NOTICE


 국내 광고 프로그램 업데이트 서버 해킹으로 유포된 파밍 악성코드가 DNS를 변조하는 방법에 대해서 살펴보겠습니다.


 해당 사고에 대한 기사 정보는 다음과 같습니다.


- 국내 광고 프로그램 업데이트 서버 해킹! 메모리해킹 악성코드 유포: http://www.boannews.com/media/view.asp?idx=54339



 파밍 악성코드는 DNS 서버 주소를 변경하기 위해 레지스트리의 NameServer 값을 이용합니다. 레지스트리 키 경로는 다음과 같습니다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{Network Adapter GUID}


 여기서 악성코드는 감염 PC의 Network Adapter GUID 정보는 GetAdapterInfo API를 사용하면 얻을 수 있습니다.


Network Adapter GUID 정보 획득


 Network Adapter GUID 정보를 획득하고 나면 문자열을 더해서 레지스트리 키 경로를 완성합니다. 그리고 레지스트리 관련 API를 사용해서 NameServer 값을 등록합니다.


NameServer 값 등록


NameServer 값 등록 확인


 그 결과 감염 PC의 DNS 서버 주소가 파밍 DNS로 변경됩니다. 파밍 DNS 주소 정보는 악성코드가 가지고 있습니다.


DNS 서버 설정 변경 확인

 

  그리고 CreateProcessA API를 사용해서 DNS 캐시 삭제, IP 갱신, IP 재설정 작업을 수행합니다.


CreateProcessA( ) 호출


C:\Windows\system32\ipconfig.exe /flushdns


C:\Windows\system32\ipconfig.exe /release


C:\Windows\system32\ipconfig.exe /renew


 파밍 악성코드는 모든 작업이 완료되면 자신을 삭제해서 흔적을 지웁니다. 이때 “ahnmove.bat” 파일을 사용합니다. 


“ahnmove.bat” 파일 생성


“ahnmove.bat” 파일 실행


 “ahnmove.bat” 파일에는 파밍 악성코드 삭제 코드가 작성되어 있습니다.


“ahnmove.bat” 파일 생성 확인

 

 감염된 PC에서 웹브라우저를 사용해서 네이버로 접속해보겠습니다. 악성코드로 인해 파밍 사이트로 접속되는 것을 확인할 수 있습니다. 사용자가 파밍 사이트라는 것을 인지하지 못하고 이용자 정보 및 보안카드/OTP 인증 코드를 입력할 경우 해당 정보가 고스란히 공격자에게로 넘어갑니다.

 

파밍 페이지_01


파밍 페이지_02


파밍 페이지_03


파밍 페이지_04


 이상으로 "[2017.04.09] 광고 프로그램 업데이트 서버 해킹으로 유포된 파밍 악성코드 정보"에 대한 포스팅을 마치겠습니다.



  1. no picture BlogIcon Theo Kim 2017.04.22 13:43 신고

    흥미로운 포스팅입니다. 결국 파밍 사이트로 이동시키는 본연의 역할만 수행하고 스스로 삭제를 하는 군요