본문 바로가기

컴퓨터

금융정보 탈취에 사용된 파밍 기술들

1. 파밍(Pharming) 
– 파밍은 피싱의 유형
– 공격자가 제작한 정보 탈취용 가짜 사이트로 이동시키는 공격 기법
– 올바른 주소로 접속했음에도 불구하고 공격자가 유도하는 페이지로 접속하도록 조작하는 모든 행위를 일컫는다.
– url을 실제 주소인 ip로 변경해 주는 것이 DNS이다.


[그림] 파밍 진행도
1. hosts 파일 변조

1) 단순한 hosts 파일 변조
– hosts파일은 변경하여, 특정 은행 사이트에 접속하면, 은행 사이트와 같은 모습의 악성페이지를 연결시켜 사용자에게 금융 정보를 입력 받아 정보를 탈취하는 기법이 자주 이용 된다.

 [그림] Windows XP

[그림] OS X

– hosts 파일은 공정적인 네트워크 주소를 가지고 있어 고정적인 네트워크 주소로만 접속을 유도하였다.

hosts파일에
31.13.82.48     http://www.naver.com
’31,13.82.48’  은 facebook.com 에 ip 주소 이며 , hosts파일에 위에 문장을 추가하면, url에 ‘www.naver.com’ 입력시 facebook 사이트로 들어가게 된다.(naver.com을 입력해도 들어가게 된다.)

2) 의미 없는 주석 및 NULL 문자(공백 문자) 삽입

– hosts 파일의 악성 여부를 확인 및 탑지하기 어렵게 하기 위해 URL 주소에 대, 소문자를 섞어 쓰기도 함(NULL(공백) 문자를 많이 넣어 탐지를 방해)

3)hosts.ics 파일 변조 ( ICS : Internet Connection Sharing)

– 해당 시스템의 네트워크 주쇼를 강제로 지정하는 기능을 하는 것
– 우선 순위가 hosts파일보다 높다. hosts.ics파일이 있으면 hosts.ics 파일을 먼저 참조한다.
– 내 PC에는 hosts.ics 파일은 존재하지 않음..

2. iframe 삽입 파밍

1)  Inline Frame이란 의미이며, 현재 웹페이지 내부에 다른 페이지를 출력하게 하는 방법
(웹사이트를 통하여 감염되며, 특정 사이트 접속시, 파밍 사이트로 유도함으로 정보를 유도한다.)

2) 특징 : 흔적을 남기지 않음.
(hosts 파일 변조 방식은 파일 자체에 수정을 하므로 감여여부 확인이 수월하지만, iframe삽입 방식은 파일에 흔적을 남기지 않고 메모리에만 파밍을 수행하므로 감염여부를 확인하기가 기존 방식에 비해 상대적으로 어려운 편)
3. VPN 터널링

1) VPN을 연결해 VPN 서버를 통해 파밍 사이트로 연결되는 방식.

2) VPN을 이용한 파밍은 금융 사이트 접속시 VPN서버와 연결을 수행해 서버를 거쳐 통신을 수행하게 되는 것이며, 또한 VPN을 사용하게 되면 암호화된 채널로 통신을 수행하므로 파밍페이지와의 데이터 전송 과정을 쉽게 파악하기 어렵다.

4. DNS 테이블 변조 방식

1) PC의 DNS 기본 서버 설정을 루프백으로 변경하고 자신의 DNS 테이블을 변조해 파밍 사이트로 접속하게 만드는 방식을 사용한다.

 

2) DNS 변경 방식을 사용하는 악성코드에 감염되면 아래 그림과 같이 DNS 설정이 변경된다. 기본 설정 DNS 서버 설정을 루프백 IP로 변경해 특정 사이트 접속시 우선적으로 감염 PC의 DNS테이블 설정 값을 참조해 공격자가 유도하는 사이트로 접속하도록 변경한다.

[그림] DNS 서버 설정화면 (windows XP)

[그림] DNS 서버 설정 화면(OS X), 네트워크 – 고급 – DNS

3) 파밍 사이트 목록에서 해당 도메인 주소에 접속하고 있는지 확인 후 파밍IP로 연결 될 수 있도록 감염 PC의 DNS테이블을 변경시킨다. DNS 테이블이 루프백 주소(127.0.0.1)로 변경된 후 인터넷 접속 시 악성파일에 존재하는 금융 사이트, 포털 사이트에 접속하는 요청이 확인 될 시 악성코드는 이를 탐지하여 악성 파밍 사이트로 연결시키며 8.8.8.8은 정상적인 DNS 주소로써 파밍 대상 이외의 정상적인 연결을 위해 보조 DNS 서버로 설정해 두는 것이다.

nslookup

——————————————————————————

5. DNS Client 서비스의 메모리 변조

6. 공유기 DNS 변조를 통한 파밍