Banki 트로이목마가 발견된 지난 5월 중순 이후, 다양한 변종이 여러 경로를 통해서 꾸준히 유포되고 있다. Banki 트로이목마와 유사한 형태의 트로이목마는 오래 전부터 간헐적으로 유포되었으나 그 기능과 구조가 복잡하거나 정교하진 않았다. 그러나 정작 Banki 트로이목마의 위험성은 기능이나 구조에 있는 것이 아니다. 감염 시 호스트 파일을 수정함으로써 사용자가 온라인 뱅킹 사이트로 접속을 시도할 때, 전문가도 구분하기 어려울 정도로 정교하게 만들어진 피싱 사이트로 접속을 유도한다는 데 있다.
지금까지 발견된 Banki 트로이목마의 사례와 특징을 살펴보고, 개인 금융 정보 누출을 예방하자.
유포 영역의 무한 확장
Banki 트로이목마가 가장 최근에 발견된 곳은 구글 코드(Google Code) 사이트였다(그림 1). 5월 중순에 처음 발견된 이래 지금까지 이와 같은 경로를 통해 유포된 Banki 트로이목마의 구조와 기능에는 전혀 변화가 없다.
[그림 1] 구글 코드 사이트에서 유포된 Banki
aax.exe는 다른 사이트(dns01.***** aaa.com)에서 Banki 트로이목마를 다운로드 및 실행하는 기능이 있으며 개략적인 구조는 [그림 2]와 같다.
[그림 2] Banki의 개략적인 구조
지금까지 발견된 Banki 트로이목마의 유포 경로는 아래와 같다.
• 해킹된 웹 사이트
• 정상 프로그램 리패키징
• 인터넷 방송 프로그램 리패키징
• 해킹된 웹 하드 사이트 프로그램 리패키징
• 토렌트 프로그램 리패키징
• 웹하드 사이트에서 동영상 파일로 위장
• 구글 코드 사이트(http://code.google.com/p/******/downloads/list)
Banki 트로이목마가 감염된 PC의 호스트 파일을 수정하는 이유는 단순하다. 대개 특정 사이트에 접속하기 위해 가장 먼저 특정 사이트의 주소를 DNS에 질의하여 해당 사이트의 정보를 얻는 것으로 알고 있다. 하지만, 사실은 DNS에 질의하는 과정을 거치기 전 호스트 파일에서 접속하려는 도메인과 매핑되는 IP가 존재하는지를 검색하여, 존재한다면 DNS에 질의하지 않고 호스트 파일을 참조하여 특정 사이트로 접속한다.
따라서 Banki 트로이목마가 [그림 3]과 같이 감염된 PC의 호스트 파일을 수정하여 특정 도메인에 매핑되는 IP를 임의로 설정한다면, 감염된 PC는 DNS 질의를 하지 않고 호스트 파일에 설정된 주소, 즉 피싱 사이트로 곧바로 접속한다.
[그림 3] Banki에 의해서 변조된 호스트 파일
지금까지 보고된 Banki에 사용되는 피싱 사이트들을 분석해 보면 전문가들도 구분하기 힘들 정도로 정교하게 제작된 것을 알 수 있다. 이로 미루어 볼 때, 개인이 아니라 전문 그룹에서 업무를 분장해 제작한 것으로 추정된다. 하지만 유심히 살펴보면, [그림 4]와 같이 정상 사이트와 피싱 사이트 사이에는 차이점이 있다. 정상 사이트는 ‘http가 아닌 https를 이용’한다는 것이다.
[그림 4] 국민은행 피싱 사이트(위)와 정상 사이트(아래) 비교
온라인 뱅킹 사이트를 피싱 사이트로 연결
지난 7월 11일에는, 온라인 뱅킹에 사용되는 개인 금융 정보의 탈취를 노리는 Banki 트로이목마의 변형이 발견되었다. 이 Banki 트로이목마 변형은 기존 다른 변형들과 마찬가지로 RARSfx 형태로 압축되어 있다. 그리고 내부에는 [그림 5]와 같이 CONFIG.INI(29바이트), CretClient.exe(704,512바이트)와 HDSetup.exe(430,080바이트) 파일 3개를 포함하고 있다.
[그림 5] RARSfx로 압축된 Banki 트로이목마 변형
생성된 HDSetup.exe(430,080바이트)는 cmd.exe를 실행 백그라운드로 실행시킨 후 감염된 시스템에 존재하는 호스트 파일을 다른 내용으로 덮어쓴다. 이 호스트 파일은, 사용자가 국내 금융 업체의 웹 사이트 접속을 시도하면 홍콩에 위치한 특정 시스템으로 연결한다.
CONFIG.INI(29바이트)에 기록되어 있는 특정 IP 주소는 홍콩에 위치한 시스템으로, 피싱 웹 사이트에서 온라인 뱅킹에 사용되는 보안 카드의 비밀번호를 입력하도록 유도함으로써 사용자의 개인 금융 정보를 탈취할 것이다.
보안이 허술한 웹하드 사이트 공략
한편, 개인 금융 정보 탈취를 목적으로 하는 Banki 트로이목마 변형이 7월 14일과 15일, 사용자가 많은 웹하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포되었다.
이 Banki 트로이목마 변형은 웹하드 프로그램의 웹 사이트의 보안 관리가 상대적으로 취약하다는 점을 악용했다. 정상 설치 파일을 RARSfx로 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다.
[그림 6] 웹 하드 설치 프로그램으로 변조된 Banki 변형
[그림 7]은 정상 웹하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체 구조를 도식화한 것이다.
[그림 7] Banki 변형의 전체 구조
정상 웹하드 프로그램 설치와 동시에 생성된 RARSfx로 압축된 btuua.exe(174,624바이트) 파일 내부에는 ServiceInstall.exe(69,632바이트)와 WindowsDirectx.exe(172,032바이트)가 포함되어 있다. ServiceInstall.exe(69,632바이트)는 레지스트리 변경을 통해 WindowsDirectx.exe(172,032바이트)를 윈도우 서비스로 등록, 감염된 시스템이 재부팅하더라도 자동 실행되도록 구성한다.
WindowsDirectx.exe(172,032바이트)가 실행되면 일본에 위치한 특정 시스템으로 접속을 시도하여 접속이 성공하면 RARSfx로 압축된 58.exe(517,112바이트)를 다운로드한다. 이 파일 내부에는 CONFIG.INI(29바이트), CretClient.exe(708,608바이트)와 HDSetup.exe(458,752바이트) 파일들이 포함되어 있다. HDSetup.exe(458,752바이트)는 호스트 파일을 변조하여, 온라인 뱅킹을 위해 금융 기관 웹 사이트에 접속할 때 홍콩에 위치한 피싱 시스템으로 연결한다.
현재까지 온라인 뱅킹 관련 개인 금융 정보를 노리는 Banki 트로이목마가 유포되는 방식은 2가지로 나누어 볼 수 있다.
첫째, 취약한 웹 사이트를 통해 온라인 게임 관련 개인정보를 탈취하던 악성코드와 동일한 기법으로, 일반 애플리케이션의 취약점을 악용해 유포되는 방식이다.
1) 자바(JAVA) 취약점
CVE-2011-3544 - Oracle Java SE Critical Patch Update Advisory - October 2011
CVE-2012-0507 - Oracle Java SE Critical Patch Update Advisory - February 2012
2) 어도비 플래시 플레이어(Adobe Flash Player) 취약점
CVE-2011-2140 - APSB11-21 Security update available for Adobe Flash Player
CVE-2012-0754 - APSB12-03 Security update available for Adobe Flash Player
3) 윈도우 미디어 플레이어와 인터넷 익스플로러 취약점
Microsoft Security Bulletin MS12-004 - Windows Media의 취약점으로 인한 원격 코드 실행 문제점(2636391)
Microsoft Security Bulletin MS10-018 - Internet Explorer 누적 보안 업데이트(980182)
둘째, 상대적으로 보안 관리가 허술한 웹하드 프로그램 배포 웹 사이트를 해킹한 후 웹하드 프로그램의 설치 파일을 악성코드가 포함되어 있는 파일로 변경하는 것이다.
따라서 웹하드 프로그램을 자주 사용하는 사용자들은 배포 프로그램의 자동 업데이트나 설치 파일의 재설치 시 각별히 주의해야 한다. 이와 동시에, 윈도우 시스템과 자주 사용하는 일반 애플리케이션들의 취약점을 제거할 수 있는 보안 패치를 반드시 설치해야 한다.@
