기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다.

 

2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다.

PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다.

 

파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다.

 

※ hosts.ics

ics 파일은 인터넷 연결 공유(ICS : Internet Connection Sharing) 시 해당 시스템의 네트워크 주소를 강제로 지정하는 기능.

hosts.ics 파일은 hosts 파일보다 우선 순위가 높다. 따라서 hosts. 파일을 변조하지 않고, 파밍 기능을 수행할 수 있다.

 

※ PAC(Proxy Auto-Config)란,

: 별도의 프록시 서버 설정없이 특정 URL 에 대해 자동으로 프록시 설정을 해주는 스크립트이다.

 

'malware analysis' 카테고리의 다른 글

GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

댓글을 달아 주세요