1. 개 요


최근 해외에서 SMS Zombie로 일컬어지는 악성 애플리케이션이 발견되어 화제가 되고 있다. 악성 애플리케이션에 대한 스마트폰 보안 위협의 민감성이 약화되고 있는 시점에 중국에서는 약 50만대 가량의 단말기가 해당 악성 애플리케이션에 감염된것으로 추산되고 있으며, 이에 따른 막대한 금전적 손실이 있을것으로 예상되고 있다. 물론 해당 악성 애플리케이션은 중국의 안드로이드 OS기반 스마트폰 사용자만을 대상으로 동작하고 있는 만큼 국내에서 별다른 피해는 발생하지 않을 것으로 예상된다. 다만, 해외에서는 이미 금전적 이득을 목적으로 이러한 악성 애플리케이션의 실제 유포 및 감염 동작이 이루어지고 있다는 점에서 상당히 주목할만 하다고 할 수 있다.

  
2. 유포 및 감염 동작



해당 악성 애플리케이션은 아래의 그림과 같이 현재도 중국의 비공식 마켓 등을 통해서 유포가 이루어지고 있다.

위와 같은 비공식 마켓을 통해 다운로드 및 설치가 가능한 악성 애플리케이션은 실제로 SMS 무단 발송, 각종 정보 수집 등의 악성 동작을 하는 추가적인 악성 애플리케이션에 대한 설치를 유도하는 동작을 수행한다.

아래의 그림은 해당 악성 애플리케이션에 대한 설치 화면이다.

위 화면을 보면 설치 시 필요 권한이 나타나 있지 않고 설치 완료 후 "열기" 버튼도 비활성화 되어 있다. 이는 해당 악성 애플리케이션이 월페이퍼 형태로 제작되어 있고 기능 동작에 필요한 추가적인 권한은 메니페스트 정의가 아닌 코드상의 동적 등록 절차에 따른 것이다. 또한, 서비스로만 동작되기 때문에 별도의 런처가 등록되지 않아 "열기" 버튼도 활성화 되지 못한 것이다.

아래의 그림은 해당 악성 애플리케이션에 대한 AndroidManifest.xml 코드중 권한과 관련된 일부이다.

▶ Dropper 형태의 숙주 악성 애플리케이션 분석

해당 코드를 살펴보면 월페이퍼의 서비스 동작에 필요한 권한 이외에는 따로 등록된것이 없다. 결국 해당 악성 애플리케이션은 설치만으로는 스스로 동작하지 못하며, 아래의 그림과 같이 "배경화면" -> "라이브 배경화면"의 붉은색 월페이퍼를 선택해야 동작하게 된다.

위의 절차와 같이 해당 월페이퍼를 실행하면 아래의 그림과 같이 추가적인 애플리케이션 설치를 유도하는 AlertDialog가 화면에 출력된다.

위 그림의 오른쪽 버튼은 "취소", 왼쪽 버튼은 "확인" 버튼이다. 확인 버튼을 클릭하게 되면 아래의 그림과 같이 해당 악성파일 내부에 포함되어 있는 추가적인 파일의 설치를 시도하게 된다.

위 그림과 같이 해당 파일은 그림파일로 위장하고 있지만 실제로는 APK 파일이다. 결국 "확인" 버튼 클릭을 통해 그림파일로 위장된 추가적인 악성 애플리케이션의 설치가 진행될 수 있으며, Dropper 형태의 숙주 악성 애플리케이션의 악성 동작은 여기까지가 전부이다.

▶ 실제적인 악성 동작을 수행하는 추가적인 악성 애플리케이션 분석

아래의 그림은 내부에 포함되어 있던 추가적인 악성파일의 설치 화면이다.

해당 악성 애플리케이션 또한 서비스로만 동작되므로 위 그림과 같이 "열기" 버튼은 비활성화 되어 있다. 아래의 그림은 해당 악성 애플리케이션의 권한을 확인할 수 있는 AndroidManifest.xml 파일의 일부 코드이다.

설치가 완료되면 해당 악성 애플리케이션은 아래의 그림과 같이 서비스로 로드되어 있는 것을 확인할 수 있다.

또한, 기기관리자 권한을 얻기 위해 아래의 그림과 같이 기기 관리자 활성화 창을 출력하게 된다.

위 그림과 같이 "활성화", "취소" 버튼이 모두 존재하고 있으나 실제로는 "활성화" 버튼만이 정상적으로 동작한다. "취소" 버튼을 클릭하게 될 경우 아래의 일부 코드에 의해 지속적으로 위 그림과 같은 기기 관리자 활성화 창만을 출력하게 된다.

결국 해당 악성 애플리케이션은 "활성화" 버튼 클릭 유도를 통해 기기 관리자 권한을 얻게되며, 이를 통해 애플리케이션 삭제 등과 같은 권한을 획득하게 된다.

※ 기기 관리자 권한 획득

보통 악성 애플리케이션이 기기 관리자 권한을 획득하는 경우는 자신의 생명력 유지를 위함이 대부분이다. 기기 관리자 권한을 획득할 경우 일반적인 언인스톨 과정을 통해서는 아래의 그림과 같이 삭제가 불가능하다.


※ 삭제 방법

이러한 종류의 애플리케이션은 악성과 정상 모두 존재할 수 있으며, 삭제를 위해서는 아래의 그림과 같은 방법이 필요하다.

☞ "환경 설정" -> "장소 및 보안" -> "기기 관리자 선택"


위 그림과 같이 해당 메뉴로 이동한 후 클릭 -> "비활성화"를 진행한다. 물론 "비활성화"를 클릭하여도 해당 악성 애플리케이션의 경우는 비활성화 체크 화면에서 다음 단계로 넘어가지 않는다. 이는 악성 애플리케이션의 내부 코드에 의해 비활성화에 대한 클릭리스너로 인한 증상이므로 신경쓰지 말고 홈버튼을 길게 누른 후 "작업 관리자" -> "실행중인 프로그램 모두 종료" -> 프로그램 탭에서 "해당 악성 애플리케이션 삭제"를 진행한다.

위와 같이 기기 관리자 권한 획득, 프로세스 로딩과 함께 해당 악성 애플리케이션은 설치 후 아래의 그림과 같은 특정 경로에 "phone.xml" 파일을 생성하게 된다.

해당 파일("phone.xml")은 아래의 일부 코드에 의해 내부에 특정 키워드를 포함해 생성되며, 중국어 간자체로 인코딩되어 있다.

아래의 그림은 phone.xml의 내부에 실제로 포함된 내용을 보여주고 있으며, 해당 파일의 파싱 작업 등을 통해 은행계좌 정보와 같은 금융권 정보 및 모바일 거래 정보에 대한 탈취를 시도할 수 있다.(SMS 감시에 의해 수행된다.)

위와 같은 절차가 마무리된 후 해당 악성 애플리케이션은 아래의 그림과 같이 감염된 스마트폰의 내부 정보를 수집하여 특정 번호(13093632006)로 SMS를 사용자 몰래 무단으로 발송하게 된다.

※ SMS 발신 상세 내용

- 1.5V:Model(모델정보:sdk);os(os버전정보);Language(사용언어);NET(네트워크사용정보:3G/wifi)

또한, 네트워크가 사용불가능 하거나 wifi가 아닌 3G를 사용하고 있을 경우는 아래의 일부 코드에 의해 특정 문구가 포함된 SMS를 동일한 번호로 사용자 몰래 무단 발송하게 된다.

이외에도 해당 악성 애플리케이션은 감염된 스마트폰의 루팅 여부를 확인한 후 아래의 일부 코드를 통해 동일한 번호로 SMS를 무단으로 발송하게 된다.

해당 악성 애플리케이션은 본격적인 정보 탈취 기능 수행을 위해 SMS 감시 기능도 수행하게 된다. AndroidManifest.xml상에는 이를 위한 권한이 선언되어 있지 않다. 그럼에도 불구하고 이와 같은 기능이 수행 가능한 이유는 AndroidManifest.xml이 아닌 아래와 같이 내부 코드상에 SMS 감시 관련 리시버를 동적으로 등록해 놓았기 때문이다.

해당 악성 애플리케이션은 SMS 감시를 위한 리시버가 AndroidManifest.xml에 포함될 경우 여러가지 보안 솔루션에 의해 Filter될 가능성이 존재하기 때문에 이와 같은 동적 등록 절차를 따랐을 가능성이 높다.

이렇게 등록된 SMS 관련 리시버는 수신되는 모든 SMS에 대한 감시를 수행하며, 미리 생성된 "phone.xml" 내부에 포함된 키워드와 파싱 비교 작업 후 조건이 충족될 경우 아래의 일부 코드를 통해 특정 번호로 해당 SMS를 사용자 몰래 무단 발송하게 된다.

위와 같이 악성 애플리케이션 입장에서 특정 조건이 충족되는 SMS는 특정 번호로 무단 발송된 후 사용자가 알 수 없도록 아래의 일부 코드를 통해 몰래 삭제 조치 된다.

3. 예방 조치 방법

위와 같이 실제적으로 악성 동작을 수행하는 악성 애플리케이션을 1차적인 Dropper가 내부에 포함하고 있는 경우 해당 Dropper가 수정될 경우 지속적인 보안 위협을 가지고 있을 수 있다. 더불어 감염될 경우 기기 관리자 권한 획득을 요구하는 위와 같은 악성 애플리케이션의 경우는 Zombie란 진단명에 어울리게 일반 사용자의 경우 삭제하기 조차 어렵다.

때문에 이러한 수많은 보안 위협으로 부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 해당 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단명 현황

- Trojan/Android.SMSZombie.A
- Trojan/Android.SMSZombie.B
- Trojan/Android.SMSZombie.C



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 국내 불특정 다수의 인터넷 이용자를 겨냥하여 다양한 수법으로 금융정보 및 예금탈취 목적의 악성파일이 끊임없이 기승을 부리고 있어 주의 경보를 발령하고, 이상징후에 대한 예의주시 및 휴일포함 상시 집중관제와 긴급대응을 진행 중에 있다. 현재 악성파일은 변종이 지속적으로 유포되고 있는 상황이며, 감염될 경우 국내 인터넷 뱅킹 사이트 접속시 교묘하게 제작된 허위 사이트로 접속되고, 실제로는 존재하지 않는 보안승급서비스를 보여주고, 공인인증서(NPKI)유출과 금융 개인정보 입력을 유도하여 국내 시중은행 사용자들의 계좌정보를 탈취시도한다. 이렇게 유출된 개인금융 정보는 악의적 해커들에 의해서 불법적 금융계좌 접근으로 시도되고, [경우에 따라서 예금인출 피해로 확대]될 수 있다.

금번 금융보안 위협은 2012년 06월 초에 처음 공식보고된 이후 2달 넘게 끊임없이 변종이 제작유포되고 있어 각별한 주의가 필요하며, 지난 주말기간 수십여개 이상의 웹 사이트가 해킹되어 보안취약점 등을 통해서 집중 유포되었다는 점에서 다수의 감염피해가 발생하고 있을 것으로 예상되고 있다. 국내 인터넷뱅킹 이용자들은 이러한 점을 명심하고 유사한 악성파일에 감염노출되지 않도록 꾸준한 사전 예방활동이 필요하고, 예기치 못한 피해를 입지 않도록 적절한 보안안전수칙을 준수하여 중요 금융자산이 불법인출되는 사고로 이어지지 않도록 각별한 주의가 필요한 때이다.

2. 악성파일 전파 수법 

악의적 공격자들은 좀더 다양하고 많은 사용자들에게 악성파일을 감염시키기 위해서 다각적인 수법을 이용하고 있다. 대표적으로 웹하드나 토렌트와 같은 파일공유 사이트의 정상프로그램이나 동영상 재생용 프로그램 등을 불법적으로 해킹하고 위변조하여 악성파일을 몰래 추가포함시키거나 웹 사이트의 보안취약점을 이용하여 해킹된 사이트에 보안이 취약한 사용자가 접속시 자동으로 악성파일이 설치되도록 하는 수법이 발견된 바 있다.

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
http://erteam.nprotect.com/313

[긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
http://erteam.nprotect.com/258

잉카인터넷 대응팀의 집중 보안관제에 의하면 2012년 08월 18일 토요일 새벽, 주말이 시작되는 시점부터 국내의 수십여개 이상의 웹 사이트가 해킹되어 변형된 악성파일이 전파시도 중인 정황을 포착하여 휴일 긴급대응이 진행되었다.

지난 주말 기간 불특정 다수의 국내 웹 사이트가 해킹되어 악의적인 스크립트 코드가 포함되었고, 보안이 취약한 사용자가 접속할 경우 악성파일에 자동으로 감염되고, 대부분의 이용자들은 자신이 감염된 사실 자체를 인지하기 어렵다. 자체 조사로 파악된 바에 의하면 여행사, 신문사, 교회, 카메라 판매사이트, 고등학교 총동문회 등등 국내 다수의 웹 사이트를 통해서 악성파일이 전파 중이며, 공격자는 지속적으로 유포범위를 확대시키고 있는 상태이다.

대표적인 방법으로 실제 유포 중인 사례를 하나 공개한다면 아래 화면은 접속시 악성파일이 설치되는 곳으로 국내 모 고등학교 총동문회 사이트이다.


상기 사이트의 특정 주소에는 불법적으로 해킹되어 아래와 같이 아이프레임(iframe src) 명령어가 포함된 것을 확인할 수 있고, 해당 사이트를 통해서 또 다른 중개지로 연결된다.


아이프레임으로 연결된 웹 사이트에는 Flash Player 프로그램과 JAVA 취약점 등을 이용하는 난독화된 Exploit Code 파일을 포함하고 있으며, 사용자가 보안취약점을 가지고 있는 경우 악성파일에 자동으로 감염되게 된다. 


암호화로 난독화된 JSXX 0.44 VIP Exploit 스크립트 기법은 중국에서 제작된 것으로 Dadong 이라고도 알려져 있는데, 이것은 중국어로 공격을 의미하는 Gondad 를 거꾸로 표기한 것이다.

악성 스크립트가 정상적으로 작동되고, 보안취약점이 실행되면 특정 사이트에 등록되어 있는 악성파일이 다운로드되고 실행된다. 그 다음에 윈도우 임시폴더(Temp) 경로에 다음과 같은 악성파일을 생성한다.

- adobe_update.exe
- ncsoft.exe
- NEWCONFIG.INI


더불어 호스트(hosts) 파일을 수정하여 국내 인터넷뱅킹 사이트 접속시 피싱용 사이트로 접속되도록 IP주소를 변경한다. 현재 IP주소는 계속해서 변경된 변종이 제작되어 유포 중에 있다.

66.85.186.45 ==========> 피싱(파밍)용 IP 주소 (변종에 따라 계속 변경되고 있음)
www.kbstar.com ==========> 국민은행
banking.nonghyup.com ==========> 농협
banking.shinhan.com ==========> 신한은행
www.wooribank.com ==========> 우리은행
www.ibk.co.kr ==========> 기업은행
mybank.ibk.co.kr ==========> 기업은행
www.epostbank.go.kr ==========> 우체국예금
ibs.kfcc.co.kr ==========> 새마을금고
www.hanabank.com ==========> 하나은행
bank.keb.co.kr ==========> 외환은행


악성파일에 감염되어 호스트파일(hosts)이 변경된 상태에서 정상적인 인터넷뱅킹 웹 사이트 주소(도메인)로 접속을 하여도 브라우저는 가짜 웹 사이트 IP주소로 접속을 하게된다. 그렇지만 사용자에게 보여지는 도메인주소는 정상적인 웹 사이트 주소와 동일하기 때문에 육안상으로 쉽게 악성여부를 판별하기는 거의 불가능에 가깝다.

실제 악성파일에 감염된 상태에서 해당 인터넷뱅킹 사이트에 접속시 다음과 같이 피싱사이트서버가 존재하는 미국의 호스트로 접속되는 것을 알 수 있다.



대부분의 가짜 웹 사이트에서는 실제 존재하지 않는 [보안승급서비스]라는 미명아래 사용자 정보 입력을 유도하게 된다. 아래는 최근까지 사용되는 허위 보안승급서비스 이미지이므로, 이런 화면을 유심하게 살펴두고 기억해 두면 유사한 보안위협 예방에 도움이 될 수 있다. 

정상적인 인터넷 뱅킹 사이트에서는 어떤 이유로든 사용자의 중요 개인정보를 모두 입력하도록 유도하지 않으므로 이점을 유념하는 것이 중요하며, 특히 보안승급서비스라는 것은 모두 가짜라는 점을 잊지 말아야 한다.

다음 화면은 악성파일에 감염되었을 때 보여지는 허위 보안승급서비스 이미지이며, 각 은행사마다 조금씩 다르게 사용되고 있다. 공격자는 지속적으로 이미지와 내용을 변경할 수 있지만, 이런 형태로 위장하고 있다는 것을 기억해 두면 좋겠다. 


다음 화면은 실제 악성파일에 감염된 경우 사용자의 공인인증서(NPKI)파일이 외부로 유출되는 과정을 테스트한 화면 중 일부이다. 악성파일은 사용자의 공인인증서가 컴퓨터에 보관되어 있을 경우 외부로 유출을 시도한다.


3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다. 또한, 국내 웹사이트 100여개 이상을 해킹하여 유포한 정황과 이력을 확보하여 종합적으로 분석하고 공격 수법을 역으로 모니터링하고 있는 상태이다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개요


잉카인터넷 대응팀은 Adobe Flash Player 프로그램에 존재하는 최신 보안취약점을 이용한 악성파일이 해외에서 다수 유포되고 있는 정황을 포착하였다. 해당 취약점을 이용한 악성파일은 2012년 08월 13일 경부터 발견되고 있으며, Adobe Systems사에서는 2012년 08월 14일 CVE-2012-1535 취약점에 대한 보안 권고문을 공개한 상태이다. 공격자는 마치 정상적인 MS Word DOC 문서파일처럼 교묘히 위장하여 변종 악성파일을 제작하여 유포하고 있는 상황이므로, 최신 보안업데이트 설치가 무엇보다 중요한 상태이다. 아울러 플래시 플레이어 취약점의 경우 매우 자주 발생하고 있으므로, 수시로 제공되는 최신 업데이트를 반드시 설치하는 보안습관이 중요하다.


[보안 권고문]
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-18.html

[최신 업데이트->즉시 설치권장]
Adobe Flash Player 11.3.300.271
http://get.adobe.com/kr/flashplayer/

2. 취약점 및 악성파일 현황

해당 취약점은 Adobe Flash Player 11.3.300.270 이하 버전에서 발생하고 있으며, 마이크로 소프트사의 Word 문서파일로 위장된 형태로 유포 중이다. 잉카인터넷 대응팀은 현재 다수의 변종을 발견하고 긴급 업데이트를 통해 치료 기능을 제공하고 있다.



악성파일은 Word 파일 내부에 SWF 포맷 형태로 삽입되어 있으며, 해당 파일에 의해서 특정 웹사이트 등에서 또 다른 악성파일이 다운로드되거나 설치될 수 있다.


"MedalTop10.doc" 악성파일의 경우 감염될 경우 다음과 같은 화면을 보여주면서 특정 웹사이트로 접속하여 help.gif 이름의 이미지로 위장된 압축된 형태의 파일을 다운로드하여 설치한다.


hxxp://(생략).mooo.com/docs/help.gif


GIF 파일은 마치 이미지 파일처럼 헤더를 조작하고 있지만, 실제로는 ZIP 포맷을 가지고 있고, 암호로 보호되어 있다. 조작된 6바이트를 제거하고 압축포맷으로 변경 후 해제를 시도하면 다음과 같다. 압축해제가 가능한 암호는 "password123" 이다.


"password123" 암호를 통해서 정상적으로 압축해제를 하게 되면 내부에 test.exe 라는 악성파일이 포함된 것을 확인할 수 있다.

현재 다양한 변종이 발견되고 있고, 사회공학기법을 이용해 전파가 시도되고 있으므로 Adobe Flash Player 제품에 대한 최신 업데이트가 신속히 진행되어야 할 것으로 보여진다.

Adobe Flash Player 제품을 최신버전으로 업데이트하면 해당 취약점을 이용한 악성파일을 사전에 예방할 수 있으므로, 다음의 사이트에 방문하여 지금 즉시 최신버전으로 설치하는 것이 필요하다.

[최신버전 업데이트]
http://get.adobe.com/kr/flashplayer/


3. 예방 조치 방법

사용자들은 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 2012년 08월 02일 목요일 국내 특정분야의 정책을 통합조정하는 정부부처의 내부 공직자를 정조준하고 HWP 문서파일 취약점을 이용해서 은밀하게 표적공격을 감행된 지능형지속위협(APT) 정황을 포착하였다. 국가 정책을 담당하는 중앙행정기관의 내부 직원을 겨냥했다는 점에서 국가 내부 정보수집을 목적으로 한 표적형 공격의 일환으로 추정하고 있다. 공격자는 [한글문서(HWP) 파일의 취약점을 이용]하였으며, "일일 주요외신 보도동향 보고"라는 내용을 포함하고 있다. 또한, 발신자는 이메일 제목과 내용 등에 한글을 직접 사용하였고, 보낸 사람 부분에도 한글로 "최 강"이라는 발신자명과 hotmail.com 계정을 이용하였다.



아울러 잉카인터넷 대응팀은 금년 4월 경에 보고했었던 국내 유명 모기업을 표적으로 한 공격기법과 매우 유사하여 동일인 또는 관계조직이 가담하고 있을 것으로 보고 자체 역학조사 진행 및 이상징후를 계속 예의 주시 중이다.

2. 악성파일 공격 수법

[정보]한글 취약점을 악용한 악성파일 유포 주의!
http://erteam.nprotect.com/314

[긴급]국내 유명 포털을 표적으로 한 APT 공격 발견
http://erteam.nprotect.com/304

[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

악성파일은 업무시간이 마무리되는 시점인 오후 6시 55분경에 확인되었고, 아래와 같은 내용으로 만들어져 있다.


이메일 제목에는 한글로 "(수정) 8.2 외신종합" 이라는 내용이 있고, 본문에는 "참고하세요" 라는 짧은 표현만 포함되어 있다. 첨부파일에는 "8.2(목).hwp" 이름의 악성파일이 포함되어 있다.

이 공격방식은 2012년 04월 23일 진행된 국내 특정 기업에 사용된 방식과 매우 유사하다.

 


[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272


다시 본론으로 돌아와 첨부되어 있는 "8.2(목).hwp" 악성파일을 실행할 경우 보안취약점에 의해서 다음과 같은 파일을 추가로 설치하고 실행한다.

가장 먼저 임시폴더(Temp) 경로에 "scvhost.exe" 이름의 악성파일을 설치하고, "AAAA" 이름의 정상적인 HWP 문서파일을 생성한다. 그리고 "config.ini", "dtapp.exe", "print32.dll" 등 다수의 악성파일을 만들게 된다.


메인 악성파일인 "scvhost.exe" 파일은 이미지 아이콘을 가지고 있고, 마이크로 소프트사의 DirectX 파일처럼 위장하고 있으며, 중국어로 제작되어 있다.


"config.ini" 파일 내부에는 다음과 같은 문장이 포함되어 있다.

President Obama's page on Google's social network site has been inundated with messages in Chinese after restrictions in China were removed.


사용자를 속이기 위해서 악성파일이 생성된 이후에 다시 정상적인 문서파일이 실행되어 보여진다. 실제로 보여지는 문서파일은 다음과 같고, "일일 주요외신 보도동향 보고" 라는 제목과 [경제] [북한] [외교]와 관련된 내용들이 포함되어 있다.


또한, "C:\Program Files\Common Files" 경로에는 "odbc.nls" 이름의 DLL 파일이 생성되는데, Anti-Virus 제품의 탐지 우회목적의 Garbage Code 다수를 포함하고 있어 용량이 무려 약 25Mb 정도로 큰 편이다.



"C:\WINDOWS\Temp" 폴더 경로에는 udpmon.txt 라는 파일이 생성되고, 아래와 같은 로그파일을 생성한다. 로그파일에는 키로거와 접속시도하는 원격지 호스트 IP 주소 등이 포함되어 있다.


odbc.nls 악성파일에 의해서 Print Spooler 서비스인 spoolsv.exe 정상 프로세스에 사용자 몰래 연동 실행되고, 113.30.70.197 호스트로 시간차를 두고 접속을 시도한다. 그리고 각종 Backdoor 기능을 수행하는데, AutoKeylogger, CapScreen, 사용자 컴퓨터 정보 수집과 외부유출 시도를 하게 된다.


악성파일은 "C:\WINDOWS\system32" 경로의 정상 시스템파일인 "spoolss.dll" 파일을 변조(Patched)하여 재부팅시 자동으로 "odbc.nls" 악성파일이 실행되도록 만든다.


HWP 취약점을 통해서 생성되는 악성파일 역시 "수원 토막살해 s오원춘, 감옥서 의외의 행동.hwp" 생성파일과 기법이 100% 일치하고 있다. 이것을 근거로 공격자는 국내 유수의 기업과 정부기관을 번갈아가면서 공격하고 있다는 것을 확인할 수 있다.

3. 마무리

현재 "한글과컴퓨터(한컴)"에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있으며, 한글 워드 프로세서를 사용중인 사용자들은 반드시 아래의 최신 보안 패치를 수행하여 유사 악성파일로 부터 안전한 PC 사용을 할 수 있다.

개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250

한글과컴퓨터 패치 업데이트 링크
http://www.hancom.com/downLoad.downPU.do?mcd=001

한글과 컴퓨터 제품군도 자동 업데이트 기능을 통해서 최신 제품으로 유지할 수 있다.

HWP 문서파일 취약점을 이용한 악성파일은 nProtect 제품군에서 모두 진단/치료가 가능하다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/


위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서는 HWP 문서 프로그램의 최신 보안 패치를 진행하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
 
※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개요


잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 하는 악성파일 유포 모니터링을 실시간으로 유지하고 있으며, 현재 이 시간 새로운 변종이 유포시도 중인 정황을 포착하여 "긴급 대응"이 진행되었다. 특히, 이번에는 기존의 은행권외에 기업은행, 우체국, 새마을금고, 하나은행 등이 신규로 공격 사이트로 추가되었다. 또한, 공격자는 유포파일명을 CretClient.exe 에서 adobe_update.exe 으로 변경하였고, HDSetup.exe 에서 ncsoft.exe 이름으로 변경하였다. 기존에 공식적으로 공개하지는 않았지만 악성파일 제작자는 국내 특정 금융권 보안프로그램처럼 아이콘을 위장한 변종을 제작한 적이 있었고, 국내 게임사 또는 Kaspersky 보안업체 등과 관련된 내용으로 위장을 꾸준히 사용하고 있는 실정이다. 더불어 간혹 원격제어 기능 등을 사용할 수 있는 Backdoor 형태의 악성파일을 배포하기도 하였다. 새로운 국내 은행권이 표적에 추가됨에 따라 잉카인터넷 대응팀에서는 각 금융권 고객사에 해당 사실을 알림과 동시에 nProtect Anti-Virus 제품군에 긴급 업데이트를 완료하였다.

2. 악성파일 전파 수법

최근 수개월 사이에 국내 인터넷뱅킹 사용자를 표적으로 하는 악성파일이 100여개 이상의 국내 웹 사이트를 불법적으로 해킹하고, 다수의 보안취약점을 통해서 불특정다수의 접속자에게 은밀히 유포되고 있는 것을 종합적으로 확인한 상태이다. 또한, 정상적인 웹하드나 동영상 관련 설치프로그램을 변조하여 악성파일과 정상파일이 동시에 설치하는 수법도 복합적으로 사용하고 있는 실정이다.

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ 
http://erteam.nprotect.com/313

[긴급]국내 인터넷 뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

■ nProtect Anti-Virus for KRBanker 전용백신 업데이트
http://erteam.nprotect.com/294
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=317


3. 악성파일 변화 시도

기존까지 발견된 악성파일은 CretClient.exe, HDSetup.exe 파일명을 이용했지만, 이번에 새롭게 발견된 것은 마치 어도브 업데이트 파일(adobe_update.exe)과 국내 특정 게임사 파일(ncsoft.exe)내용으로 위장하고 있다.

또한 CONFIG.INI 파일명은 NEWCONFIG.INI 로 변경되었고, 설치경로도 윈도우폴더 하위의 임시폴더(Temp)로 바뀌었다.

"adobe_update.exe" 파일명은 원본이름이 "CretClient.exe" 라는 것을 등록정보를 통해서 확인할 수 있다.

NEWCONFIG.INI 파일은 기존과 동일하게 가짜 금융사이트로 조작된 피싱사이트 IP주소 값을 포함하고 있다.

악성파일은 호스트(hosts)파일을 변경하여 국내 특정 인터넷뱅킹 사이트의 접속을 피싱사이트로 연결되도록 교체시킨다.

이번에 변경된 호스트파일에는 국민은행, 농협, 신한은행, 우리은행, 외환은행외에 기업은행, 우체국, 새마을금고, 하나은행 등이 추가된 것이 특징이고, 잉카인터넷 등 국내 보안업체에 대한 목록은 제거되었다.

www.kbstar.com - 국민은행
banking.nonghyup.com - 농협
banking.shinhan.com - 신한은행
www.wooribank.com - 우리은행
www.ibk.co.kr - 기업은행 (추가)
mybank.ibk.co.kr - 기업은행 (추가)
www.epostbank.go.kr - 우체국 (추가)
ibs.kfcc.co.kr - 새마을금고 (추가)
www.hanabank.com - 하나은행 (추가)
bank.keb.co.kr - 외환은행

4. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다. 또한, 국내 웹사이트 100여개 이상을 해킹하여 유포한 정황과 이력을 확보하여 종합적으로 분석하고 공격 수법을 역으로 모니터링하고 있는 상태이다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 글로벌 지능형지속위협(APT) 보안관제를 진행 하던 중 중국 포털 사이트에서 제공하는 웹메일 계정을 이용해서 "주중 프랑스 대사관 공직자를 표적으로 한 악성파일 공격 정황을 포착"하였다. 공격자는 마이크로소프트사 오피스용 엑셀(Excel) 문서파일에 악성파일을 몰래 숨겨서 사용하였으며, 특징적으로 악성 엑셀문서를 정상적으로 열기 위해서는 고유암호를 입력해야만 한다. 암호를 완벽하게 입력해야만 악의적인 기능을 수행하기 때문에 암호를 모르는 사람은 해당 악성파일의 보안위협에 노출될 가능성은 없으며, 암호를 알지 못한 상태에서는 악성파일 코드분석에도 직접적인 방해요인으로 작용할 수 있다.

이처럼 표적형 공격에 사용되는 악의적 문서파일에 특정 암호가 설정되어 사용되는 경우가 종종 발견되고 있는데, 이는 암호를 알고 있는 특정인에게만 해당 위협을 극히 제한적으로 가하겠다는 치밀한 사전의도도 포함하고 있다. 아울러 정부 및 주요기관의 내부 공직자 등을 정조준한 악성파일 공격형태가 매우 은밀하게 진행되고 있는 것을 거듭 명심하고 이메일 첨부파일에 대한 세심하고 각별한 주의가 요구된다.



2. 악성파일 전파 방식

[주의]미국 항공우주산업체를 정조준한 표적공격(APT) 발견
http://erteam.nprotect.com/316

[긴급]국내 유명 포털을 표적으로 한 APT 공격 발견
http://erteam.nprotect.com/304

[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

공격자는 생각보다는 매우 단순한 내용의 이메일을 사용하였다. 이메일 제목은 "Application"이고, 본문내용에도 악성파일 실행에 필요한 암호만 포함하고 있다.

보통 공격 성공율을 높이기 위해서는 수신자로 하여금 최대한 관심을 유발시킬 수 있는 사회공학적기법을 많이 사용하지만, 글로벌 공격에 있어서는 전문용어나 언어구사 등에 있어서 기술적 사전준비의 어려움이 있는 경우가 있다. 그래서 공격자는 심플공격을 감행하는 경우가 종종 있지만, 여기서 문제는 이러한 허술한 공격에도 너무 쉽게 보안 방어벽이 무너지는 경우가 많다는 점일 것이다.

공격에 사용된 이메일의 실제 화면은 아래와 같다.


공격자(발신지)는 중국의 시나닷컴(sina.com) 계정을 이용하였고, 수신자는 프랑스 외무부 이메일 계정을 사용하고 있다. 수신자의 계정을 파악해 본 결과 주중 프랑스 대사관에 근무하는 공직자 이메일로 조사되었다.

첨부되어 있는 "New Microsoft excel table.xls" 파일은 이미 다른 공격에도 사용된 이력이 포착된 상태라서 공격자는 하나의 악성파일을 편의상 여러 곳에서 복합적으로 사용하고 있는 것으로 추정된다.

수신자가 호기심 등에 의존하여 "New Microsoft excel table.xls" 첨부파일을 아무런 의심없이 다운로드하고 실행하게 될 경우 다음과 같은 암호 입력 요구화면을 보게 되고, 이메일 본문에 포함되어 있는 "8861" 숫자를 암호로 입력하게 될 경우 악성파일에 감염되게 된다.



이와 별개로 일부 공격자의 경우 문서파일의 보안취약점을 이용하면서, 원형 문서파일 자체에는 암호입력 기능이 없는 상태라서 실행시 바로 악성파일이 설치되고, 임시폴더(Temp)에 생성시킨 정상적인 문서파일에 암호를 걸어두어 속이는 경우도 존재한다. 이런 경우는 암호를 입력하기 이전에 이미 악성파일에 감염되기 때문에 암호를 알려주지 않는 경우가 많고, 사용자는 암호를 모르기 때문에 그냥 무시하는 경우가 있다.

암호를 입력하고 OK 버튼을 누르게 되면, 사용자 몰래 임시폴더(Temp) 경로에 아무런 내용이 없고 정상적인 "set.xls" 문서파일을 실행하여 보여준다. 동시에 "ews.exe" 이름의 악성파일을 생성하고 실행하게 된다.

"ews.exe" 악성파일은 자신의 복사본을 인터넷 익스플로러 파일처럼 위장하여 하기 경로에 설치한다.

C:\Document and Settings\[사용자계정명]\Application Data\iexplore.exe


악성파일이 동작하면 임시폴더에 "keybyd.dat" 파일명의 키로거 기능의 추가 악성파일도 생성되며, 홍콩의 특정 호스트(lixht.gnway.net)로 지속적 접속을 시도한다. 또한, alg.exe 등을 이용접속포트는 TCP 21번(FTP)과 23번(Telnet)을 사용한다. 이러한 과정을 통해서 사용자의 중요 정보가 외부로 노출될 수 있다.


3. 마무리

정부기관에 소속되어 있는 공무원을 표적으로 악성파일을 공격하는 형태는 국가적, 정치적으로 매우 민감한 자료에 불법적으로 접근하여 국가기밀 정보 등을 관계자 몰래 탈취할 수 있다. 이러한 악성파일에 노출될 경우 공격자는 내부 정보를 수집하고 순차적인 공격을 진행하는 경우도 많기 때문에 개개인의 보안의식과 예방시스템이 무엇보다 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 국내에서 서비스 중인 웹하드 사이트들을 통해서 악의적인 등록자들이 웹 사이트 관리자와 이용자들 몰래 "성인 음란 동영상"으로 둔갑시킨 악성파일을 은밀히 유포하고 있는 정황을 포착하고, 꾸준히 모니터링과 대응상태를 유지하고 있다. 웹하드 서비스를 통해서 배포되는 파일의 경우 보통의 보안업체가 꾸준히 관제를 하기에는 쉽지 않은 영역이기 때문에 악성파일 유포자들은 이점을 노리고 있지만, 잉카인터넷 대응팀은 웹하드 서비스를 통해서 배포되는 악성파일을 [상시 모니터링 체계로 구축]하여 운영하고 있다. 아울러 유포자들도 이런 보안 감시망에 노출되지 않기 위해서 점차 지능화, 다양화 방식을 도입하여 사용자 몰래 악성파일을 설치 시도하는데 많은 노력을 기울이고 있는 상태이다.

이번에 새롭게 발견된 악성파일은 약 1.5GB 크기의 대용량 성인 동영상 파일로 위장하고 있는 것이 특징이고, 기존과 마찬가지로 실제 성인 동영상파일과 악성파일이 퓨전으로 섞여 있는 상태로 배포되었다.


2. 악성파일 전파 방식

[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다.
http://erteam.nprotect.com/254

[주의]성인 동영상으로 위장한 악성파일 기승!
http://erteam.nprotect.com/268

일종의 파일 공유 서비스인 웹하드 사이트를 통해서 악성파일을 전파시키는 수법은 사실 매우 고전적이며, 오래된 방식 중에 하나이다. 그러나 많은 보안업체들이 주/야간 실시간으로 등록되는 모든 (유료용)파일을 모니터링하고 분석하기에는 한계가 있는 것도 사실이다.

그렇기 때문에 공공연히 악성파일을 배포하는 유포지로 악용되는 사례가 많은 편이다. 이런 문제 때문에 잉카인터넷 대응팀은 악성파일 유포지로 전락하는 것을 조기에 차단하고 감염 확산방지를 위한 노력의 일환으로 웹하드 유포형 악성파일 대응 전략을 수립하고 이상징후를 예의주시 중이다.

최근에 새롭게 발견된 형태는 [일본 유명 성인배우의 최신작 긴급입수]라는 내용으로 사용자를 현혹하여 다운로드를 유도하고, 동영상을 설치하는 과정처럼 화면을 보여주면서 사용자 몰래 악성파일을 설치하는 수법을 사용하였다.


해당 악성파일은 먼저 상기 화면과 같이 음란수위가 높은 게시글을 통해서 (유료)이용자들의 다운로드를 유도하게 되며, 정상적인 동영상처럼 보이도록 하기 위해서 약 1.5GB 크기의 실제 대용량 동영상파일을 함께 사용하였다.

이용자가 해당 파일을 다운로드하기 전에 확장자가 EXE 라는 점을 눈여겨 보고, 정상적인 동영상 확장자(AVI, WMV 등)가 아니라는 점에서 악성여부를 의심한다면 사전에 충분히 예방하는 효과를 거둘 수도 있다.


다운로드가 완료된 해당 파일을 사용자가 클릭하게 되면 정상적인 동영상처럼 보이도록 하기 위한 조작된 설치과정을 보여준다.

일반적으로 웹하드에서 배포되는 정상적인 동영상 파일은 아래와 같이 별도의 설치(Install) 과정을 거치지 않고, 바로 동영상 프로그램으로 재생이 가능한 AVI, WMV, MP4 등의 확장자를 가지고 있다는 점을 명심하면 좋겠다.


실제 정상적인 WMV 동영상파일을 설치하는 과정을 보여주는 동시에 사용자 모르게 컴퓨터에는 또 다른 악성파일이 함께 설치된다. 악성파일 유포자는 이렇듯 정상적인 동영상파일과 악성파일을 복합적으로 묶어서 사용자가 인지하기 어려운 환경을 만들고 마치 정상적으로 필요한 설치과정처럼 보이도록 하게 만든 후에 악성파일을 설치하는 수법을 이용하고 있는 것이다.

악성파일이 감염되면 시스템폴더 경로에 "csrvs" 이름의 폴더를 생성하고 내부에 " csrvs.exe", "csrvc.exe" 파일명의 악성파일 2종을 설치한다. 해당 악성파일들은 국내 특정 사이트로 접속을 시도하고, 홍보글 등록 등을 시도한다.


3. 마무리

국내 웹하드 서비스를 통해서 특화화된 악성파일이 꾸준히 전파되고 있다. 대체적으로 확장자를 EXE 또는 ZIP 으로 만들어서 유포하는 경우가 많다는 점을 유념하고, 다운로드 전에 동영상 파일의 확장자를 육안으로 살펴보는 습관도 중요하다.

잉카인터넷 대응팀은 웹하드 서비스를 통해서 사용자 몰래 전파를 시도하는 다양한 악성파일을 지속적으로 수집하여 nProtect Anti-Virus 제품군에 탐지 및 치료 기능을 추가하고 있다. 따라서 nProtect 제품군 이용자들은 최신 버전으로 항시 유지하고 실시간 감시 기능을 활성화하면 악성파일이 컴퓨터에 유입되는 것을 사전에 차단하고 예방효과를 거둘 수 있다.

상기에서 공개한 웹하드 경로를 통한 악성파일 유포 사례는 극히 일부이며, 실제로는 매우 다양하고 폭 넓은 범위에서 악성파일이 유포되고 있다는 점을 명심하도록 하며, 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다. 

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 마릴린 먼로(Marilyn Monroe) 화면보호기로 교묘하게 위장되어 있는 악성파일을 발견하였다. 해당 악성파일은 미국 캘리포니아에 본사를 두고 있는 특정 "항공우주기업의 내부 직원을 겨냥"하고 있으며, 표적이 된 직원은 전문분야 30여년 이상의 경력을 가진 수석 공학 전문가로 확인되었다. 공격자는 마릴린 먼로와 관련된 제목과 내용 등을 포함한 이메일로 공격을 시도하였으며, 미공군 공식 이메일 계정(af.mil)과 미항공우주국(NASA) 내용 등을 직접적으로 언급하는 등 수신자로 하여금 최대한 신뢰하도록 조작하고 있다. 표적에 사용된 기업은 민간 비영리 법인으로 미국 공군에 대한 연방정부 재정지원 연구개발 센터 등도 운영하고 있으며, 미사일 시스템 센터와 같은 군수물자 단체와도 긴밀하게 협력하는 산업체로 알려져 있다. 

공격자는 불특정다수가 아닌 특정 기업인을 정조준하였고, 항공우주산업 등과 같이 국가적으로 매우 중대하고 민감한 자료를 다루는 곳을 겨냥했다는 점에서 지능적인 표적공격(APT)의 한 일환으로 추정되고 있다. 


2. 악성파일 감염 수법

악성파일은 아래와 같은 이메일로 전송이 되었고, 마릴린 먼로와 관련된 내용을 포함하고 있다. 이메일에 첨부되어 있는 "MarilynMonroe2012.zip" 압축파일은 내부에 화면보호기(Screen Saver)처럼 보이도록 하기 위해서 .SCR 확장자를 가진 악성파일을 포함하고 있다.


첨부되어 있던 압축파일 내부에는 마릴린 먼로 얼굴모습의 아이콘을 가진 악성파일이 "MarilynMonroe2012.scr" 이라는 파일명으로 존재하며, 사용자가 해당 파일을 실행할 경우 정상적인 화면보호기 기능이 작동한다. 하지만 이것은 사용자를 속이기 위한 과정일 뿐, 실제로는 사용자 몰래 컴퓨터에 악성파일이 추가 설치된다. 


악성파일이 실행되면 우선 임시폴더(Temp)에 정상적인 마릴린 먼로 화면보호기를 생성하고 실행시킨다. 이때 보여지는 화면보호기는 아래와 같다.

 

화면보호기는 다양한 마릴린 먼로의 이미지를 순차적으로 보여주며, 2004년도에 제작된 정상적인 마릴린 먼로 화면보호기를 악성파일 제작자가 도용한 상태이다.

화면보호기가 작동하면서 다음과 같은 악성파일이 사용자 컴퓨터에 몰래 설치된다. 3개의 파일이 각각 다른 파일명으로 각기 다른 경로에 생성되지만 모두 동일한 파일이다.

- C:\Windows\System32\browser32.exe
- C:\Windows\System32\Dllcache\c77ux.sys
- C:\Windows\Installer\d287ee.msi

설치된 악성파일은 인터넷 익스플로러(iexplore.exe)를 이용해서 인도의 특정 호스트로 접속을 시도하는데, 해당 IP는 Myftp.org 서비스이다. (hostlist.myftp.org/search?)


3. 마무리

상기와 같이 업무 이외의 내용으로 악성파일이 은밀히 배포될 수 있다는 점을 명심하고, 악의적 실행파일로 사용되는 형태가 EXE 뿐만 아니라 SCR 확장자도 빈번하게 이용되고 있다는 점을 인지하고 이메일 첨부파일 수신 시 주의깊게 살펴보는 습관이 필요하다.

APT 공격이 나날이 지능화되고 있다는 점을 참고하고, 다양한 방식으로 악성파일이 유입될 수 있다는 점을 유념해야 한다. 또한, 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


잉카인터넷 대응팀에서는 최근 한글 취약점을 악용하여 추가적인 악성파일의 유포를 시도하는 악성 한글 문서 파일을 발견하였다. 해당 악성 한글 문서 파일을 실행할 경우 내부에 포함된 정상적인 문서 파일이 함께 실행되므로 일반 사용자의 경우 악성코드가 실행되었는지 여부를 알 수 없어 잠재적 감염 위험성이 높다고 할 수 있다. 또한, 이러한 잠재적 감염 위험성을 가지는 악성파일에 감염되었을 경우 일반 사용자의 경우 감염 사실을 쉽게 알 수 없기 때문에 다양한 정보 유출 등 감염 이외의 2차적 피해를 입을 수 있어 각별한 주의가 요망되고 있다.

  

2. 유포 경로 및 감염 증상


해당 한글 문서 파일은 이메일 등의 첨부파일을 통해 주로 유포될 수 있으며, 다운로드 후 실행 시 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

- (사용자 임시 폴더)\AAAA (25,088 바이트, 정상 한글 파일)
- (사용자 임시 폴더)\scvhost.exe (32,768 바이트)
- (시작프로그램 폴더)\AcroRd32Info(스페이스바 생략)数据的.exe (32,768 바이트, scvhost.exe와 동일한 파일)


☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.
☞ (시작프로그램 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램" 을 말한다.


위 그림은 생성된 파일에 대한 아이콘을 보여주고 있다. 제일 상단의 "AAAA" 파일은 해당 악성 한글 문서 파일이 실행될때 함께 실행되는 정상적인 한글 문서 파일(.hwp 확장자가 없는 상태)이다. 악성 한글 문서 파일과 함께 실행되며 아래의 그림과 같은 내용을 담고 있다.


scvhost.exe 파일 또한, 해당 악성 한글 문서파일이 실행될 경우 생성되며 실행 시 아래의 그림과 같이 외부 특정 서버와 지속적인 통신을 시도한다. 파일명이 정상파일명(svchost.exe)과 유사한 것이 특징이며, 악성 동작의 특성상 Bot기능을 수행할 수 있다.


해당 IP는 아래의 그림과 같이 미국내에 소재하고 있으며, 현재는 통신이 정상적으로 이루어지지 않고 있다.


또한, scvhost.exe는 자신의 복사본을 생성하여 시작프로그램으로 등록하게 되는데 이때 복사본의 파일명 또한, 정상 프로그램명으로 위장하고 있으며, 스페이스바 입력을 통한 빈공간과 함께 파일명이 생성되어 있는것이 특징이다. 아래의 일부 코드를 통해 해당 파일명을 정의하고 있다.


3. 예방 조치 방법

위와 같이 특정 응용 프로그램의 취약점을 악용하는 악성파일의 경우 사전 방역이 어렵다는 특징을 가진다. 또한, 일반 사용자의 경우 해당 악성파일을 실행해도 내부에 포함되어 있는 정상적인 한글 문서 파일이 출력되므로 감염 여부에 대한 파악이 더욱 어려울 수 있다. 때문에 사용자들은 한글 등 사용중인 응용 프로그램에 대한 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.32768.CBC
- Trojan-Exploit/W32.Hwp_Exploit.189968





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀은 2012년 07월 18일 새벽 4시 경 국내 인터넷뱅킹 사용자들을 표적으로 제작된 악성파일 변종이 구글 코드(Google Code) 오픈 소스 프로젝트 호스팅 서버를 통해서 추가 유포 중인 것을 확인하였다. 공격자는 악성파일 등록 경유지 도메인을 보다 안전하고 평판 신뢰도를 높이기 위한 목적으로 구글 코드 서버를 사용한 것으로 추정된다. 악성파일은 지금으로부터 약 30시간 전인 2012년 07월 16일 23시 경에 서버에 등록되었으며, 별도의 유포지를 통해서 지금도 계속 배포가 되고 있을 것으로 보여진다. 이번 변종의 경우 호스트파일(hosts) 변조를 통해서 국내 금융권 사이트 접속시 파밍공격 시도를 하는 것 외에 치밀하게 잉카인터넷 nProtect Anti-Virus 제품군과 안랩의 V3 제품군의 업데이트 방해 기능도 추가를 한 상태이다. 

이런 점을 미루어보아 악성파일 제작자는 국내 보안업체들이 적극적으로 대응/차단하고 있다는 점을 인지한 상태로 보이며, 역으로 보안제품의 정상적인 서비스를 수행하지 못하도록 하는 공격형 성향을 보이고 있는 상태이다. 이처럼 국내 인터넷뱅킹 사용자들의 중요 금융정보를 탈취하고 시중 은행계좌에 접근하여 금융사 고객의 예금을 불법적으로 인출하기 위한 시도가 기승을 부리고 있어, 이용자들의 각별한 주의가 필요한 상황이다.



2. 악성파일 관련 정보

[긴급]국내 인터넷 뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
http://erteam.nprotect.com/312

[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
http://erteam.nprotect.com/311

[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
http://erteam.nprotect.com/299

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

■ nProtect Anti-Virus for KRBanker v5 전용백신 업데이트 (업데이트 2012. 07. 16)
http://www.nprotect.com/v7/down/sub.html?mode=vaccine_view&subpage=4&no=317

[배포]국내 인터넷뱅킹 표적용 악성파일 무료 전용백신 공개
http://erteam.nprotect.com/294

국내 인터넷뱅킹 사용자의 예금 불법 인출을 목적으로 다양한 방식의 악성파일 유포수법이 발견되고 있다. 이런 가운데 구글 코드(Google Code) 서버 호스팅을 이용한 유포방식이 추가 발견되었고, 현재 이 시간에도 유포가 진행 중인 상태이다.
 


악성파일은 "aax.exe" 라는 파일명이며, 기존과 동일하게 SFX 자동압축해제 형식의 기능을 가지고 있다. 압축파일 내부에는 "ServiceInstall.exe", "WindowsDirectx.exe" 악성파일이 포함되어 있다.

 


해당 악성파일을 사용자가 실행할 경우 시스템폴더 경로에 2가지 파일이 설치되고 실행된다.
 


그 다음에 "WindowsDirectx" 라는 이름으로 윈도우 서비스로 등록되어 작동을 시작하며, 윈도우OS 부팅 시마다 자동으로 실행되도록 만든다.


수십 초 간격으로 일본의 특정 C&C 호스트로 접속을 시도하며, 명령제어 서버와 정상적으로 통신이 되면 CONFIU.txt 라는 파일로 접속을 하고 내부에 포함된 명령어에 따라 추가적인 악성파일을 설치하게 된다.


현재 해당 파일 내부에는 "74.exe" 라는 파일을 임시폴더 경로에 다운로드하고 실행하도록 구성되어 있고, 기존에는 "CONFIG.txt" 라는 파일을 사용했지만 이번에는 "CONFIU.txt" 라고 파일명이 변경된 상태이다.


"74.exe" 파일도 SFX 자동압축해제 방식으로 압축되어 있으며, 내부에는 "CONFIG.INI", "CretClient.exe", "HDSetup.exe" 파일이 포함되어 있고, 윈도우 폴더 경로에 설치된다.



감염동작이 수행되면 호스트파일(hosts)파일을 변조하여 금융권 및 보안업체 등의 정상적인 접속을 가로채기한다.

 

www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com www.wooribank.com wooribank.com pib.wooribank.com bank.keb.co.kr gms.ahnlab.com avs.nprotect2.net www.1.co.kr


3. 호스트파일(hosts) 설정을 악용한 인터넷 뱅킹 피싱 대응

최근 지속적으로 발견되고 있는 인터넷 뱅킹 사용자 표적용 악성파일(변종)은 윈도우 운영체제의 호스트파일 설정 기능을 악용하여 정상적인 인터넷 뱅킹 접속 시도시 피싱사이트로 접속되도록 조작하며, "보안승급서비스" 내용으로 현혹하여 사용자의 중요 금융정보를 직접 입력하도록 만든 후 중간에서 가로채기 하는 수법을 이용하고 있다.

hosts 파일이란 DNS(Domain Name Service)를 이용하지 않고, 윈도우OS가 인터넷 통신을 할 때 DNS보다 hosts 파일을 먼저 참조하는 기능을 이용해서 내부에 설정된 IP주소와 도메인 호스트로 접속하도록 설정된 파일이다.

다만, 악성파일들이 이러한 정상적인 기능을 악용하여 보안업체 사이트로 접속을 방해하거나 조작된 허위 사이트로 접속하도록 하여 개인 정보 탈취에 사용하고 있어 문제가 되고 있다.

윈도우XP 운영체제의 hosts 파일은 다음과 같은 경로에 존재하며 기본적인 설정값에는 127.0.0.1 localhost 라는 내용이 포함되어 있다. 만약 직접 설정한 값이 아닌데, 인터넷 뱅킹용 도메인 주소와 특정 IP주소가 연결되어 있는 경우라면 악성파일에 감염되어 있을 가능성이 매우 높다고 할 수 있다.


인터넷 뱅킹 사용자 표적용 악성파일에 감염되어 있는 hosts 파일의 내용은 다음과 같이 변경되며, IP주소와 도메인 주소 등은 공격자에 의해서 언제든지 변경될 수 있다.


악성파일에 의해서 변경된 호스트 파일은 마이크로 소프트사의 Fit it 50267 프로그램을 이용해서 문제해결을 할 수 있다. 다음 사이트에서 Fix it 단추나 링크를 클릭하고 파일 다운로드 대화 상자에서 실행을 클릭한 후 Fix it 마법사의 단계를 따르면 된다.

※ 호스트 파일을 기본값으로 다시 설정하는 방법
http://support.microsoft.com/kb/972034/ko

nProtect AVS 3.0 제품의 환경설정을 통해서 호스트파일(hosts)을 변조를 사전에 차단할 수도 있다.


4. 전자금융 이용자 정보보호 수칙

- 금융회사에서 제공하는 보안프로그램을 반드시 설치한다.
- 전자금융에 필요한 정보는 수첩, 지갑 등 타인에게 쉽게 노출될 수 있는 매체에 기록하지 않고, 타인에게 (금융회사 직원 포함)알려주지 않는다.
- 금융계좌, 공인인증서 등의 각종 비밀번호는 서로 다르게 설정하고 주기적으로 변경한다.
- 금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기로 사용한다.
- 전자금융거래 이용내역을 본인에게 즉시 알려주는 휴대폰 서비스 등을 적극적으로 이용한다.
- 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관한다.
- PC방 등 공용장소에서는 인터넷 금융거래를 자제한다.
- 바이러스 백신 등을 이용하고, 최신 윈도우 보안패치를 적용한다.
- 의심되는 이메일이나 게시판의 글은 열어보지 말고, 첨부파일은 열람 또는 저장하기 전에 백신으로 검사해 본다.

참고로 국민은행의 경우 정상적인 실제 웹 사이트는 https 로 서비스되고 있다는 점도 유념하면 좋다. 가짜 웹 사이트는 http 를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다.

[국민은행 : 피싱사이트 주의 및 안전한 인터넷뱅킹 이용방법 안내]
https://otalk.kbstar.com/quics?page=C019391&bbsMode=view&articleId=4513


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 :
http://avs.nprotect.com/

 

 

 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect