본문 바로가기
악성코드 정보

hosts.ics를 이용한 파밍 사이트 접속유도

by DH, L@@ 2013. 4. 25.

 

 인터넷 사용이 일반화 되면서 인터넷뱅킹을 통해 은행을 직접 가지 않더라도 책상 앞에서 손쉽게 온라인 송금이 가능하고, 직접 매장에 가지 않더라도 온라인 쇼핑몰을 통해 손쉽게 물건을 구매할 수 있는 편리한 세상이 되었다. 그러나 이러한 기술 발전의 이면에는 조그만 부주의가 큰 손실을 가져오기도 한다.

 최근 올바른 홈페이지 주소를 입력하여도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있어 이러한 사고의 예방을 위해 파밍 기법에 대해 소개하고자 한다.

 

일반적으로 사용자들의 금융정보를 가로채기 위해 공격자들은 악성코드 감염을 통해 사용자의 hosts 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화 된 공격방법이기 때문에 대부분의 보안프로그램들은 사용자 시스템의 hosts파일을 모니터링 하여 변경사실을 사용자에게 알리거나 변경자체를 방어하기도 한다. 최근 피해사례가 증가하고 있는 파밍 사이트로 접속을 시도하는 피해 시스템들을 확인한 결과, DNS IP의 변경이나 hosts 파일의 변조도 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

 

[그림1] 파밍 사이트 화면

우리가 원하는 웹사이트를 찾아갈 때, 사용자는 웹 브라우저에 해당 웹사이트의 URI정보를 입력하게 되지만, 웹 브라우저가 이 URI정보를 확인하고 해당 웹사이트를 직접 찾아가는 것이 아니라 DNS를 통해 해당 웹 서버의 IP를 확인해서 연결이 되는 것이다. 웹사이트를 찾아갈 때, 참조하는 정보와 우선순위를 살펴보면 아래와 같다.

① 로컬시스템의 DNS Cache 정보

② hosts.ics

③ hosts

④ DNS

 

여기에서 hosts.ics 파일은 일반적으로 사용하지 않는 인터넷 연결 공유(ICS: Internet Connection Sharing) 시 특정한 클라이언트의 IP를 강제로 지정하는 기능을 하는 파일이다. 위 순서와 같이 hosts.ics 파일이 존재하지 않을 경우, hosts 파일을 참조하게 되지만, 악성코드 제작자 입장에서는 각종 보안프로그램들이 주시하고 있는 hosts 파일을 굳이 변경하지 않더라도 우선순위가 높은 hosts.ics 파일을 변경하여 생성하게 되면 원하는 파밍 사이트로 얼마든지 유도가 가능하다는 것이 확인되었다.

 

최초 유포지는 지속적으로 변경되고 있지만, 수집되는 악성파일들을 분석한 결과 변조된 업데이트 파일들이 아래 경로의 악성코드를 다운로드 받아 동작하게 된다는 사실을 확인하였다.

 

☞ hxxp://www.*zs**.**m/e2.exe

 

 

위 악성파일이 다운로드 되면 C:\Windows\Tasks 폴더에 conime.exe 파일을 생성하게 되고, 이 악성코드가 서비스에 자신을 등록 후 외부 서버로부터 파밍에 이용될 사이트 정보를 지속적으로 참조한다.

[그림2] 지속적으로 갱신되는 파밍 사이트


[그림3] 악성코드 주요 기능

이 과정에서 해당 악성코드는 아래 경로에 hosts.ics 파일을 생성하게 되고, 지속적으로 모니터링하며 파밍 사이트를 갱신한다.

[그림4] 파밍 사이트 유도를 위한 hosts.ics 생성

hosts.ics 파일의 우선순위로 인해 악성코드 감염 시 사용자들은 정상적인 금융권 사이트의 주소를 입력하더라도 아래와 같이 악성코드 제작자가 만들어 놓은 파밍 사이트로 접속을 하게 되며, 파밍 사이트는 어떠한 메뉴를 선택을 하더라도 "전자금융 사기예방시스템" 신청을 위한 개인정보 입력화면으로 이동하게 된다.

 

[그림5] 개인정보 입력을 유도하는 파밍 사이트


[그림6] 개인정보 입력을 유도하는 파밍 사이트


개인정보 입력란에 위와 같이 쓰레기(TEST를 위한) 값을 입력할 경우, 입력되는 값들을 검증하여 정해진 형식과 일치하지 않을 경우 [그림7]과 같이 에러 메시지가 발생한다. 이러한 사실로 보아 최근에 발견되는 대부분의 피싱이나 파밍 사이트들은 입력되는 값들을 무조건 수집하는 것이 아니라, 필터링을 통해 의미 있는 데이터들을 수집하고 있다는 것을 확인할 수 있다.

[그림7] 입력되는 값이 형식과 맞지 않을 때의 에러화면

최근에 확인되는 온라인게임핵 이나 파밍 관련 악성코드들은 대부분 PUP(불필요한 프로그램)의 업데이트 파일들의 변조를 통해 유포되거나, 악성 스크립트가 삽입된 취약한 웹사이트 방문 시 감염되는 경우가 많다.

또한 웹사이트, 블로그를 방문 하는 경우에는 ActiveX와 P2P 프로그램의 설치를 더욱 세심히 살펴보고 설치 여부를 결정해야 한다.

[제어판]-[프로그램 추가/제거] 기능을 이용하여 PUP(불필요한 프로그램)은 사전에 제거하는 것이 바람직하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Qhost


댓글