본문 바로가기
AhnLab 보안in

지금 온라인 세상에선 '파밍'과의 전쟁 중

by 보안세상 2020. 4. 16.

2012.12.14

 

아래의 그림과 같은 파일을 본 적이 있는가. 최근 국내 일부 홈페이지 해킹돼 파밍 악성코드를 유포하는 사례가 발견돼 사용자들을 긴장시키고 있다.

 

[그림 1] 피싱 사이트 접속 시 팝업


최근 나타나는 파밍 트로이목마의 경우 '웹 사이트 해킹 + 응용 프로그램의 취약점 공격'으로 진행되는 양상을 보이고 있다.


이 같은 공식으로 진행된 파밍 공격이 나타나 주의가 요구되고 있다. 국내 일부 웹사이트를 해킹해 파밍 악성코드를 유포한 사례가 발견된 것이다.


당시 발견된 파밍 악성코드 유포과정을 정리하면 아래의 그림과 같다.

 

[그림 2] 파밍 악성코드 유포 흐름


유포과정을 각 단계별로 자세히 뜯어보면 몇 가지 특징이 나온다.


우선 'Step 2- 버전정보 획득' 과정에서는 다단계 악성 스크립트 링크 구조를 띈다.


악성 스크립트는 해킹된 사이트에 접속한 PC의 응용 프로그램 버전 정보를 획득하는 과정에서 동작하도록 구성돼 있으며, 이들은 각각 국내 2개 사이트, 미국은 1개 사이트에 링크가 걸려 있었다.


그 다음 단계인 'Step 3'에서는 'CVE-2012-5076 취약점'이 사용됐다. 자바에 존재하는 취약점인 CVE-2012-5076를 사용, 악성코드를 다운로드 하도록 유도하는 것이다.


 

마지막으로 'Step 4'에서는 악성코드 다운로드 및 실행이 실시됐다. 'Step 3'의 취약점 비교단계를 통해 매칭되는 취약점을 찾으면 해당 취약점이 동작해 악성코드를 다운로드하고 실행되는 방식이다.


이 과정에서 등장한 '**.exe(그림 2의 마지막 단계)' 파일은 파밍을 다운로드 하는 기능을 가진 다운로더였다.


[다운로드 URL]

http://174.***.61.***:6080/1.exe

http://174.***.61.***:6080/2.exe


파밍 악성코드에 감염되면 hosts 파일을 수정해서 피싱 사이트로 접속을 시도한다.


앞서 등장한 [그림 1]은 파밍 악성코드에 감염돼 피싱 사이트에 접속할 경우 뜨는 팝업 창이다.


이 팝업창의 내용은 진위 여부를 파악하기 어려울 정도로 치밀하게 제작됐다.


하지만 팝업 창 하단을 자세히 들여다 보면 '저희**(금융기관 명)'이라는 문구가 적혀 있음을 알 수 있다. <Ahn>

*이어지는 자세한 내용은 안랩홈페이지를 참조하세요.