- 기존 메모리해킹 금융정보 유출에 더해, 이체 시 수신인 계좌번호/이체금액을 공격자가 원하는 계좌번호/이체금액으로 변경 

- 이체 프로세스가 정상적으로 진행되기 때문에 금융기관이 해당 피해를 인지하기 거의 어려워 

- 인터넷뱅킹 사용 전에 V3 최신 업데이트 및 검사 필수(V3 개인/기업용 모두 진단 및 치료 가능) 

- 최초 악성코드 감염을 방지하기 위해 기본 보안수칙 준수 필수


추석 연휴를 앞두고 기존 메모리 해킹방식에 새로운 수법을 더한 금전유출 악성코드가 발견되어 인터넷뱅킹 사용자의 각별한 주의가 요구된다.

 

안랩[대표 김홍선, www.ahnlab.com]은 지난 7월에 발견된 ‘보안모듈의 메모리 해킹 악성코드’에서 좀더 진화한 형태의 금전유출 시도 악성코드를 발견하고, 분석결과를 발표했다.

 

이번에 발견된 악성코드는 금융정보를 유출하는 기존 메모리 해킹[수정]방식[지난 7월 발견]에, 인터넷뱅킹 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다.

 

기존의 메모리 해킹방식은 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹[수정]한다. 이후 정상 작동 과정에서 보안모듈을 무력화한 후, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취한다. 이어서 거래가 정상적으로 이루어지지 않도록 강제로 인터넷뱅킹을 종료한 후, 탈취한 금융정보와 동일한 보안카드 번호를 이용해 금전을 탈취한다. 이 때, 거래가 성사되지 않은 인터넷뱅킹 건은 은행에서 동일한 보안카드 번호를 요청하는 점을 악용했다.

 

이번 악성코드는 동일한 메모리 해킹 방법으로 보안카드 정보를 제외한 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 1]받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고, 2]사용자의 계좌 잔액을 파악[공격자가 설정한 기준금액에 맞거나 더 많을 시]한 후 이체하는 금액도 사용자 몰래 수정한다. 이 과정에서 사용자가 입력하는 보안카드 정보는 공격자가 가로채지 않고 정상적으로 은행에 전송되며, 이후 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료[공격자의 계좌번호 및 수정된 금액으로]된다. 따라서 이 경우 금융기관 입장에서는 정상적인 이체사례여서 이상 징후를 파악하기 불가능하다.

 

인터넷뱅킹을 자주 이용하는 사용자는 피해예방을 위해 사용자 PC를 최신 PC 백신으로 유지하고 실시간 감시를 동작시켜야 한다. 특히 인터넷뱅킹 사용 전에는 귀찮더라도 반드시 최신 백신으로 PC를 사전 검사하는 것이 좋다. 또한, 최초 악성코드의 침입 자체를 막는 것도 중요하다. 이를 위해 믿을 수 없는 사이트 방문 자제, 수상한 이메일의 첨부파일 실행 자제, SNS 및 이메일에 포함된 URL 실행 자제 등 기본 보안 수칙 준수가 필수적이다.

 

현재 V3[기업용 및 개인용]는 해당 악성코드를 모두 진단 및 치료하고 있다.

 

이호웅 안랩 시큐리티대응센터장은 “이번 악성코드의 경우는 긴 추석 연휴기간 중이나 월급날 등 인터넷 뱅킹이 활발하게 일어나는 특정 시기에 더욱 증가 할 가능성이 높다. 인터넷뱅킹 사용자는 금전피해를 보지 않도록 귀찮더라도 최신 백신 업데이트 등 기본 보안 수칙을 준수하는 것이 반드시 필요하다.”라고 말했다.

 

<진화한 메모리 해킹[수정]공격 시나리오>

 

1. 사용자가 보안 취약 사이트 방문 및 기타 다양한 경로로 해당 악성코드에 감염[악성코드 잠복]

 

2. 이후 [악성코드 감염PC]사용자가 [공격자가 미리 설정한] 특정 금융 사이트를 방문 시 악성코드가 해당 사실을 감지

 

3. 악성코드는 사용자의 금융 사이트 방문 시 구동되는 키보드보안솔루션, 공인인증서 등 금융 사이트 구동 시에 사용자 보안을 위해 자동으로 구동되는 보안 보안모듈에 대한 메모리 해킹 공격 감행. 이와 함께, 새롭게 금전 이체 작업 시 은행으로 전송되는 “계좌이체번호”와 “이체금액” 변조

 

4. 금융기관 아이디/비밀번호, 공인인증서 비밀번호 등 개인[금융]정보 탈취함과 동시에, 피해자가 이체작업 시 이체 계좌번호를 공격자의 계좌번호로 바꾸고 금액도 변경. 이체 금액 변경은 미리 사용자의 잔액을 파악한 뒤, 공격자가 설정한 기준과 맞거나 더 많을 시 작동

 

<지난 메모리 해킹[수정] 악성코드와 차이점>

 

- 기존 메모리 해킹 악성코드: 각 타깃 은행 별 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화 -> 인터넷뱅킹 로그인 ID/PW, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보 탈취 -> 인터넷 뱅킹 프로세스 강제 종료 [인터넷뱅킹 비성사 건에 대해 동일한 보안카드 번호를 요구하는 점을 악용해 금전 탈취]

 

- 이번 이체정보 변경 악성코드: 각 타깃 은행 별 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화 -> 인터넷뱅킹 로그인 ID/PW, 공인인증서 비밀번호 등 금융정보 탈취, 보안카드 정보는 탈취하지 않음 -> 이체 실행 시, 수신인의 계좌번호를 공격자가 원하는 계좌번호로 변경, 조건 충족 시 이체 금액도 변경 -> 인터넷뱅킹 프로세스 정상 종료

 

항목

기존 메모리해킹 악성코드

이번 이체정보 변경 악성코드

비 고

보안 모듈 메모리 해킹[수정]여부

타겟은행에서 사용하는 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화

타겟은행에서 사용하는 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화

동일

보안카드 정보 탈취

보안카드 정보 1회 탈취 [은행 서버로 전송 안됨]

보안카드 정보 탈취하지 않음 [은행 서버로 정상 전송]

 

인터넷뱅킹 프로세스 종료여부

탈취한 보안카드 정보를 이용하기 위해 사용자의 인터넷뱅킹 프로세스 종료

받는 사람의 계좌정보 및 금액을 변경하는 형태이므로 인터넷뱅킹 프로세스 종료하지 않음

 

최종 금전탈취 방법

인터넷뱅킹 비성사 건에 대해 동일한 보안카드 번호를 요구하는 점을 악용해 탈취한 보안카드 정보 및 금융 정보로 금전 이체 및 인출

특정 은행 고객이 인터넷뱅킹으로 이체 실행 시 중간에서 받는 사람의 계좌정보와 금액[기준 충족 시]만 변경. 즉 사용자가 공격자에게 직접 금액을 전송하는 형태

 

 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.

스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.

ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.

일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다.

ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격 대상이 되는 웹 사이트를 보유한 기업들의 지리적 위치는 아래 이미지와 같이 독일, 미국 그리고 캐나다 순서로 금융업이 발달한 국가들에 집중 되어 있었다.

그리고 해당 공격 대상이 되는 웹 사이트를 보유한 기업들의 업종별로 분류한 이미지는 아래와 같이 온라인 뱅킹을 지원하는 기업들에 대부분이 집중 되어 있으며 그 외에 전자 결제 서비스, 금융 투자 등의 순서로 구성되어 있다.

한 가지 특이한 사실로는 스파이아이 제작자의 공격 대상이 되는 웹 사이트들 중에는 온라인 항공권 구매 서비스를 지원하는 항공사도 포함되어 있다는 점이다.

ASEC에서 운영하는 패킷 센터(Packet Center)의 구성 시스템인 SpyEYE C&C Tracking 시스템을 통해 분석한 스파이아이가 탈취한 사용자 계정 정보와 암호를 전송하는 C&C(Command and Control) 서버가 위치해 있는 국가는 아래 이미지의 녹색 부분과 같다.



C&C 서버가 위치해 있는 국가는 대부분 미국에 집중 되어 있으며 그 외에 러시아와 우크라이나 순서로 집중 되어 있어, C&C 서버 대부분이 해킹된 시스템 또는 관리가 소흘한 시스템에 의해 설치되는 것으로 분석하고 있다.

다행스럽게도 스파이아이 제작자가 탈취를 노리는 웹사이트들에는 한국 금융 기업들이 포함되어 있지 않다. 이는 과거 몇 년전부터 진행되었던 보안 위협들의 국지화에 따른 현상으로 해석 할 수 있다. 그러나 외국 금융 기관과 온라인 뱅킹을 통해 거래를 하는 사용자들은 스파이아이 악성코드 감염에 따른 피해에 대해 많은 주의를 기울일 필요가 있다.


저작자 표시
신고
Posted by 비회원