2017.04.04 금융정보 탈취 바이러스 드라이덱스

1. 개요

• 새로운 기법을 사용한 금융 악성코드(DRIDEX)가 위장 유포된 것이 발견됨

2. 내용

• 뉴스관련 요약
• 2016년 초반까지 활발하게 진행되던 금융 관련 트로이목마 중에서 가장 위험한 유형에 속하는 사기 도구로 주모자 체포 및 서버 폐쇄로 감소세를 보이는 듯 했으나 스팸메일의 급증(소스코드를 팔았거나 유출 추측)이 확인됨
• 금융 악성코드인 드라이덱스(DRIDEX)가 AtomBombing 기법을 탑재해 점점 강해지는 한편, 자신을 숨기기 위해 한글 키보드 드라이버 프로그램으로 위장
  ※ AtomBombing 기법
  악성코드 주입 기술로 공격에 동원될 수 있는 코드를 아톰 테이블(atom table)이라는 윈도우 요소에 삽입하는 기법이며 아톰 테이블은 거의 모든 버전의 윈도우에 존재하며 특정 애플리케이션 데이터를 저장하는데 활용됨. 취약점을 악용하는게 아니라 윈도우라는 운영체제의 기본적인 기능 자체를 악용. 입력 확인 과정에서 나타나는 오류를 악용한 코드 주입 기술로 현존하는 보안 솔루션이나 장치들로는 발견하기가 매우 어려우며,어지간한 윈도우 패치로도 고치는게 불가능하나 이미 다른 방법으로 감염이 된 시스템이어야 제대로 활용이 가능함
• 순천향대 사이버보안연구센터(센터장 염흥열 교수)는 공격자가 한글 키보드로 위장한 것은 잠재적으로 한국 사용자들도 공격 대상으로 보는 것으로 추정
• 미국, 영국, 호주, 브라질, 중국, 독일, 일본 등의 사용자를 주 타킷을 공격하였으나 한국에서도 감염 사례가 보고되었고 남미, 아프리카 등 특정 국가나 지역에 국한되지 않고 100개가 넘는 국가에서 활동 중으로 전 세계적인 문제가 되어가고 있음
• 900개가 넘는 조직 및 기관의 신용카드 정보가 모아졌으며, 백만 개가 넘는 신용카드의 정보가 DRIDEX 공격에 활발히 활용되고 있음

• 공격방식
• '인보이스(invoise) 또는 알림(Notifications)'이라는 일반적인 메일 제목 대신 '계정 정보 노출(Account Compromised)'이라는 문구로 사용자의 두려움을 자극해 클릭을 유도
• 매크로를 사용하는 것과 더불어 인증서 서비스 관련 커맨드 라인 도구인 Certutil을 활용해 공인인증서(PFX)로 위장한 악성 데이터를 Base64로 디코딩하여 탐지가 어렵게 함
  ※ Certutil : 마이크로소프트의 공인 인증서 관리도구
  ※ Personal Information Exchage (확장자 .PFX) : 공개 키와 개인 키를 저장하는 데 사용되는 파일 형식
• 메일 본문에는 제3자가 로그온을 시도했다는 내용과 함께 IP주소가 적혀있으나, 어떤 유형의 계정 정보(cf. 메일계정, 은행계정, 쇼셜미디어 계정)가 노출되었는지 안내하지 않음
• ZIP으로 압축된 word 파일을 첨부하는데 압축을 해제하여 실행하면 빈 문서가 나타나고 매크로를 실행할 것을 지시함
• 매크로를 실행하면 확장자 .PFX 파일이 생성되고 Certutil이 Base64 텍스트 파일을 디코딩하여 .PFX를 .EXE 파일로 변환(매크로 활성 시 DRIDEX 활동 시작)
• PFX 파일과 Certutil을 이용하여 악성 파일을 정규 인증서로 통과시킬 수 있으며 감염된 PC에서 악성 파일을 정규 인증서로 인식하게 되면 이후에는 같은 인증서 또는 악성 파일도 탐지되거나 차단되지 않음
• DRIDEX는 온라인 뱅킹 세션을 하이재킹해서 피해자의 계좌에서 범인의 계좌 혹은 사기 계좌로 돈을 인출시키는 등 로그인 정보를 훔치는 건 기본이고 자동이체시스템에도 침투하여 신용카드 정보도 훔치