파밍(Pharming) 악성코드에 대하여..

파밍(Pharming) 악성코드

파밍 악성코드는 국내에서 지속적으로 발견되고 있는 악성코드이다.

파밍(Pharmin)은 피싱공격의 한 유형으로, 해커가 제작한 가짜 웹 사이트로 사용자를 유도하여 개인정보(금융정보)를 탈취하는 형태이다.

이는 사용자가 올바른 주소에 접속하더라도 공격자가 제작한 웹 사이트로 접속하도록 유도 하기때문에 자칫 방심하면 큰 피해를 입을 수 있다.

또한 파밍악성코드를 유포하는데 가장 많이 사용되는 형태가 드라이브 바이 다운로드(Drive-by-Download)기법이며,  이 기법은 사용자가 해당 웹 사이트에 접속하면 즉시 감염시킨다. 때문에 사용자가 인지하지 못하는 사이에 악성코드에 감염되기 때문에 인지하지 못한사이에 감염되기 때문에 더욱 주의가 필요하다.

파밍에 사용되는 몇가지 기술을 알아보자.

---

1. Hosts 파일 변조

hosts파일 변조 하는 파밍 악성코드는 단순히 hosts파일에 ip와 도메인명을 입력한다.

도메인에 접속할 때 hosts 파일을 먼저 확인하기 때문에 hosts파일에 접속하고자 하는 도메인네임이 명시되어 있으면 해당 hosts에 있는 ip로 접속하게 된다. 

Hosts 파일의 경로는 C:\WINDOWS\system32\drivers\etc\ 에 위치한다.

이런 유형의 악성코드에 감염시 확인해 보면 좋다.

2. Hosts.ics 파일변조

hosts.ics 파일 변조는 hosts파일 변조방식과 같다.

그러나 hosts.ics 파일이 hosts파일보다 우선순위가 높다. 떄문에 두 파일이 같이 존재하면 hosts.ics파일을 먼저 참조하기때문에 hosts파일을 변조하지 않고 hosts.ics파일을 생성하여 변조된 웹사이트로 유도한다.

3. DNS 변조

DNS의 주소를 127.0.0.1로 변경한다. 루프백 이라는 기능을 악용한 것으로, 루프백은 네트워크 기능을 시험하기 위해 가상으로 할당된 주소이다.

특정 사이트에 접속 요청시 악성코드가 만든 서버에 접속해 주소를 받아와 변조된 웹사이트에 접속을 하게 된다.

DNS 변조 유형은 악성코드만 제거하게 DNS루프밳 되어있어 인터넷을 사용할 수 없다.

따라서 DNS주소를 수동으로 바꿔 주던지 자동으로 DNS주소를 받게 해야한다.

---

---

공통의 목적 'Money'

파밍 악성코드들의 공통의 목적은 금융정보 탈취다.

형태는 조금씩 다르나 사용자의 인증서를 탈취하고 추가 금융정보를 탈취한다.

NPKI(인증서가 들어있는 폴더명)을 찾는다. 인증서를 해커의 서버로 전송한다.

악성코드 감염 후 웹사이트 접속시 다음과 같이 금융감독원을 사칭하여 보아관련 인증절차를 진행하고 있으니 이용하고 있는 은행을 클릭하고 추가적인 보안 인증 절차의 진행을 요구한다.

은행에 접속하면 안전한 뱅킹을위해 추가 인증이 필요하다며 인증사이트로 접속한다.

KISA까지 사칭을 하며 사용자의 이름, 주민등록번호, 계좌번호, 비밀번호,

보안카드 정보 그리고 OTP 정보 등을 요구한다.

하나하나 성실하게 입력해 줬다면 당신의 정보는 이미 해커의 손에 있다.

실제 은행 사이트를 들어가 보면 은행에서는 모든 보안카드 정보를 누르라고 하지 않는다고 나와있다. 

평상시 공지사항만 잘 읽어봐도 피해를 막을 수 있다.

만약 입력했다면 위 그림과 같이 정보가 평문 그대로 해커에게 전달된다.