본문 바로가기
IT/해킹보안

지금 온라인 세상에선 '파밍'과의 전쟁 중

by 모르면 모른다고 해 2012. 12. 6.
반응형

 

※ 파밍

사람들을 속여 은행 계좌, 신용 카드, 주민등록 번호 등의 개인정보를 빼내기 위한 목적으로 만들어진 피싱에서 발전된 사기기법. 파밍은 사용자가 합법적인 웹 주소로 들어간 경우에도 멀웨어나 스파이웨어를 이용해 사용자를 진짜 웹 사이트에서 가짜 웹 사이트로 유인합니다. (스푸핑, DNS 캐시 포이즈닝 기법)

 

한마디로, 해커가 고객PC에 악성코드 등을 설치하여 고객이 정상적인 주소를 입력해도 위조 사이트(가짜 사이트)로 이동하도록 하여 고객정보(은행 계좌, 신용 카드, 주민번호)를 탈취하는 해킹방식의 사기.

 

※ 악성코드 , 멀웨어, 스파이웨어 용어가 궁금하신 분은 클릭 하세요. 

 

 

-------------------------------------------------------

 

아래의 그림과 같은 파일을 본 적이 있는가. 최근 국내 일부 홈페이지 해킹돼 파밍 악성코드를 유포하는 사례가 발견돼 사용자들을 긴장시키고 있다. (악성코드를 유포한다는 것은 즉, 이 페이제 접속하면 악성코드가 PC에 설치 된다는 의미 입니다)

 

 

                                     피싱 사이트 접속 시 팝업

 

최근 나타나는 파밍 트로이목마의 경우 '웹 사이트 해킹 + 응용 프로그램의 취약점 공격'으로 진행되는 양상을 보이고 있다. 

 

이 같은 공식으로 진행된 파밍 공격이 나타나 주의가 요구되고 있다. 국내 일부 웹사이트를 해킹해 파밍 악성코드를 유포한 사례가 발견된 것이다.

 

※ 응용 프로그램의 취약점 공격 : 한글, 아크로뱃 리더, 플래시, 익스플로러 등, 응용프로그램들의 제로데이공격이나 취약점등을 이용한 공격.

 

당시 발견된 파밍 악성코드 유포과정을 정리하면 아래의 그림과 같다.

 

                                    파밍 악성코드 유포 흐름도

 

유포과정을 각 단계별로 자세히 뜯어보면 몇 가지 특징이 나온다.

 

우선 'Step 2- 버전정보 획득' 과정에서는 다단계 악성 스크립트 링크 구조를 띈다.

 

악성 스크립트는 해킹된 사이트에 접속한 PC의 응용 프로그램 버전 정보를 획득하는 과정에서 동작하도록 구성돼 있으며, 이들은 각각 국내 2개 사이트, 미국은 1개 사이트에 링크가 걸려 있었다.

 

그 다음 단계인 'Step 3'에서는 'CVE-2012-5076 취약점'이 사용됐다. 자바에 존재하는 취약점인 CVE-2012-5076를 사용, 악성코드를 다운로드 하도록 유도하는 것이다. 

 

마지막으로 'Step 4'에서는 악성코드 다운로드 및 실행이 실시됐다. 'Step 3'의 취약점 비교단계를 통해 매칭되는 취약점을 찾으면 해당 취약점이 동작해 악성코드를 다운로드하고 실행되는 방식이다.

 

이 과정에서 등장한 '*.exe(파밍 악성코드 유포 흐름도 마지막 단계)' 파일은 파밍을 다운로드 하는 기능을 가진 다운로더였다.

 

[다운로드 URL]

http://174.***.61.***:6080/1.exe

http://174.***.61.***:6080/2.exe


파밍 악성코드에 감염되면 hosts 파일을 수정해서 피싱 사이트로 접속을 시도한다.

 
앞서 등장한 [그림 1]은 파밍 악성코드에 감염돼 피싱 사이트에 접속할 경우 뜨는 팝업 창이다.

 

이 팝업창의 내용은 진위 여부를 파악하기 어려울 정도로 치밀하게 제작됐다.

 

하지만 팝업 창 하단을 자세히 들여다 보면 '저희**(금융기관 명)'이라는 문구가 적혀 있음을 알 수 있다.

 

 

                          피싱 사이트의 공지사항

 

이는 기존에 파밍을 사용했던 피싱 사이트들과 비교할 때, 상대적으로 정교함은 다소 떨어지는 편에 속한다.

 


                                           사용자의 계좌정보 입력 창


피상 사이트로 접속하면 위의 [그림 4]와 같이 허위 보안 팝업 창을 띄움으로써 사용자의 계좌정보 탈취를 시도했다.

  

                       피싱 사이트로 전송되는 사용자의 계좌정보

 

 


Trojan/Win32.Sasfis (2012.11.19.03)

 

Win-Trojan/Downloader.49664.BN (2012.11.21.00)

 

이처럼 최근에도 파밍을 통한 개인의 계좌 정보 등을 탈취하는 시도가 끊이지 않고 있는 만큼, 사용자들은 피싱 사이트로의 접속을 시도하거나 의구심이 드는 파일이 발견될 경우 각별한 주의를 해야 할 것으로 보인다.@

 

참고 및 원본 기사 : 

안랩 보안 이슈 &  이슈 

반응형

'IT > 해킹보안' 카테고리의 다른 글

파일 업로드 취약점?  (0) 2012.12.08
해킹, 침해사고 분석  (0) 2012.12.08
키워드로 돌아보는 2012년 10대 보안위협  (0) 2012.12.06
경찰 "결제시스템" 뚫려...ISP(안전결제), 안심클릭 안전성 보완 필요  (0) 2012.12.04
국방 관련 내용의 0-day 취약점 악용 한글 파일  (0) 2012.12.01

관련글

댓글

티스토리툴바