2012.09.12
안녕하세요. 안랩인입니다. Banki 트로이목마가 발견된 지난 5월 중순 이후, 다양한 변종이 여러 경로를 통해서 꾸준히 유포되고 있습니다. Banki 트로이목마와 유사한 형태의 트로이목마는 오래 전부터 간헐적으로 유포되었으나 그 기능과 구조가 복잡하거나 정교하진 않았습니다. 그러나 정작 Banki 트로이목마의 위험성은 기능이나 구조에 있는 것이 아니라고 합니다. Banki 트로이목마의 위험성은 감염 시, 호스트 파일을 수정함으로써 사용자가 온라인 뱅킹 사이트로 접속을 시도할 때, 전문가도 구분하기 어려울 정도로 정교하게 만들어진 피싱 사이트로 접속을 유도한다는 데 있습니다.
지금까지 발견된 Banki 트로이목마의 사례와 세 가지 특징을 살펴보고, 개인 금융 정보 누출을 예방하는 방법을 알아보겠습니다.
유포 영역의 무한 확장
Banki 트로이목마가 가장 최근에 발견된 곳은 구글 코드(Google Code) 사이트였습니다(그림 1). 5월 중순에 처음 발견된 이래 지금까지 이와 같은 경로를 통해 유포된 Banki 트로이목마의 구조와 기능에는 전혀 변화가 없었습니다.
aax.exe는 다른 사이트(dns01.***** aaa.com)에서 Banki 트로이목마를 다운로드 및 실행하는 기능이 있으며 개략적인 구조는 [그림 2]와 같습니다.
지금까지 발견된 Banki 트로이목마의 유포 경로는 아래와 같습니다.
• 해킹된 웹 사이트
• 정상 프로그램 리패키징
• 인터넷 방송 프로그램 리패키징
• 해킹된 웹 하드 사이트 프로그램 리패키징
• 토렌트 프로그램 리패키징
• 웹하드 사이트에서 동영상 파일로 위장
• 구글 코드 사이트(http://code.google.com/p/******/downloads/list)
Banki 트로이목마가 감염된 PC의 호스트 파일을 수정하는 이유는 단순합니다. 대개 특정 사이트에 접속하기 위해 가장 먼저 특정 사이트의 주소를 DNS에 질의하여 해당 사이트의 정보를 얻는 것으로 알고 있습니다. 하지만, 사실은 DNS에 질의하는 과정을 거치기 전 호스트 파일에서 접속하려는 도메인과 매핑되는 IP가 존재하는지를 검색하여, 존재한다면 DNS에 질의하지 않고 호스트 파일을 참조하여 특정 사이트로 접속합니다.
따라서 Banki 트로이목마가 [그림 3]과 같이 감염된 PC의 호스트 파일을 수정하여 특정 도메인에 매핑되는 IP를 임의로 설정한다면, 감염된 PC는 DNS 질의를 하지 않고 호스트 파일에 설정된 주소, 즉 피싱 사이트로 곧바로 접속합니다.
지금까지 보고된 Banki에 사용되는 피싱 사이트들을 분석해 보면 전문가들도 구분하기 힘들 정도로 정교하게 제작된 것을 알 수 있습니다. 이로 미루어 볼 때, 개인이 아니라 전문 그룹에서 업무를 분장해 제작한 것으로 추정됩니다. 하지만 유심히 살펴보면, [그림 4]와 같이 정상 사이트와 피싱 사이트 사이에는 차이점이 있습니다. 정상 사이트는 ‘http가 아닌 https를 이용’한다는 것입니다. <Ahn>
* Banki 트로이목마에 관한 자세한 내용은 안랩홈페이지를 참고해주세요.
'AhnLab 보안in' 카테고리의 다른 글
MS, 9월 보안패치 업데이트하세요! (0) | 2020.04.15 |
---|---|
골칫덩이 내 PC 미다스 손이 필요하다 (0) | 2020.04.15 |
인터넷 뱅킹의 탈을 쓴 늑대! (0) | 2020.04.15 |
URL속에 존재하는 검은 손 (0) | 2020.04.15 |
안랩에서 알려주는 뉴스 속 악성코드 (0) | 2020.04.15 |