웹 하드 설치 파일 변경으로 Banki 트로이목마 변형 유포 주의!

어플리케이션 취약점 제거 위한 보안 패치 설치해야

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)가 지난 7월 11일 공개한 취약한 웹 사이트를 통해 개인 금융정보를 탈취하기 위한 ‘Banki’ 트로이목마 변형이 지난 주말 웹 하드 프로그램을 통해 유포되었음을 밝혔다.

ASEC는 지난 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융정보 탈취를 목적으로 하는 ‘Banki’ 트로이목마 변형이 유포되었음을 공개했다.

그런데 이 ‘Banki’ 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견된 것.

이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 ‘RARSfx’로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경해 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 했다.

웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로 변경되어 있으며 변경된 파일 내부에는 그림과 같이 정상 설치 파일과 함께 RARSfx로 압축된 btuua.exe(174,624 바이트)이 포함되어 있다.

해당 변경된 파일을 실행하게 되면 윈도우 폴더의 임시 폴더(temp)에 다음 파일들을 생성하게 된다.

C:\winodws\temp\btuua.exe (174,624 바이트)

C:\winodws\temp\******_Setup.exe (9,918,872 바이트)

그리고 정상 웹 하드 프로그램인 ******_Setup.exe의 설치가 진행된다. 정상 웹 하드 프로그램 설치와 동시에 생성된 RARSfx로 압축된 btuua.exe(174,624 바이트) 파일 내부에는 그림과 같이 ServiceInstall.exe(69,632 바이트)와 WindowsDirectx.exe(172,032 바이트)가 포함되어 있다.

btuua.exe(174,624 바이트)는 내부에 포함된 파일들을 다음과 같이 윈도우 시스템 폴더에 생성하고 실행하게 된다.

C:\WINDOWS\system32\ServiceInstall.exe(69,632 바이트)

C:\WINDOWS\system32\WindowsDirectx.exe(172,032 바이트)

생성된 ServiceInstall.exe(69,632 바이트)는 WindowsDirectx.exe(172,032 바이트)를 레지스트리 변경을 통해 윈도우 서비스로 등록시켜, 감염된 시스템이 재부팅 하더라도 자동 실행되도록 구성한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

ImagePath = C:\windows\system32\WindowsDirectx.exe

그리고 WindowsDirectx.exe(172,032 바이트)가 실행이 되면 일본에 위치한 특정 시스템으로 접속을 시도하여 접속이 성공하게 될 경우에는 RARSfx로 압축된 58.exe(517,112 바이트)를 다운로드하게 된다.

다운로드된 RARSfx로 압축된 58.exe(517,112 바이트) 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe(708,608 바이트)와 HDSetup.exe(458,752 바이트) 파일들이 포함되어 있다.

58.exe(517,112 바이트) 파일이 실행되면 다음 경로에 내부에 포함된 파일들을 생성하게 된다.

C:\WINDOWS\CretClient.exe(708,608 바이트)

C:\WINDOWS\HDSetup.exe(458,752 바이트)

생성된 파일 HDSetup.exe (458,752 바이트)은 기존 변형들과 동일하게 동일하게 아래 이미지와 같이 hosts 파일을 변조하여 온라인 뱅킹을 위해 금융 기관 웹 사이트에 접속하게 될 경우, 홍콩에 위치한 시스템으로 연결하도록 구성하게 된다.

이 번에 발견된 온라인 뱅킹을 위한 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형들과 관련 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Win32.Banki

Trojan/Win32.Scar

Trojan/Win32.Banki

현재까지 온라인 뱅킹 관련 개인 금융 정보 탈취를 노리는 Banki 트로이목마가 유포되는 방식은 2가지로 나누어 볼 수 있다.

첫 번째는, 취약한 웹 사이트를 통해 기존 온라인 게임 관련 개인 정보를 탈취하던 악성코드와 동일한 기법으로 취약한 일반 어플리케이션의 취약점을 악용해 유포되는 방식으로 사용되었던 취약점들은 다음과 같다.

1) JAVA 취약점

CVE-2011-3544 - Oracle Java SE Critical Patch Update Advisory - October 2011

CVE-2012-0507 - Oracle Java SE Critical Patch Update Advisory - February 2012

2) 어도비 플래쉬 플레이어 (Adobe Flash Player) 취약점

CVE-2011-2140 - APSB11-21 Security update available for Adobe Flash Player

CVE-2012-0754 - APSB12-03 Security update available for Adobe Flash Player

3) 윈도우 미디어 플레이어 취약점과 인터넷 익스플로러 취약점

Microsoft Security Bulletin MS12-004 - Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)

Microsoft Security Bulletin MS10-018 - Internet Explorer 누적 보안 업데이트 (980182)

두 번째로는 이 번과 같이 상대적으로 보안 관리가 취약한 웹 하드 프로그램 배포 웹 사이트를 해킹한 후 웹 하드 프로그램의 설치 파일을 악성코드가 포함되어 있는 파일로 변경하는 것이다.

이러한 두 가지 유포 사례들로 인해 웹 하드 프로그램을 자주 사용하는 사용자들은 배포 프로그램의 자동 업데이트나 설치 파일의 재 설치시 각별한 주의가 필요하다. 그리고 이와 동시에 윈도우 시스템과 자주 사용하는 일반 어플리케이션들의 취약점을 제거할 수 있는 보안 패치 설치에 주의를 기울여야 된다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)