다이어에 대하여

금융기관들을 떨게 했던 두 트로이 목마인 게임오버 제우스, 사이록이 FBI에 의해서 배후 집단들이 검거 된 후, 트로이목마의 세대가 교체되며, 2015년 6월 다이어가 모습을 드러냈습니다.

다이어는 2014년에 처음 등장하여 현재 존재하는 가장 강력한 금융사기 수단 중 하나입니다.

다이어는 윈도우 컴퓨터를 표적으로 해서 인터넷 익스플로러, 크롬, 파이어폭스를 공격해서 개인정보를 탈취하고,  MBR(Master Boot Record)을 파괴해서 아무런 의미가 없는 값으로 다시 덮어서 시스템을 복구할 수 없게 만듭니다.

피해사례로 간단한 예를 들자면, IBM Security의 2015년도 조사내용에 따르면, 다이어 멀웨어에 의해 적어도 백만달러의 피해가 있었고, 2014년의 피해사례는 500건 뿐이었지만 2015년도로 넘어오면서 3,500건으로 증가하여 큰 성장률을 보이고 있습니다. 그래서 IBM은 다이어를 Dyre Wolf 공격이라고 이름짓고 각별한 주의를 권고하였습니다.

 

 

 

다이어의 피해 국가는 영어권 국가들이 많았고, 미국과 영국이 그 중에 가장 크고, 다른 국가들은 비교적 적은 감염피해를 보였습니다.

 

 

시만텍 보안위협대응센터(Symantec Security Response) 에 따르면, 다이어는 점차 공격의 범위를 확장하고 있고, 공격이 가장 활발한 시간을 기반으로 배후 조직을 유추 해 본다면, 동유럽이나 러시아에 그들이 소재할 것으로 예측할 수 있다고 발표하였습니다.

실제 배후 조직의 C&C 서버의 대부분이 이 지역에 위치해 있다고 합니다. 그러나 해당지역에서 발생하는 감염사례는 상대적으로 적은 것을 보면, 가까운 곳에 있는 목표물을 공격하기 보다는 먼 목표물을 공격하므로써 은밀하게 광범위한 지역에서 활동하고자 하는 의도를 알 수 있습니다.

다이어가 금융기관들과 은행들을 공격한다고 우리는 안전한 것은 아닙니다. 다이어의 1차 목표는 금융기관, 은행 그리도 대기업 등이지만, 2차적인 타겟은 인터넷 뱅킹, 전자결제를 하는 모든 고객들이 될 수 있습니다. 또한 웹사이트, 그리고 그 웹사이트의 사용자들도 타겟이 될 수 있습니다.

이런 다이어가 최근에 변종되면서 이중공격을 하기도 하고, APT 우회 기법을 적용하여 공격하기도 하며, 윈도우 10과 업그레이드 된 웹브라우저 사용자도 감염시키면서 비교적 피해가 적었던 우리나라가 타겟이 되어 우리나라도 보안에 각별한 주의가 필요한 상황입니다.

 

 ★

다이어는 어떻게 공격을 할까?

다이어 트로이목마는 주로 스팸메일을 통해서 확산되어, 사용자가 이메일의 첨부파일을 클릭하면, 악성 웹사이트로 연결되어 어파트레가 컴퓨터에 설치되어 이것이 다이어를 설치하는 교두보 역할을 합니다.

다이어 공격 이메일의 캡쳐본

다이어는 가장 많이 쓰이는 3대 윈도우 웹 브라우저인 인터넷 익스플로러, 크롬, 파이어폭스에게 암호학적 개인 정보를 훔치기 위한 공격이 가능합니다. 다이어는 그 공격을 위해 많은 MITB (man in the browser) (브라우저 조작) 공격 기술을 사용합니다.

Downloader.Upatre 는 다운로더 타입의 주요 위험요소 중 하나인데, 세간의 이목을 끄는 그룹들에게서 게임오버 제우스나 크라입토라커 등의 프로젝트를 실행하는데도 사용되었고, 다이어 공격자들은 2014년 6월부터 Uptre는 다이어를 목표의 컴퓨터에 설치하는데 메인으로 사용되었습니다.

업트레는 주로 피싱 이메일에 첨부되어있는데, 만약 목표가 이 첨부파일을 열게 되면, 업트레는 컴퓨터에서 작동 할 수 있게 됩니다. 업트레는 주요 목적이 다운도드 되고 추가적인 악성 소프트웨어를 목표의 컴퓨터에 설치하는데 있기 때문에 용량이 38kb로 매우 작습니다.

업트레가 실행될 때 업트레는 첫번째로 컴퓨터의 이름, 시스템을 실행정보, 공공 IP 주소 등의 정보를 수집합니다. 또한 업트레는 보안 소프트웨어의 존재 여부를 체크하고, 만약에 발견할 경우, 탐지되는 것을 방지하기 위해서 보안 소프트웨어를 무력화시킵니다.

위와 같은 순서를 따른 후, 업트레는 암호화된 2진법 정보를 원격 서버에서 다운받고, 그것을 해석한 후, 그것을 실행하여 목표의 컴퓨터에 다이어를 설치합니다.

그리고 다운로딩된 다이어는 일반 악성코드와 같이 멀티스테이지로 동작합니다.

다이어의 각 스테이지별 주요 동작 요약

 

한 mitb 기술은 멀웨어(malware) 가 모든 웹페이지의 url을 체크하며 만약 목표가 리스트된 파일의 구성 중의 하나에 접속하였다면 요청된 작업을 다른 페이지(즉, 말웨어 서버) 로 전송합니다. 즉, 다이어는 목표를 실제와 매우 유사한 가짜 페이지로 보낸다. 그러곤 암호학적 개인 정보를 파낸 후 목표를 진짜 페이지로 다시 보내어 의심을 피합니다.

두번째 mitb 기술은 공격자가 합법적인 웹페이지에 악성 코드를 주입함으로써 접근 할 수 있도록 허용합니다. 예를 들어서 만약 사용자가 뱅킹 웹페이지를 열면, 악성소프트웨어가 악성 서버에 접촉하여 웹페이지의 압축버젼을 보냅니다. 그러면 서버가 악성코드가 포함된 웹페이지의 압축버젼을 답변으로 보내게 되고, 이 바뀐 웹페이지는 목표의 웹브라우저에 보여지게 됩니다. 외관은 바뀌지 않지만 추가된 코드는 목표의 로그인 정보 등을 수집하게 됩니다. 몇몇의 시나리오에서, 다이어는 목표에게 사용자의 컴퓨터가 인식되지 않아서 그들의 생년월일, 핀코드, 신용카드 정보 등을 입력함으로써 추가적인 정보를 입력하라는 가짜 페이지를 생성하기도 하였습니다. 그리고 다이어는 로그인 정보의 수집 뿐 아니라 추가적인 악성코드로 파해자를 감염시켜 이중 공격을 실행하고 피해를 더욱 확산시킬 수 있습니다. 다이어 트로이 목마와 관련해서 현재까지 7가지의 추가적인 악성코드들인 

Trojan.Spadyra, Trojan.Spadoluk, Trojan.Pandex.B, Infostealer.Kegotip, Trojan.Fareit, Trojan.Doscor, Trojan.Fitobrute

이와같은 것이 발견되었으며, 대부분의 경우 사용자의 컴퓨터가 감염된 후에 또다른 스팸공격을 감행해서 더 많은 피해자를 감염시키는데 이용되었습니다.

최근까지 Upatre에서 5개 국가의 50가지 경로 정보를 이용해 다이어를 다운로드 하는 것으로 나타났습니다.

★

전문보안기술연구팀인 ‘RED ALERT’의 다이어 분석보고서에 따

르면, 전 세계 백신 엔진 중에서 Qihoo-360 에서만 일부 탐지

가 가능하며 변종 악성 코드의 우회 공격으로 탐지가 어렵다고 밝혔습니다.

그래서 피해를 줄이기 위해서는 윈도우 탐색기의 폴더 옵션에

서 ‘보호된 운용체계 파일 숨기기(권장)’에 체크를 해제하고 ‘숨

김 파일 및 폴더 표시’ 버튼을 클릭해 적용한 뒤, 

‘C:\WINDOWS\[RndStr].exe (MD5 : *****CB62)’ 경로의 파일

을 삭제하면 된다고 밝혔습니다. 또한, 윈도우 레지스트리 편

집기를 이용해 악성코드 관련 레지스트리도 삭제하는 방법도

 권고했습니다.

그리고 당연히 항상 운용체계(OS)와 보안프로그램, 상용소프

트웨어를 최신 상태로 유지해야 하며, 온라인 뱅킹 이용시, 웹

사이트의 변화 여부와 과도한 정보를 요구할 때에는 경계해야 

함을 강조하였습니다.

 

 

 

 

 

 

 

참고 사이트:

http://www.boannews.com/media/view.asp?idx=50492&kind=1&search=title&find=%B4%D9%C0%CC%BE%EE

http://www.boannews.com/media/view.asp?idx=48940&kind=1&search=title&find=%B4%D9%C0%CC%BE%EE

http://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwiHmPb0zuHOAhVClJQKHSYiBSYQFggaMAA&url=http%3A%2F%2Fwww.symantec.com%2Fcontent%2Fen%2Fus%2Fenterprise%2Fmedia%2Fsecurity_response%2Fwhitepapers%2Fdyre-emerging-threat.pdf&usg=AFQjCNEOhD_Ll_wUKDPoZR7S2JmaBwmmLQ&sig2=InRPSzNMD6tESGM4NUxQzg&bvm=bv.131286987,d.dGo