2014년 한 해를 뜨겁게 달군 ‘파밍(Pharming)’ 공격은 여전히 현재 진행형이다.
‘파밍’은 사용자 PC에 악성코드를 감염시켜 은행 사이트에 접속할 경우 가짜 사이트로 연결되도록 조작해 금융 정보를 빼내는 공격 방법이다.
그동안 공격자는 피해자가 인지하지 못하도록 가짜 사이트로 연결하기 위해 많은 방법을 사용해왔다.
이 글에서는 ▲호스트(hosts) 파일 변조 ▲hosts.ics 파일 변조 ▲팝업 이미지 삽입 ▲VPN 터널링 ▲메모리 패치 ▲DNS(도메인 네임 시스템) 주소 변조 등 파밍 악성코드의 6가지 공격 방법에 대해 알아본다.
1. 호스트 파일 변조 방법
[그림 1]과 같이 일반적으로 사용자가 웹사이트에 접속하기 위해 URL을 입력하면 사용자 시스템의 ‘호스트’ 파일을 확인한다. 파일 내부에 입력된 영문 주소가 있으면 파일에 기록된 IP 주소로 웹사이트에 연결된다. 파일 내부에 영문 주소가 없으면 외부 네트워크에 있는 DNS 서버를 통해 변환된 IP 주소로 웹사이트에 연결된다.
[그림 1] 웹사이트 접속 과정
이때, 공격자는 이를 활용해 사용자를 가짜 사이트로 접속하도록 유도한다. 악성코드에 감염되면 시스템에 존재하는 ‘C:\Windows\System32\drivers\etc\hosts’ 파일을 [표 1]과 같이 변조한다.
[표 1] 변조된 호스트 파일
[표 1]의 좌측에는 공격자가 제작한 가짜 사이트의 IP 주소(1**.7*.2**.8*), 우측에는 포털 사이트 및 금융 사이트의 URL이 기록된다. 이처럼 호스트 파일이 변조되면 정상 URL을 입력해도 사용자가 모르는 사이 가짜 사이트로 연결된다.
[그림 2] 호스트 파일 변조 후 웹사이트 접속 과정
2. hosts.ics 파일 변조 방법
호스트 파일을 변조한 웹사이트가 증가하고 호스트 파일 변조를 각종 보안 프로그램이 탐지하자, 공격자는 새로운 파일을 변조하게 됐다. 바로 hosts.ics 파일 변조이다. hosts 파일과 무슨 차이가 있을까 싶지만 두 파일은 ‘C:\Windows\System32\drivers\etc’ 경로에서 생성되는 공통점은 있지만 참조 우선순위가 다르다. 웹사이트에 접속할 때 ‘hosts’ 파일보다 ‘hosts.ics’ 파일을 먼저 확인하는 것이 차이점이다.
따라서 보안 프로그램에 의해 변조 여부를 감시 받는 호스트 파일을 변조하지 않고, hosts.ics 파일을 변조하여 사용자를 가짜 사이트로 유도하는 것이다.
[그림 3] 호스트 파일 변조 후 웹사이트 접속 과정
또한 호스트 파일과 변조 여부의 탐지를 막기 위해 다수의 공백문자(NULL)를 파일에 삽입하여 호스트 파일의 용량을 늘리거나 알 수 없는 숫자를 삽입하기도 한다.
[표 2] 탐지를 막기 위해 변조된 호스트 파일
3. 팝업 이미지 삽입 방법
호스트 파일을 변조하지 않고 사용자 몰래 실행된 악성코드는 시스템의 인터넷 익스플로러 활동을 감시한다. 정해진 조건에 만족하면 실행 중인 웹페이지 화면 위에 가짜 사이트로 연결되는 이미지를 표시한다. 이후 사용자가 링크를 클릭하면 가짜 사이트로 연결된다.
[그림 4] 호스트 파일을 변조하지 않고 가짜 사이트로 유도하는 과정
4. VPN 터널링 방법
VPN 터널링은 위의 ‘팝업 이미지 삽입’ 방법과 유사하지만 가짜 사이트로 연결할 때 가상 사설망(Virtual Private Network, VPN)을 이용하여 연결하는 방법이다.
[그림 5] 파밍 사이트 접속 경고 안내 페이지
5. 메모리 패치 방법
공격자는 호스트 파일을 변조하지만 ‘C:\Windows\System32\drivers\etc’ 경로에 저장하지 않는다. 대신 ‘C:\Windows\System32\drivers\임의 폴더명\임의 파일명’으로 저장한다. 그리고 함께 실행된 악성코드로 인해 웹사이트 접속 시 메모리상에 존재하는 호스트 파일 참조 경로를 ‘C:\Windows\System32\drivers\임의 폴더명\임의 파일명’으로 변경한다.
이렇게 경로가 변경되면 정상 경로의 호스트 파일을 참조하지 않고 변경된 경로의 변조된 호스트 파일을 참조한다.
[그림 6] 메모리 패치 과정
6. DNS 주소 변조 방법
호스트 파일을 변조하지 않고 감염된 시스템의 DNS 서버 주소를 변경하는 방법도 있다.
[그림 7] 변조된 DNS 서버 주소
[그림 7]과 같이 DNS 서버 주소가 ‘127.0.0.1’로 변경되면 악성코드에 감염된 PC는 DNS서버가 된다. 따라서 웹사이트 접속 시 외부의 DNS서버에 접속하지 않고 감염된 PC로 접근한다. 이후 실행 중인 악성코드에 의해 가짜 사이트로 연결되는 IP 주소를 수신한다.
[그림 8] 변조된 DNS 주소를 가질 때 웹사이트 접속 과정
이러한 파밍 악성코드는 보안프로그램의 탐지를 피하기 위해 끊임없이 변화하고 있다. 따라서 파밍 악성코드의 감염을 예방하려면 보안업데이트를 꼼꼼히 확인하고, 설치한 백신 제품을 최신 버전으로 유지해야 한다.
출처: AhnLab
'etc' 카테고리의 다른 글
| MS, 클라우드 상에서 개인정보보호 컴플라이언스 이슈 보안 강화 (0) | 2015.03.09 |
|---|---|
| Microsoft System Center License Guide (0) | 2015.03.09 |
| "망 분리, 이젠 제대로 해야 기업 존립위기 막는다" (0) | 2015.03.03 |
| "망 분리, 이젠 일반기업으로 확대할 때다" (0) | 2015.03.03 |
| "망 분리, 이젠 선택이 아닌 필수다" (0) | 2015.03.03 |
댓글