PUP에 숨은 파밍, 공인인증서 탈취

이제는 PUP(Potentially Unwanted Program)도 악성코드처럼 경계 대상 목록에 올려야 할 것 같다. 최근 공인인증서를 탈취하는 파밍(Pharming) 악성코드가 PUP 성 프로그램 설치 파일을 변조하여 유포되는 사례가 다수 발견됐기 때문이다. 이 글에서는 PUP를 통해 파밍 악성코드에 감염되는 과정과 파밍 사이트 구분 방법에 대해 소개한다. 

대부분의 PUP는 인터넷 검색 시 광고를 노출하거나, 쇼핑몰 바로가기 아이콘을 생성한다. 사용자들에게 단순히 불편을 주는 정도여서 악의적인 행위를 하는 악성 파일과는 달리 위협적이지 않았다. 이런 이유로 백신 업체에서도 사용자의 선택에 따라 PUP 성 프로그램의 삭제를 결정할 수 있도록 했다.

친숙한 프로그램 설치 파일 변조 후 유포

그러나 최근 악성코드가 PUP 프로그램과 함께 유포되면서 비상이 걸렸다. 파밍 악성코드가 유명 검색도우미 설치 파일을 변조하여 취약한 웹사이트 등을 통해 유포되고 있었다. 변조된 검색도우미 설치 파일을 실행하면 파밍 악성코드에 감염된다.

또한 ‘SSI 검색도우미’ 프로그램뿐만 아니라 윈도 프롬프트 파일인 ‘cmd.exe’, P2P 프로그램 ‘Utorrent.exe’ 등 친숙한 프로그램의 설치 파일을 변조하여 유포한 정황도 포착됐다. 사용자는 출처가 확인되지 않은 프로그램 사용에 주의할 필요가 있다.

 

[그림 1] 변조된 PUP 프로그램 설치 시 생성되는 파일

변조된 검색도우미 프로그램인 SSI 설치 파일이 실행되면 [그림 1]과 같이 2개의 파일이 생성된다. 실제 악성 행위를 하는 OI_2368819795.exe 파일과 본래의 PUP 행위를 하는 RwrxrfWdaf.exe 파일이다.

이때 실제 악성 행위를 하는 OI_2368819795.exe 파일은 자신을 시작 프로그램과 방화벽에 등록함으로써 시스템을 재시작할 때마다 자동으로 실행시키고 네트워크 연결이 가능하도록 변경했다.

또한 생성된 악성 파일에 의해 해당 시스템에 저장된 공인인증서를 찾는다. 시스템 내에 공인인증서를 저장하는 NPKI 폴더를 검색한 후 폴더 채 복사해서 [그림 2]와 같이 [%temp%] 경로에 압축파일 형태로 저장한다.

[그림 2] NPKI(공인인증서폴더) 압축파일

이렇게 압축파일로 백업된 공인인증서를 탈취하기 위한 C&C 주소를 특정 사이트(http://*.qzo**.**.com/cgi-bin/user/cgi_personal_card?uin=[num]?=[랜덤])에서 얻어온다.

분석 당시 접속된 경로는 [11*.6*.*1.2**]이었으며 현재 해당 C&C서버는 유효하지 않은 것으로 확인됐다.

특정 사이트에서 얻어온 C&C 주소는 압축된 공인인증서의 전송을 시도한다. 최근 유효한 C&C 서버가 추가로 확인됐는데 이를 통해 [그림 3]과 같이 압축파일 형태로 공인인증서가 전송된 것을 확인할 수 있다.

[그림 3] 유효한 C&C 서버에 공인인증서가 전송된 패킷 정보

그리고 다른 호스트 [1**.3*.**2.1**]에 접속하여 감염된 시스템의 맥(Mac) 주소를 보낸다. 고유한 맥 주소를 수집함으로써 감염 현황을 파악하기 위한 용도로 사용될 수 있음을 예상할 수 있다.

이후 인터넷뱅킹 사이트 및 유명 포털 사이트 접속 시 파밍 사이트[11*.6*.*1.2**]로 접속을 유도하여 가짜 사이트로 연결된다.

인터넷 시작페이지가 포털 사이트로 변경되면 파밍 의심 

악성 파일에 감염되면 인터넷 익스플로러가 포털 사이트로 변경돼 인터넷 브라우저를 실행하면 바로 파밍 사이트로 연결된다. 문제는 사용자가 파밍 사이트를 구분하기 어렵다는 점이다. 파밍  사이트는 금융기관의 보안 카드 번호 모두를 요구하지만, 모든 금융정보의 입력을 요구하는 금융기관은 없다. 따라서 과도하게 금융정보를 요구할 때는 비정상적인 서비스임을 인지하고 정보를 입력하지 말아야 한다. 공인인증서를 유출하는 파밍 악성코드에 감염됐다면 신속하게 금융기관에 공인인증서 폐기 요청과 보안카드 재발급을 신청하는 대처도 필요하다.

또한 백신 제품은 항상 최신 버전을 유지하고, 공인인증서는 이동식 저장 장치에 저장해서 필요할 때 사용하는 것이 좀더 안전하다.

한편, 안랩의 V3 제품군에서는 Trojan/Win32.Agent, PUP/Win32.ShortCut이라는 진단명으로 진단 및 치료하고 있다.

<출처> 안철수 연구소