 다양한 형태의 DDoS 공격기능을 포함하고 있다. 즉, 공격자는 악성코드에 감염된 사용자로부터 금융정보를 탈취하려는 목적 외에 특정 사이트에 대한 DDoS 공격을 위한 좀비PC로도 활용하려는 것으로 추정된다. 'Gh0st' 원격제어 툴에서 갖는 DDoS 기능은 2011년 국내기관 DDoS 공격에 사용된 '카스'라는 툴과 유사한 기능을 갖는다.

 

 

1. 악성코드 감염

 

현재까지 확인된 Gh0st 3.75 버전의 DDoS 공격기능을 갖는 뱅킹악성코드의 감염은 크게 2가지 형태로 이루어지고 있다. 아래의 [그림-1]은 다양한 파일공유 사이트를 통해 다운로드 받은 (정상파일을 위장한) 애드웨어 프로그램에 의해 감염이 이루어지는 것을 나타낸다. 특정 시점에 원래 배포되던 애드웨어 프로그램이 뱅킹악성코드로 교체된 것을 알 수 있다.

 

[그림-1] 뱅킹악성코드 감염사례(1)

 

아래의 [그림-2]는 취약한 웹페이지 접속을 통해 악성 사이트로 리다이렉션(Redirection)이 이루어지며, 이를통해 뱅킹악성코드에 감염된 사례를 나타낸다.

 

[그림-2] 뱅킹악성코드 감염사례(2)

 

[그림-1]과 [그림-2]를 통해 감염된 (B)그룹(붉은색 표시)의 악성파일들이 뱅킹악성코드를 나타내며, 과거에는 단순히 뱅킹정보 유출기능만을 갖고있었으나, 3월말부터 발견된 파일의 경우, 'Gh0st' 원격제어 툴이 함께 포함되어 배포되고 있다. 2012년에도 이와 유사한 내용의 분석정보가 소개된 적이 있다. (참고: http://erteam.nprotect.com/333, "[긴급]국내 인터넷뱅킹용 악성파일 유포조직 원격제어 시도") 당시에 사용된 원격제어 툴도 'Gh0st'로 현재와 동일하다. 하지만, 현재 발견되고있는 악성코드의 경우, 'Gh0st' 모듈이 별도의 파일(DLL형태)로 생성되지 않고 메모리상에서만 존재한다. 또한, 과거 발견 악성코드의 경우, DDoS 공격기능이 없는 단순히 원격제어(파일전송, 키로깅, 화면캡처, 명령쉘 실행 등)를 위한 버전이었다는 차이를 갖는다.

 

아래의 [그림-3]은 (B)그룹의 뱅킹악성코드 프로세스 메모리 영역 중, 0x10000000 주소부분을 나타내며, 'Gh0st' 3.75 버전의 클라이언트 모듈임을 확인할 수 있다.

 

[그림-3] 메모리상의 'Gh0st' 3.75 버전의 클라이언트 모듈

 

 

2. Gh0st RAT(Remote Access Trojan) - 3.75 버전

 

아래의 문자열 정보는 뱅킹 악성코드의 메모리 영역 중 0x10000000 주소영역에 존재하는 'Gh0st' 모듈 내부에 존재하는 것으로, DDoS 공격과 관련된 부분을 나타낸다. 이외에도 다양한 원격제어 기능 및 특정 AV 제품관련 프로세스 강제종료, 윈도우 방화벽관련 서비스 중지등의 기능을 갖는다.

 

(1) TCP, UDP, ICMP, SYN 공격관련

\DNM.ini
\DN.ini
\UDM.ini
\UD.ini
\SYM.ini
\SY.ini
\SPM.ini
\SP.ini
\ICM.ini
\IC.ini 

 

(2) HTTP 공격관련

GET /%s HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, application/QVOD, application/QVOD, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE %u.0; Windows NT %u.1; SV1; .NET4.0C; .NET4.0E; TheWorld)
Host: %s
Connection: Keep-Alive

 

아래의 [그림-4]는 'Gh0st' 3.75 버전의 공격자 서버 모듈 실행 시 화면이며, DDoS 공격방식 및 공격대상 지정, 파일 다운로드 주소를 설정하는 부분을 나타낸다. 다양한 DDoS 공격방식(HTTP, TCP, UDP, ICMP)을 선택할 수 있으며, 공격 쓰레드(Thread)의 수 및 Sleep 시간을 설정하여 공격의 강도를 조절할 수 있는 구조를 갖는다.

 

[그림-4] 'Gh0st' RAT 3.75 버전

 

아래의 [그림-5]는 2011년 국내기관 DDoS 공격에 사용되었던 '카스' 툴의 화면을 나타낸다. 'Gh0st' 툴에 존재하는 DDoS 공격방식과 유사한 구조를 갖고 있음을 알 수 있다.

 

[그림-5] 국내기관 DDoS 공격에 사용된 '카스' 툴

 

현재까지 확인된 공격자 C&C 주소는 총 6곳이며, 파일내부에 공통적으로 존재하는 3곳의 주소는 2차 파일 다운로드를 위해 지정한 곳으로 'Gh0st' 툴에서 디폴트로 제공되는 설정값으로 추정된다.

 

(1) 공격자 사이트

- 2c??erkt.com:2012

- ?????ong.jnmlt.com:2012
- ?????ong.jsygmp.com:2012
- ???.egp.kr:5881
- ???.jbsystem.net:5881
- ???.egpower.net:5881

- www.sksk????.com:2012

 

(2) 파일다운로드 주소 (디폴트 설정값으로 추정)

- www.wk1888.com:2011/1.exe
- www.af0575.com:2011/1.exe
- www.fz0575.com:2011/1.exe

 

최근들어 애드웨어 파일을 위장하여 설치되는 'CyberGate' 원격제어 툴과 뱅킹악성코드와 함께 설치되는 'Gh0st' 원격제어 툴의 접수가 증가하는 현상을 볼 때, 감염된 다수의 사용자들의 시스템을 이용하여 2차 공격(DDoS, 시스템파괴, 중요자료 유출)이 이루어질 것으로 추정된다.

 

V3에서는 뱅킹악성코드 감염에 이용된 애드웨어 파일은, 'PUP/Win32.UtilTop' 로 진단하고 있으며, 그 외의 뱅킹악성코드는 아래와 같은 이름으로 진단하고 있다. 

 

- Dropper/Win32.Bankirat

- Trojan/Win32.Bankirat

- Trojan/Win32.Banki

- ...

 

최근들어 정상 설치파일 위장한 애드웨어 파일에 의해 악성코드 감염이 증가하고 있음으로, 파일공유 사이트를 통한 설치파일 다운로드 시, 사용자의 주의가 요구된다. 또한, 취약한 웹 사이트 방문을 통한 악성코드의 감염은 대부분 자바 취약점을 이용하여 감염이 이루어짐으로 최신으로 업데이트하는 작업이 필요하다.

 

- http://www.java.com/ko/download/help/java_update.xml

 

 

3. 참고 사이트

- http://erteam.nprotect.com/333

- http://nopsled.tistory.com/29
- http://intumyself.tistory.com/242

- http://dailysecu.com/news_view.php?article_id=6536

- http://blog.trendmicro.com/trendlabs-security-intelligence/dark-ddosser-leads-to-gh0st-rat/

 

신고
Creative Commons License
Creative Commons License
Posted by yhayoung