보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Threat Analysis]미국 대형 할인점 개인정보 유출 악성코드 분석

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2014-03-28

맞춤형 악성코드로 신용카드 정보7천만건 탈취

타겟사의 고객 정보 유출 사고는 미국 최대 명절인 추수감사절 시즌을 노려 발생한 것으로, 20131127일부터1215일 사이에 오프라인 매장에서 신용카드로 물품을 구입한 사람들의 개인정보 및 신용카드 정보가 유출됐다. 이 글에서는 타겟사의 개인정보 유출 공격에 이용된 악성코드를 살펴본다.

지난201312, 미국의 유명 대형 할인점인 타겟(Target)사의 고객 개인정보와 신용카드 정보가 해킹으로 유출되는 사건이 발생했다. 타겟사는 월마트에 이어 미국 내2위의 소매업체로 미국과 캐나다에서 1,900여개 매장을 운영하고 있다. 당초 피해자는4천만명 수준으로 알려졌으나 이 업체의 공식 성명서에 따르면 발생한 오프라인 방문 고객들의 계좌정보 유출사건으로 최대7천만명의 피해자가 발생했다.

 

 

 

 


[그림 1] 타겟사의 개인정보 유출 사고 관련 공식 성명 (*출처: 타겟 홈페이지, 2013.12)

 

 

타겟사 해킹 공격과 관련된 악성코드가 알려지면서 보안 업체인 인텔크롤러(IntelCrawler)는 러시아의 세인트 피터스버그(St. Petersburg)에 거주하는 17세 남성인 리나트 사바에브(Rinat Shabaev)를 악성코드 제작자로 지목했지만, 실제 제작자는 러시아 사라토브(Saratov)에 거주하고 있는 23세 남성으로 밝혀졌다. 이 남성은 러시아 라이프뉴스(Life news)와의 인터뷰를 통해 관련 악성코드의 최초 프로그램 제작에 대해서는 시인했지만 악의적인 목적으로 제작한 것이 아니며 누군가 자신의 프로그램을 변형했다고 주장했다.

 

 

악성코드 감염 추정 경로

 

2014년 3월 현재 실제 공격자가 밝혀지지 않은 가운데, 관련 악성코드 분석 결과 공격자는 이미 내부 서버를 장악한 후 POS 시스템에 악성코드를 감염시킨 것으로 추정된다. 현재까지 어떻게 내부 시스템으로 침투 했는지 알려져 지지 않았다. 다만 미국 내 언론 보도를 통해 공격자가 냉난방공조(HVAC, heating, ventilation, and air conditioning) 시스템 업체를 통해 타겟사 내부 시스템에 접근했다는 주장이 제기됐다. 크렙스온시큐리티의 브라이언 크렙스(Brian Krebs)는 해당 악성코드가 HVAC (heating, ventilation, and air conditioning) 업체인 파지오 미케니컬 서비스(Fazio Mechanical Services)를 통해 침입했다고 지목했다. 현재 파지오의 프로젝트 안내 페이지는 접속이 되지 않고 있지만 [그림 2]와 같이 이 업체의 예전 페이지를 살펴보면 타겟사가 언급되어 있음을 확인할 수 있다. 

 


[그림 2] 파지오 미케니컬 서비스의 프로젝트 리스트 (*출처: Fazio Mechanical Services 홈페이지)

 

 

악성코드 구성 및 공격 방식


지금까지 알려진 바에 따르면 공격자는 외부에서 침입해 내부 시스템을 장악하여 악성코드를 배포하고 POS 시스템의 신용카드 정보를 탈취하여 외부 FTP 서버로 전송했다. 공격은 다음과 같이 이뤄졌을 것으로 추정된다.

 

① 내부 시스템 침투
② POS 시스템 감염
③ 감염된 POS 시스템에서 신용카드 결제 시 신용카드 정보 수집
④ 내부 시스템(서버 추정)으로 신용카드 정보 전송
⑤ 외부 FTP로 신용카드 정보 유출                         
 


[그림 3] 타겟사 정보 유출 공격 흐름 예상도

 

 

POS 시스템 감염 악성코드 분석

 

1. 악성코드 종류

 

POS 시스템을 감염시킨 것으로 추정되는 악성코드 2개가 발견되었다. 이들 파일들의 작성 시간은 각각 2013년 11월 28일과 11월 29일으로 공격 시점으로 알려진 기간과 일치한다.
pdb 정보를 확인하면 z:\Projects\Rescator\MmonNew\Debug\mmon.pdb를 확인할 수 있다.


 

[그림 4] POS 시스템 감염

 

 

2. 동작 방식

 

이들 악성코드의 기능은 크게 서비스 등록, 신용카드 정보 수집, 수집 정보 전송 등으로 구분된다. 악성코드는 자기 자신을 서비스로 등록해 실행된다.

 

신용카드 정보 수집은 POS 관련 프로세스를 찾아 메모리에서 신용카드 정보를 수집한다. 국내에는 메모리 해킹으로 알려진 램 스크래핑(RAM Scarping) 기법이다. 그러나 실제 해당 POS 프로그램을 확인할 수 없기 때문에 보다 구체적인 테스트를 수행할 수는 없었다.


 

신용카드 정보 유출 쓰레드(thread)는 시스템 시간을 확인해 오전 10시 00분부터 오후 5시 59분까지 주요 동작을 수행한다. POS 시스템의 운용 시간과 고객의 신용카드 사용 빈도를 고려한 것으로 보인다.


수집된 신용카드 번호를 담은 winxml.dll 파일을 생성하고 net use 명령을 통해 연계된 서버에 [시스템이름]_[날짜]_[월]_[시간].txt로 복사한다.

 

 

 

 

3. 악성코드 제작 추정 지역

 

유사 변형 악성코드는 러시아에서 제작된 것으로 알려져 있다. 악성코드 내부에 [그림 5]와 같이 러시아어로 ‘감자’를 의미하는 ‘KAPTOXA’라는 문자열이 포함되어 있다. 
 

 

[그림 5] 러시아어가 포함된 악성코드 내부

 

 

코드 페이지를 4E3h(1251)로 변환하는데 해당 코드는 러시아 등에서 사용하는 키릴 문자 인코딩 값이다.
 


[그림 6] 코드 페이지 변환 후 확인되는 키릴 문자 인코딩 값

 

 

그러나 악성코드 소스 등이 공유되었을 수도 있기 때문에 이것만으로 이번 공격에 사용된 악성코드 제작자를 명확하게 지목하기는 어렵다. 

 

 

서버 감염 악성코드 분석

 

이번 타겟사 해킹에는 POS 시스템에서 수집된 정보를 모아 외부로 유출하는 악성코드가 존재하며, 이 악성코드는 서버를 감염시킨 것으로 보인다.


1. 원격 시스템 실행

 

원격 IP의 프로그램을 실행하는 Psexec로 10.xxx.xxx.31에 접속해 다음과 같은 명령을 내린다. 10.xxx.xxx.31은 타겟사의 내부 사설 IP로 알려져 있으며, POS 시스템 주소로 보인다.


 

 

 

2. 유출 자료 복사

 

감염된 POS 시스템에서 수집한 정보 파일(twain_32a.dll)을 ‘data_년도_날짜_시간_분.txt’ 형태로 복사한다. 신용카드 번호를 저장하고 있는 파일은 변형마다 조금씩 다르다.


 

 

 

 

3. 수집 정보 전송

 

수집된 정보를 FTP를 통해 외부로 전송하기 위해 ftp 명령을 담은 cmd.txt 파일을 생성한다. 분석 대상 파일의 경우, 199.1xx.2xx.182(미국)으로 접속하며 ID와 암호는 digitalw와 Crysis1089이다.

 

 

안랩 V3 제품군에서는 이들 악성코드를 Trojan/Win32.Reedum으로 진단한다. 이들 악성코드와 관련해 지난 2011년 여름에 제작된 유사 버전이 존재하며, 이후 2013년 초부터 관련 악성코드가 제작되었다. 이들 악성코드는 POS 프로그램 정보를 찾는 기능과 ‘KAPTOXA’ 문자열을 포함하고 있다.

 

 

[그림 7] 기능과 ‘KAPTOXA’ 문자열이 포함된 악성코드 변형

 

 

1. 특정 문자열을 검사하는 변형(2011년 – 2013년)

2011년에 발견된 변형은 메모리에서 특정 문자열을 검사하는 프로그램이다.
 


[그림 8] 특정 문자열을 검사하는 악성코드 변형

 

 

pdb 정보는 ‘x:\Programming\C++ 2011.08\ScanMemory\Debug\mmon.pdb’이다.
 


[그림 9] 악성코드 변형의 pdb 정보

 

 

2013년 초에 발견된 변형의 pdb 정보를 보면 [그림 10]과 같이 Mmon의 새로운 버전으로 생각할 수 있는 MmonNew가 포함되어 있다.

 


 


[그림 10] 2013년 변형 악성코드의 pdb 정보

 

코드 구성상 타겟사 해킹에 사용된 악성코드와 직접적인 연관 관계는 부족하지만 이전부터 프로세스에서 특정 문자열을 찾는 악성코드의 제작 시도가 있었다는 것을 알 수 있다. 

 

2. Retalix를 대상으로 한 악성코드 변형(2013년 1월)


2013년 1월에 발견된 초기 버전은 POS 프로그램에서 정보를 유출하는 기능을 가지고 있다. ‘Retalix’ 문자열을 포함하고 있는 것이 특징으로, 리탤릭스(Retalix)는 대표적인 POS 솔루션 전문업체로 알려져 있다.
 

 


[그림 11] Retalix 문자열을 포함한 악성코드 변형


타겟사 해키에 이용된 악성코드는 이 버전에 타겟사 내부 환경에 맞춘 기능이 추가된 것이다. 

 

개인정보를 노리는 집요한 공격에 대한 대책 필요


지금까지 살펴본 바와 같이 공격자들은 신용카드 정보를 탈취하기 위해 POS 시스템을 목표로 맞춤형 악성코드를 제작하여 공격에 사용하였다. 신용카드 사용이 폭증하는 기간인 이른바 블랙 프라이데이(Black Friday)에 맞춰 악성코드가 배포되고 영업 시간인 영업 시간인 오전 10시부터 오후 5시 59분까지 동작하도록 설정되어 있었다. 특히 인터넷에 연결되지 않는 POS 시스템 대신 인터넷 연결이 가능한 내부 시스템을 통해 탈취한 정보를 외부로 전송하기 위해 공격자는 내부 시스템 장악 후 타겟사가 사용하고 있는 POS 시스템을 분석하고 FTP를 통해 실시간으로 탈취한 신용카드 정보를 외부로 전송했다.


이번 타겟사의 사례와 같이 앞으로 신용카드 정보를 비롯해 개인정보를 보관하는 기업에 대한 공격이 더욱 집요해질 것으로 보인다. 대부분의 기업이 다양한 개인정보를 보관하고 있는 만큼 개인정보보호를 위한 조치가 시급하다. 특히 이번 사례에서 볼 수 있듯이 외부 침입뿐 아니라 내부 장악을 통해 확산되는 악성코드 및 공격에 대해서도 대책 마련이 필요하다. @

  • AhnLab 로고
  • 차민석 책임연구원
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기