1. 개 요


최근 온라인 게임 계정 정보 탈취를 노리는 악성파일에 대한 유포가 지속적으로 발생하고 있어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일에 감염될 경우 온라인 게임 계정정보에 대한 유출을 비롯해 사용중인 Internet Explorer(이하 IE)의 비정상적인 종료 현상이 빈번히 발생되어 사용자들로 하여금 상당한 불편함을 유발할 수 있다. 또한, 해당 악성파일의 경우 지속적인 변종 유포로 백신 상으로의 대응에도 한계점이 있는 것이 사실이다.

  

[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파]
http://erteam.nprotect.com/170

[v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요]
http://erteam.nprotect.com/157

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]
http://erteam.nprotect.com/130

2. 유포 경로 및 감염 증상

해당 악성파일은 주말을 기점으로 국내 파일 공유 사이트 등을 통해 중점적인 유포가 이루어지고 있다. 파일 공유 사이트의 경우 일반 사용자들이 주말 여가 시간을 이용해 많은 접속을 시도할 수 있어 감염 범위가 상당히 커질 수 있을 것으로 추정되고 있다.

악성파일 제작자 및 유포자는 국내 파일 공유 사이트의 취약점을 이용해 추가적인 악성파일이 다운로드 및 실행될 수 있도록 악성 URL을 삽입 할 수 있다.

이렇게 되면 일반 사용자의 경우 웹 사이트가 변조된 파일 공유 사이트에 접속하게 되는것 만으로도 쉽게 온라인 게임 계정정보 탈취를 목적으로 하는 해당 악성파일에 감염될 수 있다.

아래의 그림은 파일 공유 사이트에 삽입된 악성 URL을 통해 다운로드 및 취약점에 의해 실행 가능한 악성 스크립트의 복호화 화면이다.

  

■ 악성 스크립트 복호화 화면

 

  

또한, 예전 글에서 설명하였던 국내 소셜 커머스 사이트 변조 사례와 유사하게 IE, Flash 취약점을 이용한 추가적인 악성파일 다운로드 및 실행을 시도하고 있는것도 특징이라 할 수 있다.
  

■ 악성 Flash 파일 내의 악의적 코드(문자열 변환 작업)


위 그림과 같은 악성 Flash 파일 내부의 일부 코드를 통해 추가적으로 다운로드할 수 있는 악성파일과 관련된 일종의 설정 작업 등을 수행할 수 있게 된다.

  

위에서 설명한 절차를 거쳐 감염 과정이 완료가 되면 아래의 그림과 같이 윈도우 정상 시스템 파일명 교체 등의 변조 작업을 통해 실질적인 온라인 게임 계정 탈취를 위한 악성 기능이 동작될 수 있다.

※ 생성 파일

  - (사용자 임시 폴더)\nsp9.tmp\SelfDel.dll
  - (사용자 임시 폴더)\ws2help.dll
  - (프로그램 폴더)\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
  - (윈도우 시스템 폴더)\(년월일시분초).dll (예:2011619162132)
  - (윈도우 시스템 폴더)\ws2help.dll
  - (윈도우 시스템 폴더)\ws3help.dll(정상파일)

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.


해당 악성파일 감염으로 유출될 수 있는 온라인 게임 리스트는 아래와 같다.

※ 온라인 게임 계정 정보 유출 리스트

  - dnf.exe(던전앤파이터)
  - MapleStory.exe(메이플스토리)
  - FF2Client.exe(피파온라인2)
  - lin.bin(리니지)
  - DarkBlood.exe(다크블러드)
  - heroes.exe(마비노기영웅전)
  - LOB.exe(레전드오브블러드)
  - x2.exe(엘소드)

※ OTP 관련 모듈 모니터링

  - PCOTP.exe


또한, 해당 악성파일은 아래의 그림과 같이 특정 백신에 대한 종료 기능을 가지고 있다.


3. 예방 조치 방법

위와 같은 악성파일은 주말을 기점으로 파일 공유 사이트 변조를 통해 지속적인 유포를 시도하기 때문에 한동안 끊임없는 보안 이슈로 작용할 전망이다. 현재 주말 뿐만 아니라 평일에도 파일 공유 사이트 및 온라인 게임을 즐기는 사용자가 많아 엄청난 금전적인 손실 피해가 뒤따를 수 있는 만큼 아래와 같은 "보안 관리 수칙"을 반드시 준수해 안전한 PC사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 치료

- Script-JS/W32.Agent.CFH
- Script-JS/W32.Agent.CFE
- Trojan-Exploit/W32.SWFlash.3467.JT
- Script-JS/W32.Agent.CFG
- Trojan/W32.Agent.85104.B
- Script-JS/W32.Agent.ZV
- Trojan/W32.Agent.44096.IJ
- Trojan/W32.Agent.33588742.B
- Trojan/W32.Agent.33600522



 

Posted by nProtect

1. 개 요


2011년 06월 15일 국내 유명 특정 소셜 커머스 웹 사이트가 변조되고 플래시 취약점 등이 악용되어 새로운 악성파일을 다수 유포하고 있는 것이 발견되었다. 소셜 커머스는 다양한 상품을 저렴한 가격으로 구매할 수 있기 때문에 많은 사람들이 이용하고 있다. 이러한 특성을 가지는 소셜 커머스 중 금일 웹 사이트가 변조된 해당 소셜 커머스의 경우 많은 광고 등을 통해 널리 알려진 업체이기에 감염 범위가 상당할 것으로 예상되고 있다. 이와 같이 정상적인 웹 사이트를 변조할 경우 일반 사용자들은 악성파일의 감염에 쉽게 노출될 수 있음으로 사용자 스스로의 관심과 주의가 더욱 요망되고 있다.

  

※ 소셜 커머스(Social commerce) 란?

페이스북, 트위터 등의 소셜 네트워크 서비스(SNS; Social Network Service)를 활용하여 이루어지는 전자상거래의 일종으로, 일정 수 이상의 구매자가 모일 경우 파격적인 할인가로 상품을 제공하는 판매 방식이다. 소셜 쇼핑(Social shopping)이라고도 하며, 상품의 구매를 원하는 사람들이 할인을 성사시키기 위하여 공동구매자를 모으는 과정에서 주로 소셜 네트워크 서비스를 이용하기 때문에 이런 이름이 붙었다.

2. 감염 경로 및 증상


변조된 국내 유명 소셜 커머스 웹 사이트에 접속할 경우 미리 삽입된 악성 URL 및 일부 버전에서 동작 가능한 Flash 파일의 취약점을 통해 추가적인 악성파일들이 다운로드 된다. 이러한 방식을 거쳐 최종적으로 다운로드된 095.exe, 95.exe, 122.exe 악성파일은 감염되면 정상 시스템 파일인 lpk.dll 파일을 변조하여 특정 온라인 게임 계정정보 탈취 등의 악성 동작을 할 수 있다. 

금번 플래시 취약점을 악용하는 이 방식은 보통 휴일기간에 집중되고 있는 타겟형 공격 중 하나였으나, 플래시 플레이어 보안패치가 공식 배포되면서 평일에도 공격을 수행하고 있는 것으로 보여진다. 웹 사이트에 삽입되었던 악성 스크립트는 해당 서버 관계자에 의해서 신속하게 제거가 된 것으로 확인되었으나, 추가 공격이 발생할 가능성이 잔존하므로, 소셜 커머스 이용자들은 반드시 취약점이 보완된 가장 최신 플래시 플레이어와 MS 보안패치 등을 설치하는 것이 중요하고, 웹 서버쪽에는 보안 취약점 제거의 노력이 필요하다. 최신 버전이 설치되어 있지 않은 상태에서 웹 사이트에 방문하는 경우에는 대부분 자동으로 악성 파일에 감염된다. 감염된 사용자의 경우 nProtect Anti-Virus 프로그램을 통해서 진단/치료 수행을 권장한다.


■ 소셜 커머스 웹 사이트 변조에 따른 악성파일 다운로드

해당 소셜 커머스 웹 사이트에 접속할 경우 아래의 그림들과 같이 미리 삽입된 악성 URL을 통해 추가적인 악성파일에 대한 다운로드 및 실행이 가능하다.

클릭하시면 확대된 화면을 보실 수 있습니다.



또한, 위와 같은 방법으로 미리 삽입된 URL에 의해 다운로드 및 실행될 수 있는 악성 스크립트 중에서는 일부 버전에서 동작 가능한 Flash 파일의 취약점을 이용해 추가적인 악성파일 다운로드를 시도하는 경우도 있다.

위 그림은 Flash 파일의 취약점에 의해 추가적인 악성파일을 다운로드 할 수 있는 SWF 파일에 대한 디코딩 화면이며, 아래의 그림은 위에서 설명한 SWF 파일이 실행될 시 브라우저 체크 및 다운로드에 필요한 URL 파싱 등의 작업을 위한 코드이다.

■ Flash exploit 취약점에 영향을 받는 Adobe Flash Player 버전

 - 10.3.181.14 버전
 - 10.3.181.22 버전
 - 10.3.181.23 버전
 - 10.1.82.76 버전
 - 최신 버전(10.3.181.26 버전)을 제외한 모든 버전은 업데이트 필요

※ Adobe Flash Player 최신 업데이트 사이트

☞ 
http://www.adobe.com/go/getflash (10.3.181.26 버전이상 최신 업데이트 권장)


■ 정상 시스템 파일(lpk.dll)의 변조


최종적으로 다운로드되는 095.exe, 95.exe, 122.exe 악성파일 등은 감염 시 정상 시스템 파일인 lpk.dll 파일의 파일명을 lpk32.dll로 변경한 후 자신이 생성한 특정 온라인 게임 계정정보 등의 탈취가 가능한 악성파일을 lpk.dll 파일명으로 명명하게 된다. 따라서 감염되지 않은 정상 시스템의 경우에는 시스템 폴더에 lpk.dll 파일명으로 존재하므로, lpk.dll 파일이 존재한다고 하여 무조건 감염된 것은 아니다. 감염 여부를 체크하는 가장 좋은 방법은 최신 Anti-Virus 제품으로 검사를 수행해 보는 것을 권장한다.

 
[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]
http://erteam.nprotect.com/130

[v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요]

http://erteam.nprotect.com/157
  

3. 예방 조치 방법

위와 같이 다양하고 많은 사람들이 사용하는 소셜커머스 등의 사이트를 변조하여 악성파일을 유포할 경우 감염 범위가 상당히 넓어질 수 있으며, 엄청난 금전적 손실 피해가 뒤따를 수 있다. 

특히, 이번과 같이 정상 사이트 변조 및 응용 프로그램 취약점을 동시에 사용한 경우 일반인들은 인지하지 못하는 상태에서 감염이 이루어질 수 있다. 이러한 유포 기법을 사용하는 악성파일로 부터 안전하기 위해서는 아래의 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

■ nProtect Anti-Virus 제품군에 치료 기능이 추가된 악성파일 진단명

- Trojan-Exploit/W32.SWFlash.5863.JF
- Trojan-Exploit/W32.SWFlash.3949.JG
- Trojan-Exploit/W32.SWFlash.3820.JC
- Trojan-Exploit/W32.SWFlash.2956.JE
- Trojan/W32.Magania.33585878
- Trojan/W32.Agent.83876.C
- Trojan/W32.Agent.33599194
- Script-JS/W32.Agent.CEK
- Script-JS/W32.Agent.CEL
- Script-JS/W32.Agent.CEN
- Script-JS/W32.Agent.ZR
- Script-JS/W32.Agent.CEO

 


Posted by nProtect
1. 개 요


최근 지인이나 사회적으로 관심을 끌 수 있는 내용 등으로 위장한 악성 파일 유포가 기승
을 부리고 있다. 이러한 이메일의 본문은 수신자의 지인을 사칭한  내용으로 구성되어 있으며, 첨부 파일에 대한 다운로드 및 실행을 유도하는 일종의 사회 공학 기법을 사용한 형태이기 때문에 일반 사용자들의 경우 쉽게 현혹될 수 있다는것이 특징이다. 첨부된 파일은 악성 파일로서 감염될 경우 사용자들의 PC를 다양한 피해에 노출시킬 수 있으므로 각별한 주의가 필요하다. 특히, 국지적 공격에 악용되는 경우가 많으므로, 사례별 내용을 파악해서 대처해 보도록 하자.


2. 감염 경로 및 증상
 
 

사례 ① : 유니코드 확장자 변조 기법


"뭐 하고있냐...보고싶구나" 라는 메일 제목을 사용해 국내 이용자들을 타켓으로 발송한 이메일의 첨부 파일 형태로 유포되고 있으며, 아래의 그림과 같이 메일 본문 내용은 수신자의 지인을 사칭하고 있다. 또한, 메일 내용을 자세히 살펴보면 첨부된 파일에 대한 다운로드 및 실행을 유도하고 있다.

 


이메일 상에 첨부된 파일 또한, 일반 사용자들의 호기심을 자극할 만한 파일명으로 되어있으며, 첨부되어 있는 "아내에게서 칭찬받는 방법.zip" 파일 내부에는 HWP 한글 문서처럼 위장된 실행파일(SCR)이 포함되어 있다. 아래 그림과 같이 압축 내부에 포함된 파일은 Type 부분에 화면 보호기(SCR)라는 것을 확인할 수 있다.

 


 ZIP 압축을 해제하면 "100가지 방법_201ORCS.hwp" 이름의 HWP(문서) 파일이 생성되지만 이것은 실제로 실행 파일(SCR)이며, 유니코드 확장자 변조기법을 사용하여 사용자로 하여금 실제 문서 파일(HWP)로 안심시키기 위한 교묘한 악성파일 감염 유도 방식이다.


HWP 문서 파일처럼 위장된 실행 파일을 사용자가 실행할 경우 또 다른 정상 HWP 문서 파일을 설치하고 실행시켜, 마치 정상적인 문서 파일로 인식되도록 만들고, 악성 파일과 정상 문서 파일의 파일명과 아이콘을 비교해 보면 다음과 같다.


문서 파일처럼 조작된 파일을 Command 화면에서 볼 경우 다음과 같이 SCR 확장자를 가지고 있는 것을 확인할 수 있다.


실제 사용자를 교묘하게 속이기 위해서 보여주는 "아내에게 사랑받는 100가지 방법.hwp" 문서 파일의 실행된 모습은 다음과 같고, 문서 제목과 일치하는 내용들이 문서에 포함되어 있다.

 


 해당 악성파일을 실행하게 되면 특정 사이트 접근 및 아래와 같은 추가적인 악성 파일들을 생성한다.

※ 생성 파일
  - (사용자 임시 폴더)\xmlUpdate.exe (16,896 바이트)
  - (사용자 임시 폴더)\아내에게 사랑받는 100가지 방법.hwp (35,328 바이트)

※ 특정 사이트 접속 시도
  - 생성된 xmlUpdate.exe파일에 의해 특정 사이트 접근 시도
  - hxxp://(생략).kr/bbs/(생략)/lo_backward.gif

※ (사용자 임시 폴더)
  - C:\Documents and Settings\(사용자 계정)\Local Settings\Temp를 말한다.

또한, 악성 파일 내부에 특정 폴더를 삭제하는 기능도 가지고 있다.

 

사례 ② : DOC 문서 취약점 기법

"김정일위원장의 중국 방문을 결산한다" 라는 제목과 내용, 첨부 파일 등을 통해서 악성 파일을 전파하는 방식인데, 사례 ① 에서는 ZIP 압축 파일이 첨부되어 있었지만 사례 ② 에서는 RAR 압축 파일을 사용하였다.

 


"김정일위원장의 중국 방문을 결산한다.rar" 압축 첨부 파일내부에는 다음과 같이 MS Word 파일이 포함되어 있으며, 보안 취약점을 이용하여 악성 파일을 사용자 몰래 설치하게 된다.


내부에 포함된 "김정일위원장의 중국 방문을 결산한다.doc" 파일을 실행하게 되면 다음과 같이 실제 문서 내용을 보여주고, 사용자 몰래 악성 파일을 설치하고 감염시킨다.


악성파일에 감염되면 아래의 그림과 같이 "KB016599e6.dll" 파일을 생성하게 된다.

 


생성된 악성 "KB016599e6.dll" 파일은 유효한 디지털 서명을 탈취하여 사용하고 있는 것으로 추정되며, 마치 정상적인 파일처럼 보이도록 조작하는 기법 중에 하나이다.

 

3. 예방 조치 방법


위와 같은 사회공학 기법을 이용한 악성파일 유포는 앞으로도 끊임없이 출현하여 지속적인 보안 위협으로 작용할 전망이다. 또한, 해당 악성파일들은 문서 내용 자체가 한글로 이루어져있어 해외에서는 감염 확률이 낮을 수 있으며 국내 이용자를 중심으로 활발한 유포 및 감염 피해 사례가 발생할 수 있다.

이러한 악성파일로 부터 안전한 PC 사용을 하기 위해서는 아래의 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

4. 국제 사회 이슈에 대한 접근 시 보안 측면 고려를 통한 선별적 접근


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 


 

Posted by nProtect

1. 개 요


최근 까지 다양한 기법으로 지속적인 출현을 거듭해온 FakeAV(허위 백신 제품)가 이번에는 Mac OS 에서 동작하는 버전이 등장해 사용자들의 주의를 요망하고 있다. 허위 백신 제품의 경우 해외를 중심으로 전파가 이루어지고 있으나. 최근 애플(Apple)사의 제품들이 국내에서 큰 인기를 누리고 있는 만큼 국내에도 유입 및 피해 사례가 발생할 수 있다. 때문에 Mac OS 기반 제품 사용자들은 이번 글을 통해 해당 FakeAV에 대해 알아보고 혹시 있을지 모를 피해에 대비할 수 있는 시간을 가져볼 수 있도록 하자.

  

[MacDefender fake AV security software tops Apple Mac user woes]
http://www.computerweekly.com/Articles/2011/05/20/246730/MacDefender-fake-AV-security-software-tops-Apple-Mac-user.htm

[Mac users hit with fake anti-virus when using Google image search]
http://nakedsecurity.sophos.com/2011/05/02/mac-users-hit-with-fake-av-when-using-google-image-search/ 

  

※ 참고 사항

☞ 애플 커뮤니티 사이트 :
http://macdefender.org/

이번에 발견된 Mac 기반 동작 FakeAV의 경우 독일의 애플 커뮤니티 사이트와 유사한 이름을 사용하고 있으며, 해당 사이트에서는 피해 방지를 위해 이번 허위 백신과 아무런 관련이 없다는 공지를 띄우고 있다.

2. 감염 경로 및 증상

해당 허위 백신은 검색엔진최적화(Search Engine Optimization)기법을 통해 유포될 수 있다. 또한, 이메일의 첨부 파일이나 SNS 및 인스턴트 메신저 등의 링크 접속을 통해서도 다운로드 될 수 있으며 Mac OS에서는 다운로드와 동시에 패키지 설치가 진행될 수 있다.

해당 허위 백신의 다운로드가 완료되면 아래의 그림과 같이 패키지 설치 과정을 거치는 창을 볼 수 있으며, 설치 시 Root 권한을 필요로 하기 때문에 관리자 계정 암호를 물을 수도 있으니 참고할 수 있도록 하자.


위의 설치 과정이 완료되면 아래의 그림과 같이 곧바로 허위 백신이 실행되어 스캔을 시작한다.

감염에 사용된 맥북에는 설치되어 있는 어플리케이션이 거의 존재하지 않음에도 불구하고 기타 다른 허위 백신과 유사하게 엄청난(?) 진단기능을 보여주고 있다.

위의 그림에서 확인 할 수 있는 허위 감염 사실 해결을 위해 "Cleanup" 버튼을 클릭하면 아래의 그림과 같이 제품 사용을 위한 등록 요구 창을 볼 수 있다.

위 그림에서 볼 수 있는 "Register" 버튼을 클릭하게 되면 아래의 그림처럼 다른 허위 백신과 동일하게 신용카드 등을 이용한 결재 유도 창을 볼 수 있다.

위에서 설명한 허위 진단 사실 및 결재 유도 창을 확인 후 절대로 결재하는 실수를 해서는 안된다. 진단 화면은 실제 악성파일에 감염되어 뜨는 것이 아니라 결재를 유도하기 위한 허위 진단 결과이므로 결재를 한다고 해도 절대로 백신(?)의 효과를 기대할 수 없으니 반드시 주의할 수 있도록 하자.

※ Mac 기반 동작 FakeAV의 경우 아래의 리스트와 같은 패키지들이 있을 수 있으니 참고할 수 있도록 하자.

  - macprotector.pkg
  - macProtectorInstallerProgramPostflight.pkg
  - macsecurity.pkg
  - macSecurityInstallerPostflight.pkg
  - MacDefender.mpkg
  - macdefenderSetupPostflight.pkg

3. 예방 및 조치 방법

현재 Mac OS를 지원하는 백신은 그리 많지 않은 것으로 파악되고 있으나, 외산 백신의 경우 Mac OS에서 사용되는 사례가 많은 만큼 위와 같은 허위 백신으로부터 안전하기 위해서는 반드시 하나 이상의 백신을 설치해 사용하는 것을 권장한다.

다만, 현재 애플에서는 이러한 악성파일과 관련된 정보 및 패치 제공/협조가 미비한 만큼 안전한 PC 사용을 위해 ▶발신처가 불분명한 이메일의 열람 및 첨부파일 다운로드 자제, ▶SNS 및 인스턴스 메신저 등을 통한 링크 접속에 주의를 기울이는 등 사용자 스스로의 주의와 관심이 무엇보다 중요하다고 할 수 있겠다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



Posted by nProtect

1. 개 요


최근 해외를 중심으로 감염 증상 해결을 위해 금전적 요구를 하는 형태의 Ransomware가 지속적으로 등장하고 있어 일반 사용자들의 각별한 주의가 요망되고 있다. 일단 감염이 이루어지면 PC 사용 자체가 불가능해지며, 일정 금액을 지불해야만 해당 증상 해제를 위한 일종의 키값을 받을 수 있기 때문에 시간적, 물리적, 금전적 손실이 뒤따르게 된다. 이번 글을 통해 지속적으로 출현중인 Ransomware에 대해 살펴 본 후 혹시 있을지 모를 피해에 대비할 수 있도록 하자.

2. 감염 경로 및 증상

Ransomware는 취약점이 존재하는 특정 웹 사이트를 통해 유포될 수 있으며, 이메일의 첨부파일이나, 인스턴트 메신저 혹은 SNS(Social Network Services)등을 통해서도 유포가 가능하다.

어떠한 방법으로든 일단 감염이 이루어지면 아래의 그림과 같이 윈도우 창 자체에 일종의 "Lock"을 걸어 PC사용 자체를 불가능하게 한다.

위 그림을 살펴보면 앞서 설명했던 Ransomware의 주요 감염 증상인 금품 요구에 대한 부분을 확인할 수 있다. 또한, 재부팅을 진행해도 해당 "Lock" 증상은 사라지지 않는다.

3. 임시 대응 방법

그렇다면 이러한 악성파일에 감염될 경우 악성파일 제작자의 금품 요구를 따르던가 아니면 감염 PC에 대한 포멧 말고는 해결 방법이 없을까?

아래의 "수동 조치 방법"을 활용할 경우 임시적으로 수동 치료가 가능하니 참고할 수 있도록 하자.

  

◆ 수동 조치 방법

1) 윈도우를 재부팅하여 "F8" 키를 눌러 아래의 그림과 같은 화면으로 이동한 후 "안전 모드"를 선택해 계속해서 부팅 과정을 진행한다.

2) 윈도우 하단의 "시작" -> "실행" -> "regedit" 입력 후 "레지스트리 편집기"를 실행한다.

3) 아래의 경로에 존재하는 악성파일 레지스트리 정보를 삭제 한다.

  - 이   름 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  - 데이터 : C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\explorer.exe

4) 아래의 경로로 이동하여 해당 악성파일을 삭제한다.

  - 경   로 : C:\Documents and Settings\%username%\Application Data\Microsoft
  - 파일명 : explorer.exe


5) 1~4번 항목을 모두 수행 한 후 재부팅을 진행하면 임시적인 수동치료는 모두 완료된다.

  

4. 예방 조치 방법

위와 같은 Ransomware는 금품 요구를 목적으로 PC사용 자체를 불가능하게 만들기 때문에 만일 기업체 등에서 감염될 경우 중요 데이터 손실 및 금전적 피해를 입을 수 있다.

또한, 해당 악성파일의 감염 특징상 사후조치가 어려우며 지속적인 변종 출현 가능성이 상당히 크기 때문에 사전 예방 조치가 반드시 선행되어야 한다. 아래와 같은 보안 관리 수칙을 준수해 해당 악성파일로부터 안전할 수 있게 대비하도록 하자.

◆ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램의 최신 보안패치 생활화 한다.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 인스턴트 메신저, SNS(Social Network Service) 등을 통한 링크 접속에 주의를 기울인다.

4. 발신처가 불분명한 이메일에 대한 열람과 첨부 파일의 다운로드를 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 Ransomware에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 여러 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



 

Posted by nProtect

1. 개 요


2011년 5월 11일 한국시간 오후 5시경 인도의 특정 트위터 계정을 통해서 제우스(Zeus) 악성파일 자동화 개발 도구의 가장 마지막 버전의 소스코드가 암호와 함께 트위터 등을 통해서 빠르게 전파되고 있는 것이 잉카인터넷 대응팀 보안 관제 중에 발견되어 인터넷 사용자들의 각별한 주의가 요망되고 있다.

기존에 발견되었던 제우스 빌더의 소스코드는 암호화 압축되었던 파일들만 인터넷에 공개되어 있었고, 복호화할 수 있는 암호가 공개되어 있지 않아서 실제로 사용하는데는 제약이 있었지만 금일부터는 사용이 가능한 소스가 공유되고 있는 것이 공식적으로 확인된 것이다.

잉카인터넷 시큐리티 대응센터는 2011년 5월 11일부터 급속도로 공유되고 있는 제우스 오리지널 소스 코드를 이미 2011년 5월 2일에 자체 입수하여, 정밀 상세 분석과 함께 원천 차단 방어기술을 개발하고 있는 상태였으며, 잉카인터넷에서 소스 코드를 확보했을 당시에는 다행히도 인터넷상에 공개적으로 암호가 공유되어 있지는 않고 있었다.


하지만 누구나 쉽게 암호화된 소스코드를 해제할 수 있는 파일이 무차별적으로 확산됨에 따라 앞으로 "▶온라인 뱅킹을 타겟으로 하는 트로이목마 변종이 지금보다 더 기하급수적으로 증가" 할 것으로 우려되며, 악성 파일로 구성되는 봇넷(Bot-Net) 등의 위험도 역시 비례적으로 높아질 것으로 전망된다. 

따라서 제우스 악성파일과 관련하여 인터넷 뱅킹 등의 보안 위협을 최소화할 수 있는 "
종합적인 보안성 검토가 다각적으로 요구되어질 것으로 예상된다".

2. 제우스 압축해제 버전 소스코드 공개

아래 화면은 지금으로 부터 약 5시간 전에 인도의 특정 해커가 트위터를 통해서 제우스 소스 코드를 자신의 웹 사이트에 올려놓고, 다운로드할 수 있는 주소와 정상적으로 압축을 해제할 수 있는 암호키를 함께 전파하고 있는 화면을 잉카인터넷 대응팀에서 직접 캡처한 화면이며, 해당 트위터의 Retweet 기능과 함께 다양한 SNS 경로와 해킹 포럼 등에서 2차~3차 배포 등이 증가하고 있는 실정이다.


 

일부 모자이크 처리


아래는 특정 웹 사이트에 등록되어 있는 제우스 소스 코드 화면이다.


공유되고 있는 도메인을 잉카인터넷 대응팀에서 확인해 본 결과 아래와 같이 정상적으로 다운로드가 이루어졌으며, 암호 역시 정상적으로 해제되고 있는 것을 확인하였다.

일부 모자이크 처리


다운로드한 압축 파일은 아래 화면의 왼쪽 이미지와 같이 암호화 압축 파일이며, 트위터에 공개된 암호키를 입력하여 압축을 해제하면 오른쪽 이미지와 같이 정상적으로 압축 해제가 가능한 것을 확인하였다.


잉카인터넷 대응팀은 자체적으로 입수하여 확보하고 있던 소스코드와 금일 해외에서 급속도로 전파되고 있는 소스코드를 비교해 본 결과, 금일 확인된 압축 파일에서는 일부 러시아어로 된 설명 파일이 누락되어 있었지만 소스코드 부분은 거의 동일했다.

또한, 소스코드의 빌드를 시도하면 다음과 같이 Zeus Package Builder 화면을 볼 수 있으며, 정상적으로 빌드 진행이 가능하다.


3. 제우스 변종 악성파일 누구나 쉽게 제작 가능

제우스 악성파일은 보통 Zbot 이라는 형태의 진단명으로 nProtect Anti-Virus 최신 버전으로 탐지 및 치료가 가능하다. 문제는 계속해서 유사 변형이 제작되고 유포되고 있다는 점인데, 지금과 같이 Builder 소스 프로그램이 유출되어 무분별하게 공유될 경우엔 지금보다 더 많은 변종이 출현하게 될 것으로 예측된다.

또한, 빌더는 다양한 버전이 공개되어 악성파일 제작에 악용되고 있다.


소스코드는 악성파일을 개발할 수 있는 빌더 도구 자체를 변형할 수 있기 때문에 소스 레벨 단계에서 차단할 수 있는 기술이 요구되게 된다.

다음 화면은 이번에 유출된 소스가 정상적으로 작동되는 것을 잉카인터넷에서 확인한 내용이다. Actions 부분에는 악성파일 구성 기능이 다수 포함되어 있고, 다양한 인터넷 뱅킹 웹 사이트를 타겟으로 지정할 수 있는 것을 확인할 수 있다.

일부 모자이크 처리


4. 대응 방법

잉카인터넷에서는 해당 제우스 빌더로 생성한 최신 악성파일을 이용하여 간단한 테스트를 진행해 보았다. 잉카인터넷 키보드 보안 솔루션인 nProtect KeyCrypt 를 이용해서 웹페이지 암호 키입력 보호 테스트를 수행해 본 결과 문제 없이 입력 키 값을 보호할 수 있는 것으로 확인하였다.


잉카인터넷 nProtect Anti-Virus 제품군에서는 제우스 악성파일 변종을 지속적으로 수집 확보하여 신속하게 치료 기능을 추가하고 있으며, 변종에 대한 원천적인 차단 기능을 제공할 예정이다.


이처럼 다양한 보안 위협으로 부터 사전에 대비하고 안전한 컴퓨터 환경을 지속하기 위해서 아래와 같은 기본적인 보안 수칙을 준수한다면 보안 위협에 쉽게 노출되는 것을 충분히 예방하는 효과를 거둘 수 있다.

[권장 보안 관리 수칙]

◎ 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.
◎ Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.
◎ Firewall, Anti-Virus 등 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.
◎ 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 
◎ 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.
◎ 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.

 

Posted by nProtect

1. 개 요


최근 YouTube로 위장한 사이트에서 자바 애플릿을 이용해 악성파일을 유포한 사실이 발견되어 사용자들의 주의를 요망하고 있다. 세계적으로 널리 알려진 동영상 전문 커뮤니티 등으로 위장할 경우 일반 사용자들은 별다른 의심 없이 클릭할 수 있으며, 동영상 내용이 일반인들의 흥미를 쉽게 불러일으킬 만하다면 그 피해는 더욱 커질 수 있다. 때문에 이번 글을 통해 해당 악성파일을 살펴보고 발생할 수 있는 피해에 미리 대비할 수 있는 시간을 가져볼 수 있도록 하자.

2. 유포 경로 및 감염 증상

아래의 그림과 같은 특정 동영상 전문 커뮤니티로 위장한 사이트뿐만 아니라 일반 사용자들을 현혹하기 쉬운 여러 사이트 등을 통해서도 해당 악성파일을 유포할 수 있다.

위와 같은 사이트로 이동할 경우 자바 애플릿을 이용하는 "(생략)youtube.com/YouTube.jar" 파일을 다운로드 및 실행할 수 있으며, JDK에 대한 설치 및 구성이 완료되어 있는 경우 "YouTube.jar" 파일 내에 포함되어 있는 "YouTube.class" 파일로 인해 추가적인 악성파일 다운로드가 이루어질 수 있다.

※ YouTube.class 내부 코드

※ 생성 파일

  - (사용자 임시 폴더)\10058-1.exe(89,600 바이트)
  - 다운로드된 파일에 대한 파일명 변경 : 10058-1.exe -> privzate.exe

※ 사용자 임시 폴더란, 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.


또한, 위에서 설명한 YouTube 위장 사이트 외에도 아래의 그림처럼 게임 동영상 등 사용자들의 관심을 끌 만한 내용으로 우회하는 방법을 사용해 타 사이트에서도 유포가 가능할 수 있다.

추가적으로 다운로드되는 악성파일(10058-1.exe)은 아래의 그림과 같이 루마니아에 그 서버가 존재하는 것으로 확인되었다.

또한, 추가적으로 다운로드된 악성파일에 감염될 경우 아래의 그림과 같은 특정 사이트에 지속적인 접근 시도를 하며, 경우에 따라 Bot 기능을 수행할 수 있다.

3. 예방 조치 방법

사용자들을 현혹하여 감염을 유발시키는 위와 같은 악성파일의 경우, 현재 악성파일 유포 트랜드에 비춰볼 때 관련된 신종/변종 악성파일의 출현 가능성이 상당히 크다고 볼 수 있다. Anti-Virus 제품의 특성상 신종/변종 악성파일로부터 100% 안전을 보장하기에는 한계점이 있으며, 보다 안전한 PC 사용을 위해서는 아래의 보안 관리 수칙과 함께 사용자 스스로의 관심과 노력이 무엇보다 중요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안 패치 생활화

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지함과 동시에 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 여러 보안 위협에 대비하기 위해 24시간 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.

 

 

 

Posted by nProtect

1. 개 요


2011년 5월 초부터 미연방수사국인 "FBI(Federal Bureau of Investigation)에서 발송된 것처럼 교묘하게 위장된 악성 이메일이 발견"되고 있어, 인터넷 사용자들의 각별한 주의가 요망되고 있다.

이메일의 특징은 보낸 사람이  "FBI" 라고 지정되어 있고, 발신지 이메일 주소 역시 fbi.gov 로 조작되어 있다. 수신자가 실제 FBI 측에서 발송한 이메일로 오인하여 첨부되어 있는 압축파일을 열고 실행 할 경우 "악성 파일에 노출되어 감염"되는 위험성이 존재한다.

※ 악성 이메일의 특성

보통 악성파일을 첨부한 이메일 전파수법은 사용자로 하여금 신뢰할 수 있는 조직이나 기관 등에서 발송한 것처럼 위장하기 위해서 다양한 속임수를 쓰는 것이 보편화 되어 있는데, 특징적으로 ▶시기적, 사회적으로 이슈화 되고 있는 내용(사회공학적 기법)이거나 ▶이메일 본문에 웹 사이트 링크가 포함되어 있거나, ▶특정 파일 등이 첨부되어 있는 경우이다. 따라서 위와 같은 조건과 유사한 조건의 이메일을 수신할 경우에는 혹시라도 정보 보안에 위협적인 요소가 포함되어 있지는 않은 지 각별히 유의해서 확인하는 절차나 습관이 필요하겠다.


이번에 보고된 FBI 발신지 위장 형식의 악성 이메일의 내용은 아래와 같고, 관련 내용을 사전에 충분히 숙지하여 둔다면 이와 유사하게 전파되고 있는 악성파일을 미리 인지하거나 미연에 예방하는데 도움이 될 수 있겠다.

2. 악성 이메일 전파 방식

"보낸 사람"의 이메일 주소 중 일부(* 표시)는 숫자이며 매번 가변적으로 표기되고, 영문 내용으로만 이루어져 있다. 한글로 번역된 내용은 이해도를 높히기 위하여 별도로 추가한 사항이다.

보낸 사람 :
FBI (info*****@fbi.gov)

제목 :
You visit illegal websites

당신은 불법적인 웹 사이트들에 방문하였다.

본문 :
Sir/Madam, we have logged your IP-address on more than 40 illegal Websites. Important: Please answer our questions! The list of questions are attached.

우리는 당신의 IP 주소를 40개 이상의 불법적인 웹사이트들에서 확인하였습니다. 중요: 저희의 질문에 대답해 주십시요! 질문 리스트는 첨부하였습니다.

첨부 파일 :
document.zip

==============================================================================================================

 


3. 첨부된 악성 파일

해당 이메일에는 "document.zip" 이라는 이름의 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 "document.exe" 이름의 실행 파일이 포함되어 있다.

"document.exe" 파일은 문서 형식의 파일 처럼 위장시키고 사용자를 속이기 위해서 PDF 문서용 아이콘을 사용하고 있는 것이 특징이다.


4. 감염 증상

사용자가 "document.exe" 파일을 실행하면 악성 파일에 감염이 이루어지게 되며, 악성 파일은 사용자 몰래 특정 웹 호스트로 접속하여 pusk.exe 이름의 유료 결제를 유도하는 사기성 프로그램을 다운로드하고 설치를 하게 된다.

◎ 추가 악성 파일 다운로드
http://*****ntov.com/pusk.exe (일부 주소 * 처리)

 


설치된 사기성 프로그램은 마치 윈도우 복구용 프로그램(Windows Recovery)처럼 위장하고 있으며, 사용자 컴퓨터에 존재하지 않는 가짜 에러 검출과 수정 요구화면을 지속적으로 노출시켜, 사용자로 하여금 불안감을 조성한 후에 소액 치료 결제를 유도하여 금전적인 이득을 취하기 위한 일종의 "사이버 범죄 형태"이다. 

이와 유사한 종류로는 대표적으로 "가짜 백신(Fake Anti-Virus)" 이라는 형태가 가장 많이 유행하고 있는데, 보통 허위로 탐지된 악성파일 감염 경고창 등을 노출시켜 사용자로 하여금 소액 결제를 유도하는 방식인데, 최근에는 이처럼 사용자 컴퓨터에 치명적인 오류 등이 있는 것처럼 거짓 내용을 보여주는 악성 파일 형태가 증가하고 있어 각별한 주의가 필요하다.

[참고 자료]

◆ AVG로 위장한 허위백신 등장에 따른 주의필요
http://erteam.nprotect.com/116

◆ 해외 유명 백신 설치본으로 위장한 악성파일 발견 주의 필요
http://erteam.nprotect.com/142


5. 예방 조치 법

다양한 보안위협으로 부터 사전에 대비하고 안전한 컴퓨터 환경을 지속하기 위해서 아래와 같은 기본적인 보안 수칙을 준수한다면 보안 위협에 쉽게 노출되는 것을 충분히 예방하는 효과를 거둘 수 있다.

[권장 보안 관리 수칙]

◎ 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.
◎ Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.
◎ Firewall, Anti-Virus 등 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.
◎ 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 
◎ 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.
◎ 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.


이번에 발견된 악성파일은 다양한 변종이 지속적으로 유포되고 있다. 잉카인터넷 대응팀에서는 해당 파일에 대해서 실시간 대응체계를 유지하고 있으며, nProtect Anti-Virus 제품군에서는 다음과 같이 진단/치료 기능을 제공하고 있다.

document.exe : Trojan-Downloader/W32.FraudLoad.18432.AY
pusk.exe : Trojan/W32.Agent.510976.AB


 


Posted by nProtect

1. 개 요


ESTsoft에서 제공중인 무료 백신 알약으로 위장한 악성파일이 등장하여 사용자들의 주의를 필요로 하고 있다. 해당 악성파일은 알약과 유사한 아이콘 및 디스크립션(설명)을 가지고 있어 일반 사용자의 경우 쉽게 현혹될 수 있으므로, 이번 글을 통해 해당 악성파일을 살펴보고 혹여, 발생할 수 있는 피해에 대비해 미리 예방할 수 있는 시간을 가져볼 수 있도록 하자.

참고적으로 금년 상반기 최고의 보안 이슈였던 3.3 DDoS 기간 때도 알약으로 위장한 악성파일이 출현하여 이슈가 되었던 전례가 있었다.

  

[국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장]
http://erteam.nprotect.com/134
  

3.3 DDoS 당시 발견되었던 알약 위장 악성파일의 경우 DDoS기능은 존재하지 않았으나 이번에 발견된 알약 위장 악성파일의 경우는 DDoS 기능을 포함 하고 있어 더욱 주의가 필요하다.

2. 감염 경로 및 증상

우선, 이번에 발견된 알약으로 위장한 악성파일은 아래의 그림과 같은 URL에서 유포되는 것으로 알려졌으나, 이메일의 첨부파일 형태로도 유포될 수 있다.

※ 알약 위장 악성파일 유포 경로(현재는 해당 URL에서 다운로드 되지 않고 있다.)
  - http://(생략).info/(생략)/100.exe

해당 URL은 그 유포지가 영국으로 확인되었으며, 내부 디스크립션(설명)이 한글로 되어있는 것으로 미루어보아 국내 상황을 파악하고 있는 악성파일 제작자가 영국의 IP를 유포지로 선택하여 사용하였음을 추측할 수 있다.
  


  

해당 악성파일을 다운로드 한 후 실행하게 되면 자신에 대한 삭제와 동시에 복사본을 아래와 같은 경로에 생성하며, 레지스트리 등록을 통해 윈도우와 함께 지속적인 실행이 가능하도록 구성하게 된다.

※ 생성 파일
  - C:\Documents and Settings\explorerere.exe (52,224 바이트)

※ 레지스트리 값 등록
  - [HKLM\SYSTEM\CurrentControlSet\Services\zvwerqt]
  - 값 이름 : ImagePath
  - 값 데이터 : "C:\Documents and Settings\explorerere.exe"


생성된 복사본은 아래의 URL에 지속적인 접속을 시도하여, 향후 추가적인 악성파일을 다운로드할 수 있다. 또한, 생성된 악성파일이 서비스단에 등록되어 Backdoor 및 일종의 Bot기능을 수행할 수 있을 것으로 추정되며, 현재 추가적인 증상 파악을 위한 분석이 진행되고 있다.

특징을 살펴보면 알약의 아이콘 뿐만 아니라 디스크립션(설명) 부분까지 도용하고 있다는 점이며, 자세히 살펴보면 정상 디스크립션(설명) 부분과 구분할 수 있는 차이점이 존재한다.

                                  < 악성 파일 >                                                            < 정상 파일 >

위 그림의 적색박스 부분을 살펴보면 악성파일과 정상파일간 "설명 :" 부분에서 아래와 같은 차이점을 보이고 있다.

※ 차이점
  - 정상 파일 : 알약 제품의 모듈 기능에 대한 설명 기술
  - 악성 파일 : 알약 제품에 대한 설명 기술


또한, 아래의 그림과 같이 DDoS 공격 기법중 하나인 "GET Flooding" 기법을 통해 지속적으로 특정 대상지에 GET Packet을 전송할 수 있다.


3. 예방 조치 방법

위와 같이 국내에서 많은 사용자를 가지는 프로그램으로 위장한 악성파일의 경우 일반 사용자들은 별다른 의심없이 다운로드 및 실행을 할 수 있다. 때문에 일단 유포가 이루어지면 감염이 쉬우며, 경우에 따라서 수많은 좀비 PC를 양산해 낼 수도 있으므로 사용자들은 아래와 같은 보안 관리 수칙을 준수하여 안전한 PC 사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램 등의 최신 보안 패치 생활화

2. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드 자제

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 반드시 설치하고 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON"상태로 유지해 사용한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.



 

Posted by nProtect

1. 개 요

최근 사회적으로 이슈가 되고있는 DDoS와 관련해 국내 특정 백신사의 전용백신으로 위장한 악성파일이 발견되었다. 해당 악성파일은 DDoS 공격 기능을 가지고 있지는 않은 것으로 알려졌으나, 사회적 이슈를 악용한 사회공학 기법의 악성파일이 다시금 등장하면서 DDoS와 관련해 추가적인 피해가 예상되고 있다.

[주의] 알약 DDoS 전용백신 위장 개인정보 유출 악성코드 등장
http://www.boannews.com/media/view.asp?idx=25143&kind=0

2. 감염 경로 및 증상

해당 악성파일은 국내 유명 포털 사이트의 카페 등을 통해 유포된 것으로 알려졌으며, 경우에 따라 DDoS 관련 이슈를 악용해 이메일의 첨부파일이나 메신저, SNS(Social Network Service) 등의 링크를 통해 유포될 수 있다.


위 그림과 같이 국내 백신사의 아이콘을 도용해 일반 사용자들은 쉽게 현혹될 수 있다. 또한, 해당 백신사의 디지털 서명을 사용한 것으로 알려졌으며, 아래의 그림과 같이 디지털 서명이 존재하지 않는 변종이 발견된 것으로 미루어 보아 지속적인 변종 제작 및 유포가 시도될 수 있다.

위 그림을 살펴보면 국내 백신사의 아이콘을 도용하면서 파일 내부적으로 공급자가 "Microsoft Corporation"으로 지정되어 있는 것이 특징이다.

해당 악성파일에 감염되면 아래와 같은 추가적인 악성파일들을 생성한다.

※ 생성파일

  - (윈도우 시스템 폴더)\inpleqlxa.exe (179,181 바이트)
  - (사용자 계정 폴더)\Temp\(7~8자리 임의의 숫자)_lang.dll (125,570 바이트)

또한, 아래와 같이 레지스트리 값을 등록하여 생성된 악성파일이 위도우 시작시 마다 실행될 수 있도록 한다. 

※ 레지스트리 생성 값

  - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\해당 CLSID]
  - 값 이름 : "stubpath"
  - 값 데이터 : (윈도우 시스템 폴더)\inldtepix.exe

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정) 이다.

현재 해당 악성파일은 DDoS와 같은 증상은 나타나지 않고 있다. 키로깅 등을 이용해 최종적으로 계정 정보 탈취 등의 동작을 수행하려는 것으로 추정되고 있으며, 현재 정밀분석이 진행중이다.

3. 예방 조치 방법

현재 DDoS가 사회적으로 이슈가 되고있는 만큼 신뢰할 수 있는 출처에서 제공된 정보를 선별적으로 접하는 습관이 중요하다. 또한, 해당 악성파일로 부터 안전하게 PC를 사용하기 위해 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화 하고, ▶메신저, SNS 등을 통한 링크 접속에 주의를 기울여야 한다. 마지막으로 무엇보다 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 중요하다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

Posted by nProtect