최신 금융정보탈취 공격유형

CODEDRAGON Security

반응형

   

최신 금융정보탈취 공격유형

   

1. 제휴 프로그램 변조

2. 웹하드 업데이트 설정파일 및 홈페이지 변조

3. 공유기 DNS 변조

4. 호스트 파일 변조

5. 브라우저 <iframe> 삽입

   

   

1. 제휴 프로그램 변조

제휴 프로그램의 설치파일을 변조하여 사용자가 악성코드 프로그램을 설치하도록 유도합니다.

   

방지대책

  • 관리자는 자사 프로그램과 함께 제휴 프로그램에 대한 보안성 점검을 주기적으로 점검
  • 필수 설치 프로그램을 제외하고는 기본 체크(선택) 되게하지 않는 것이 사용자 선택권 보장과 프로그램 안전성에 도움을 줍니다.
  • 사용자는 설치시 필수 프로그램외 제휴프로그램이 설치되는지 확인 후 설치하시기 바랍니다(기본값으로 설치하도록 선택되어 있습니다)

   

   

   

2. 웹하드 업데이트 설정파일 및 홈페이지 변조

o 웹하드 업데이트 설정파일 변조

기존 방법

웹하드 서버에 있는 정상 업데이트 파일을 통째로 악성코드로 교체해 사용자 PC에서 업데이트할 때 악성코드를 다운받게 하는 방법

진화된 방법

업데이트 설정파일에는 버전 정보와 프로그램 업데이트를 위한 링크가 입력돼 있습니다. 공격자는 웹하드 업데이트 프로그램 실행시 설정파일을 참조한다는 점을 악용해 업데이트 설정파일의 링크를 변조하거나 악성링크를 삽입, 악성코드를 다운로드 받게 합니다.

   

o 홈페이지 변조 

웹하드는 접속량이 많으면서도 상대적으로 보안에 취약해 악성코드 유포지 및 경유지로 많이 사용되고 있습니다. 악성코드에 감염되면 사용자 PC의 호스트 파일이 변조되어 파밍 사이트로 연결되고, 이 때 공인인증서가 공격자 구축 서버로 유출될 수 있습니다.

   

방지대책

  • 관리자 업데이트 파일 및 홈페이지에 대한 변조여부를 주기적으로 검사해 의도하지 않은 변경이 발생했는지 검증해야 합니다.
  • 사용자 입장에서는 업데이트 프로그램의 변조 여부 확인이 불가능하므로, 웹하드 사용 시 출처가 불분명한 파일을 다운 및 설치하지 않도록 주의해야 합니다.

   

   

3. 공유기 DNS 변조

  1. 원격제어가 허용돼 있으면서 공유기 관리자 페이지의 비밀번호가 설정돼 있지 않았거나 유추하기 쉬운 비밀번호가 설정된 공유기에 원격 접속한 후 DNS 서버 IP를 수동 설정하거나 변조합니다.
  2. 사용자가 공유기에 통해 접속하여 스마트폰 및 PC로 특정 사이트에 접속할 경우 가짜 사이트로 연결돼 악성앱을 다운로드 받도록 유도하게 됩니다.
  3. 악성앱은 스마트폰에 설치되어 폰의 SMS와 주소록을 특정 IP로 유출하고 가짜 은행앱을 설치하는 악의적인 행위를 수행하게 됩니다.

   

PC나 스마트폰의 보안을 아무리 잘해 놓았다 하더라도 공유기 설정 변경만으로도 악성코드에 감염될 수 있다는 것을 보여주는 사례입니다.

   

방지대책

  • 공격기법은 백신 탐지가 어렵기 때문에 사용자는 공유기의 펌웨어를 최신버전으로 업데이트 하고,
  • 사용하지 않는 원격제어 기능은 꺼놓아야 합니다.
  • 공유기의 관리자 계정을 생성하고 비밀번호를 설정 (공격자가 공유기 설정정보를 보거나 변경하지 못하도록 )합니다.

   

  • 공유기 제조업체는 제품 출고 시 원격제어 기능을 기본 꺼짐으로 설정해 사용자가 꼭 필요한 경우에만 변경할 수 있도록 해야 합니다.
  • 사용자 공유기 비밀번호 설정 시 8자 이상, 영문·숫자·특수문자를 혼합해서 설정합니다

   

   

   

4. 호스트 파일 변조

기존

사용자PC의 호스트 파일을 변조해 포털 사이트 및 금융관련 홈페이지 접속시 악의적인 홈페이지로 연결되는 방식.

정상 도메인명을 입력해도 공격자가 구축한 사이트로 이동하기 때문에 사용자는 이상 여부를 식별하기 어렵지만 이러한 공격방식은 대부분의 백신들이 호스트 파일 변조를 탐지해 호스트 파일을 원상태로 복구하고 있습니다.

최근

공격자들은 IP대신 10진수 숫자를 입력하는 기법을 사용하고 있습니다.

호스트 파일에 입력된 10진수는 아래 예제처럼 16진수로 변경되고,

변경된 16진수는 최종적으로 10진수의 IP로 변경되어 파밍 사이트에 접속하게 합니다.

   

호스트파일 변조 예시

십진수 (호스트 파일에 최초 입력)

16진수 (변경)

최종적으로 10진수 (최종적으로 IP로 변경)

4294967295

FFFFFFFF

255.255.255.255

   

   

대응 방안

  • 내 컴퓨터에 설치되는 프로그램이 무엇인지 꼭 확인하고 설치(만약 프로그램을 '설치하시겠습니까?'라는 물음에 무조건 '예'나 '다음'을 클릭한다면 악성코드가 설치될 수 있음 )
  • 특히, 금융사이트 방문 시 평소와 다르게 개인정보를 추가 요구한다면 악성코드 감염을 의심해봐야 합니다.

   

   

   

5. 브라우저 <iframe> 삽입

기존

피싱 공격을 수행하기 위해 특정 홈페이지를 해킹하고 서버 내부에 악성링크를 추가하거나 배너를 변조하는 방법으로 공격자가 원하는 사이트로 이동하도록 하는 공격방법.

최근

사용자 PC를 감염시킨 후 브라우저를 조작해 피싱 사이트로 유도하는 기법.

   

   

  1. 일단 악성코드에 감염되면, 정상 사이트가 열린 브라우저에 <iframe>을 이용해 악성링크 팝업을 삽입합니다.
  2. 팝업 내용은 주로 금융 보안 업데이트며, 이 안내문을 정상사이트 위에 고정시켜 사용자의 클릭을 유도합니다.
  3. 이때 모든 사이트가 아닌, 특정 포털이나 은행 사이트에서만 팝업이 열리기 때문에 사용자는 이상 여부를 판단하기 어렵습니다.
  4. 악성링크(팝업)를 클릭할 경우 금융기관을 사칭한 피싱사이트로 이동하게 되므로, 사용자 PC 정보뿐만 아니라 금융정보(비밀번호, 보안카드 등)까지 추가로 탈취당할 수 있습니다.

   

   

대응방안

금융거래 시 보안카드 번호 전체를 요구하는 경우 입력해서는 안됩니다. 이러한 요구를 하는 홈페이지가 있다면 금융정보탈취를 위해 악의적으로 만들어진 사이트이므로 각별히 주의해야 합니다.

금융사이트 이용 중 보안카드 번호를 제대로 입력했음에도 계속 번호 오류가 발생하거나 번호 입력 후 갑자기 비정상적으로 종료됐다면, 즉시 거래 금융사에 연락해 이상 여부를 확인해야 합니다. 만약 이상 징후가 포착될 경우 계좌 지급정지를 신청하면 추가적인 피해를 막을 수 있습니다.

   

이때 사용하던 PC는 악성코드 탐지를 위해 브라우저를 종료한 다음 백신 프로그램을 실행해야 하며, 특히, 스마트폰인 경우 A/S 센터를 방문해 초기화를 실행하는 것이 좋습니다.

일부 은행 보안카드를 사용하는 사용자 중에는 카드를 스캔해 파일로 저장해 놓는 경우가 있습니다. 이럴 경우 악성코드 감염 시 곧바로 금융사고로 이어질 가능성이 매우 높습니다. 보안카드는 반드시 소지하고 다니며 사용하고, 1년에 한 번은 교체하는 것이 좋습니다. 보안성이 좀 더 높은 OTP를 사용하는 것도 권장합니다.  

   

최근 발견된 금융정보탈취 공격유형을 살펴보면 기존보다 더욱 고도화된 수법을 통해 사용자와 서버 관리자가 이상징후를 탐지하기 어렵도록 진화했다. 또한 PC의 인터넷 익스플로러(IE), 자바(Java), 플래시 플레이어(Flash Player) 등의 취약점을 종합적으로 확인한 후 가장 취약한 부분을 찾아 그에 맞는 악성코드를 추가로 다운로드하는 치밀함도 갖고 있습니다. 이에 사용자들은 윈도우즈뿐만 아니라 플래시, 자바 등 응용 어플리케이션에 대한 업데이트도 항상 최신 버전으로 유지해야 합니다.

 

<출처>

http://m.boannews.com/html/detail.html?idx=42538