최근에 Kaspersky Lab에 의해 32bit 시스템 뿐만 아니라 64Bit 시스템에서도 동작 가능한 온라인뱅킹 관련 정보를 노린 악성코드가 발견되었다.

[Kaspersky Blog] : http://www.securelist.com/en/blog/11266/Rootkit_Banker_now_also_to_64_bit

해당 악성코드는 취약한 웹사이트에 자바 애플릿이 삽입되어 Drive-by-download 방식으로 유포되었으며 브라질 은행을 대상으로 제작되었다고 한다. 애플릿은 [그림 1]과 같은 파일을 포함하고 있다.

[그림 1]

○ aaa.bat 파일의 기능

먼저 aaa.bat 파일의 내용은 [그림 2]와 같다.

[그림 2]

cmd /c %tmp%\\bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

  cmd /c %tmp%\\bcdedit.exe -set TESTSIGNING ON

위의 명령어는 윈도우 비스타 이상 버젼에서 서명되지 않은 드라이버 파일 설치를 위한 작업으로 무결성 검사를 비활성화하며 test sign 사용을 가능하

도록 변경한다.

이어서 32bit 시스템용 plusdriver.sys 파일과 64bit용 plusdriver64.sys 파일을 각각 %drive% 폴더로 복사한 뒤 서비스로 실행한다.

마지막으로 %tmp%하위에 복사되었던 [그림 1]의 파일들을 삭제한다.

 

○ add.reg 파일의 기능

add.reg 파일의 내용은 [그림 3]과 같다.

[그림 3]

add.reg의 기능은 다음과 같다.

- UAC의 비활성화 한다.

- 가짜 CA(Certification Authorities)에서 서명된 가짜 인증서를 시스템에 설치한다.

- 자동 실행을 위해 aaa.bat을 run 값에 등록한다.

Kaspersky에 의하면 해당 CA 인증서의 목적은 사용자를 피싱 도메인으로 리다이렉션하기 위한 것이며 사용자를 속이기 위해 피싱 사이트는 https 프로토콜을 이용한다고 한다. 해당 가짜 인증서는 브라질 해커에 의해 작년부터 사용되어진 인증서라고 한다.

 

○ 드라이버 파일의 기능

plusdriver.sys / plusdriver64.sys 파일의 경우 다음과 같은 기능을 한다.

먼저 [그림 4]와 같이 브라질에서 사용되는 특정 보안 프로그램(GbPlugin / G-Buster Browser)의 제거를 시도한다.

[그림 4]

또한 [그림 5]와 같이 피싱 사이트로 리다이렉션을 위해 hosts 파일을 변조한다.

[그림 5]

변조된 호스트 파일의 내용은 다음과 같다.

216.155.133.236 www2.bancobrasil.com.br

216.155.133.237 aapj.bb.com.br

 

복잡하게 구성된 악성코드는 아니지만 64bit 시스템 또한 감염 대상이 되었다는 점에서 주목할 만하다. 64bit 시스템을 대상으로 한 악성코드도 속속 등장하고 있으며 더이상 악성코드의 안전지대라 할 수 없다. 64bit 공부는 언제........

                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |
                                                                                                    | mail : reverseinsight@gmail.com    |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+

신고
Posted by By. PHR34K

티스토리 툴바