랜섬웨어

PUP 악성코드를 이용한 공인 인증서 유출

2,073    2015-07-14


개요  

PUP은 Potentially Unwanted Program의 약자로 S/W 설치 시 약관의 동의 없이 광고를 노출하거나 브라우저의 시작 페이지를 특정 사이트로 변경하는 역할의 악성코드입니다.

이러한 단순 PUP 악성코드가 변조되어 PC에 저장된 공인인증서를 외부로 전송하는 악성코드가 발견되었다고 합니다.



PUP의 변경점 및 공인인증서 전송 방식

  


기존 PUP 악성코드는 S/W 설치 시 광고나 시작페이지 변경을 위한 별도의 프로세스를 몰래 생성하여 사용자 PC의 인터넷 브라우저나 레지스트리 변조를 통하여 광고를 노출했습니다.




변경된 PUP은 기존 생성하던 광고 조작 프로세스와 공인인증서 탈취를 위한 프로세스 두 가지 전부 생성하게 됩니다.


인증서 탈취를 위한 프로세스는 우선 시작 프로그램과 Windows 방화벽에 자신이 실행될 수 있도록 등록하여 PC를 재시작 할 때마다 자동으로 실행이 가능하게 만들며 네트워크 연결을 가능하게 만듭니다.


해당 작업 완료 후 이 프로세스는 공인인증서를 검색(NPKI 폴더) 하여 폴더 그대로 복사 후 인증서를 압축합니다. 

해당 압축파일은 유동적이고 불특정한 서버로 전송하게 됩니다.

악성코드는 공인인증서를 전송할 뿐만 아니라 금융권 유사 사이트를 띄워 공인인증서의 비밀번호를 입력하게 유도하여 공인인증서의 비밀번호까지 유출시킵니다.



예방 방법 

· S/W 다운로드는 해당 저작권사 혹은 기업 내의 허가받은 경로로 접속하여 다운로드하고 설치하는 것이 안전합니다.

· 공인인증서는 USB에 저장하여 필요시에만 USB 연결하여 사용한 후 연결을 해제해주는 것이 안전합니다.

· 금융권 사이트 접속시 유사 페이지 여부를 꼭 확인하여 접속합니다.

· 화이트 리스트 기반의 프로세스 차단 솔루션을 도입하여 악성코드를 사전에 예방합니다.



댓글 : 0