1. 개 요

 

매년 연말연시가 되면 다양한 지인들과 서로 안부를 전하는 등 축제적인 분위기가 이어지며, 악성파일 제작자들은 이와같은 기회를 놓치지않고 매년 연말연시 분위기에 편승해 사회공학 기법을 통한 악성파일 유포를 시도해왔다. 악성파일 제작들은 이러한 연말연시를 겨냥해 악성파일이 첨부된 다양한 종류의 이메일을 무작위적으로 발송하게되며, 일반 사용자들은 연말연시 이메일을 비롯해 다양한 방법을 통해 인사 및 안내 메일을 주고받기 때문에 쉽게 현혹되어 악성파일에 감염될 수 있다. 

이번글을 통해 사회공학 기법을 통한 악성파일 유포 사례 등을 살펴보고 이를 토대로 사회공학 기법을 이용해 유포될 수 있는 악성파일로부터 각 PC에 대한 안전을 유지할 수 있도록 하자.
  

2. 유포 방법 및 사례

사회공학 기법을 이용해 악성파일을 유포할 경우 악성파일 제작자들은 손쉽게 다수의 감염 상황을 유발시킬 수 있도록 이메일, SNS 등을 통해 전파하는 방법을 취하는 것이 일반적이다. 이러한 경우 이메일에 특정 악성파일을 첨부하여 유포하는 방법을 취하거나 SNS의 경우 악성파일에 대한 다운로드 및 설치가 가능한 URL 등의 링크를 삽입하는 등의 방법을 취하는것이 일반적이다.

◆ 이메일을 이용한 사회공학적 기법 사례

 


위와 같은 이메일은 사용자들을 손쉽게 현혹시키기 위해 이메일 본문 내용에 첨부된 파일이나 링크 등의 다운로드 및 클릭을 유도하는 글을 삽입할 수 있으며, 위 그림과 같이 공인된 기업 및 기관으로 위장한 형태로 이메일을 보내는 등의 방법을 취할수도 있다.

◆ SNS를 이용한 사회공학적 기법 사례


위 그림은 SNS를 통해 악성파일을 유포하는 사회공학 기법의 한 사례이며, 감염될때마다 감염자와 친구등록이 되어있는 모든 사용자들에게 악성파일에 대한 다운로드가 가능한 링크 전파가 이루어질 수 있어 이메일보다 감염 범위가 넓을 수 있다.

3. 예방 조치 방법

위에서 설명한 이메일, SNS는 악용될 수 있는 사회공학 기법의 아주 작은 예이다. 사회공학 기법은 이메일, SNS뿐만 아니라 매우 다양한 형태로 일반 사용자에게 찾아올 수 있으며, 이렇게 악용될 수 있는 사회공학 기법에 제대로 대처하지 못한다면 악성파일에 감염되어 예측할 수 없는 피해를 입을 뿐만아니라 본인의 부주의로 인해 다양한 대상에게서 여러 가지 피해 상황이 발생할 수 있다. 

이러한 사회공학 기법을 이용한 악성파일의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
Posted by nProtect
1. 개 요


최근 지인이나 사회적으로 관심을 끌 수 있는 내용 등으로 위장한 악성 파일 유포가 기승
을 부리고 있다. 이러한 이메일의 본문은 수신자의 지인을 사칭한  내용으로 구성되어 있으며, 첨부 파일에 대한 다운로드 및 실행을 유도하는 일종의 사회 공학 기법을 사용한 형태이기 때문에 일반 사용자들의 경우 쉽게 현혹될 수 있다는것이 특징이다. 첨부된 파일은 악성 파일로서 감염될 경우 사용자들의 PC를 다양한 피해에 노출시킬 수 있으므로 각별한 주의가 필요하다. 특히, 국지적 공격에 악용되는 경우가 많으므로, 사례별 내용을 파악해서 대처해 보도록 하자.


2. 감염 경로 및 증상
 
 

사례 ① : 유니코드 확장자 변조 기법


"뭐 하고있냐...보고싶구나" 라는 메일 제목을 사용해 국내 이용자들을 타켓으로 발송한 이메일의 첨부 파일 형태로 유포되고 있으며, 아래의 그림과 같이 메일 본문 내용은 수신자의 지인을 사칭하고 있다. 또한, 메일 내용을 자세히 살펴보면 첨부된 파일에 대한 다운로드 및 실행을 유도하고 있다.

 


이메일 상에 첨부된 파일 또한, 일반 사용자들의 호기심을 자극할 만한 파일명으로 되어있으며, 첨부되어 있는 "아내에게서 칭찬받는 방법.zip" 파일 내부에는 HWP 한글 문서처럼 위장된 실행파일(SCR)이 포함되어 있다. 아래 그림과 같이 압축 내부에 포함된 파일은 Type 부분에 화면 보호기(SCR)라는 것을 확인할 수 있다.

 


 ZIP 압축을 해제하면 "100가지 방법_201ORCS.hwp" 이름의 HWP(문서) 파일이 생성되지만 이것은 실제로 실행 파일(SCR)이며, 유니코드 확장자 변조기법을 사용하여 사용자로 하여금 실제 문서 파일(HWP)로 안심시키기 위한 교묘한 악성파일 감염 유도 방식이다.


HWP 문서 파일처럼 위장된 실행 파일을 사용자가 실행할 경우 또 다른 정상 HWP 문서 파일을 설치하고 실행시켜, 마치 정상적인 문서 파일로 인식되도록 만들고, 악성 파일과 정상 문서 파일의 파일명과 아이콘을 비교해 보면 다음과 같다.


문서 파일처럼 조작된 파일을 Command 화면에서 볼 경우 다음과 같이 SCR 확장자를 가지고 있는 것을 확인할 수 있다.


실제 사용자를 교묘하게 속이기 위해서 보여주는 "아내에게 사랑받는 100가지 방법.hwp" 문서 파일의 실행된 모습은 다음과 같고, 문서 제목과 일치하는 내용들이 문서에 포함되어 있다.

 


 해당 악성파일을 실행하게 되면 특정 사이트 접근 및 아래와 같은 추가적인 악성 파일들을 생성한다.

※ 생성 파일
  - (사용자 임시 폴더)\xmlUpdate.exe (16,896 바이트)
  - (사용자 임시 폴더)\아내에게 사랑받는 100가지 방법.hwp (35,328 바이트)

※ 특정 사이트 접속 시도
  - 생성된 xmlUpdate.exe파일에 의해 특정 사이트 접근 시도
  - hxxp://(생략).kr/bbs/(생략)/lo_backward.gif

※ (사용자 임시 폴더)
  - C:\Documents and Settings\(사용자 계정)\Local Settings\Temp를 말한다.

또한, 악성 파일 내부에 특정 폴더를 삭제하는 기능도 가지고 있다.

 

사례 ② : DOC 문서 취약점 기법

"김정일위원장의 중국 방문을 결산한다" 라는 제목과 내용, 첨부 파일 등을 통해서 악성 파일을 전파하는 방식인데, 사례 ① 에서는 ZIP 압축 파일이 첨부되어 있었지만 사례 ② 에서는 RAR 압축 파일을 사용하였다.

 


"김정일위원장의 중국 방문을 결산한다.rar" 압축 첨부 파일내부에는 다음과 같이 MS Word 파일이 포함되어 있으며, 보안 취약점을 이용하여 악성 파일을 사용자 몰래 설치하게 된다.


내부에 포함된 "김정일위원장의 중국 방문을 결산한다.doc" 파일을 실행하게 되면 다음과 같이 실제 문서 내용을 보여주고, 사용자 몰래 악성 파일을 설치하고 감염시킨다.


악성파일에 감염되면 아래의 그림과 같이 "KB016599e6.dll" 파일을 생성하게 된다.

 


생성된 악성 "KB016599e6.dll" 파일은 유효한 디지털 서명을 탈취하여 사용하고 있는 것으로 추정되며, 마치 정상적인 파일처럼 보이도록 조작하는 기법 중에 하나이다.

 

3. 예방 조치 방법


위와 같은 사회공학 기법을 이용한 악성파일 유포는 앞으로도 끊임없이 출현하여 지속적인 보안 위협으로 작용할 전망이다. 또한, 해당 악성파일들은 문서 내용 자체가 한글로 이루어져있어 해외에서는 감염 확률이 낮을 수 있으며 국내 이용자를 중심으로 활발한 유포 및 감염 피해 사례가 발생할 수 있다.

이러한 악성파일로 부터 안전한 PC 사용을 하기 위해서는 아래의 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

4. 국제 사회 이슈에 대한 접근 시 보안 측면 고려를 통한 선별적 접근


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 


 

저작자 표시
신고
Posted by nProtect

1. 개 요


최근 정상적인 이메일로 위장해 악성파일을 유포하는 형태의 기법이 기승을 부리고 있다. 일반 사용자들은 평소 다양한 광고 형태의 이메일을 자주 받는다. 때문에 별다른 의심 없이 이러한 이메일의 열람 및 첨부 파일에 대한 다운로드 및 실행을 할 수 있어 각별한 주의가 요망되고 있다. 이번 글에서는 세계적인 물류 배송 업체 DHL에서 보낸 이메일로 위장한 형태의 사례를 살펴보고 이러한 보안 위협에 미리 대비할 수 있는 시간을 가져보도록 하자.

2. 감염 경로 및 증상

위와 같은 악성파일 유포 기법은 제목과 같이 말 그대로 정상적인 이메일로 자신을 위장해 첨부 파일 형태로 된 악성파일을 사용자로 하여금 다운로드 및 실행할 수 있게 유도한다.

이러한 악성파일 유포 기법은 대표적으로 아래의 그림과 같이 정상적인 이메일로 위장되어 다수의 일반 사용자에게 발송된다.

"첨부 :" 부분에서 악성파일을 포함한 압축파일이 첨부되어 있는 것을 확인할 수 있으며, 이메일의 본문 하단 적색박스를 살펴보면 "2010"으로 표시되어 있는 부분 또한 확인이 가능하다. 참고로 메일이 도착한 일시는 "2011년 5월 17일 화요일"이다.

메일 본문을 살펴보면 고객의 주소가 잘못되었다는 내용과 함께 첨부 파일에 대한 다운로드 및 실행을 유도하고 있다. 첨부되어 있는 압축파일을 다운로드 후 압축을 해제하면 아래의 그림과 같은 파일을 확인할 수 있다.

파일명 또한 DHL로 위장하고 있음을 확인할 수 있다. 해당 파일을 실행하게 되면 레지스트리 값 수정 및 아래와 같은 경로에 파일을 생성하게 된다.

※ 생성파일
 - (사용자 계정 폴더)\Application Data\(임의의 영문자 폴더명)\(임의의 4자리 영문자).exe

※ 레지스트리 값 생성 및 수정
 - 이   름 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 - 데이터 : (사용자 계정 폴더)\Application Data\(임의의 영문자 폴더명)\(임의의 4자리 영문자).exe

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자계정) 이다.

또한, 아래의 그림과 같이 explorer.exe를 통해 지속적으로 외부 사이트에 접속을 시도하게 되어 경우에 따라 추가적인 악성파일 다운로드 및 Bot 기능을 수행할 수 있다.

3. 예방 조치 방법

위와 같이 정상적인 이메일로 위장한 악성파일 유포의 경우 일반 사용자들이 쉽게 현혹되어 다양한 피해를 유발할 수 있다. 이러한 보안 위협은 넓은 범위에서의 사회공학 기법으로 해석할 수 있으며, 노출 범위 또한 상당히 넓다고 할 수 있다. 때문에 사용자 스스로 아래와 같은 보안 관리 수칙을 준수하는 방법이 안전한 PC 사용을 위한 최선의 노력일 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



 

저작자 표시
신고
Posted by nProtect

1. 개 요


최근 국제적으로 이슈가 되고 있는 리비아 반정부 시위 사태와 관련해 사회공학 기법을 이용한 악성파일 유포가 이루어지는 것으로 알려져 사용자들의 주의가 요구되고 있다. 일본의 지진 사태와 같은 굵직한 사회/국제적 이슈는 이제 악성파일 제작자 등을 포함한 사이버 범죄자들의 가장 좋은 범죄 수단으로 악용되고 있는 만큼 이번 글을 통해 관련 내용에 대해 살펴보고 피해를 입지 않도록 사전에 대처할 수 있는 시간을 가져보도록 하자.

  

[참고 : Online criminals bring the Libyan conflict to your computer]

http://blogs.paretologic.com/malwarediaries/index.php/2011/04/01/online-criminals-bring-the-libyan-conflict-to-your-computer/
  

2. 악성파일 유포 경로 및 감염 증상

아래와 같은 특정 사이트의 도메인은 최근 만들어진 것으로 보고되고 있으며, 접속하게 되면 리비아 사태와 관련한 정보들이 제공되고 있는 화면을 볼 수 있다.

해당 사이트는 대부분의 정보들을 신뢰할 수 있는 기관들의 링크형식을 통해 정상적인 방법으로 제공하고 있다. 다만, 접속 시 자바 애플릿을 통해 아래와 같은 추가적인 악성파일을 다운로드 할 수 있다.

※ 다운로드 파일

  - FreeLibya.jar (2,762 바이트)

파일명 또한, 리비아와 관련 있는 파일명으로 되어 있어 다운로드 및 실행 시 사용자들이 쉽게 현혹될 수 있다. 다만, 사용자들의 PC에 자바 JDK 설치 여부에 따라 아래의 그림과 같은 화면을 볼 수 있으며, 해당 jar 파일에 대한 다운로드가 불가능할 수 있다.

  

◆ 자바 JDK 미설치 시

◆ 자바 JDK 설치 시

  

위의 과정을 통해 다운로드된 jar 파일이 실행되면, 내부의 class 파일에 코딩된 자바 코드에 따라 아래와 같은 추가적인 악성파일(javaclient.exe)을 다운로드 하게 된다.

디컴파일된 class파일 내부코드

위의 과정을 통해 추가적으로 다운로드된 악성파일(javaclient.exe)이 실행되면 아래와 같이 자신의 복사본을 특정 경로에 생성하게 되며, 레지스트리 값 등록을 통해 윈도우 부팅 시 마다 악성파일이 동작할 수 있도록 한다.

※ 생성파일

  - (사용자 임시 폴더)\svc21host.exe (1,130,496 바이트)

※ 레지스트리 생성

  - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  - 이   름 : svc21host
  - 데이터 : (사용자 임시 폴더)\svc21host.exe

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.


또한 아래의 그림과 같이 지속적으로 특정 외부 사이트와 접속 상태를 유지하며, 최종적으로 봇넷 PC가 될 수 있다.

3. 예방 조치 방법

사회/국제적 이슈에 대한 정보는 모든 사람들이 관심을 가질 수 밖에 없다. 악성파일 제작자 등을 포함한 사이버 범죄자들은 사람들의 이러한 심리를 악용하기 때문에 사회공학 기법을 이용한 악성파일 유포 등의 사이버 범죄가 지속적으로 늘어나고 있는 추세이다.

위와 같은 보안 위협으로부터 안전하기 위해서는 무엇보다 사용자들이 이러한 사회공학 기법의 사이버 범죄 발생 추이에 대해 관심을 가질 필요가 있으며, ▶윈도우와 같은 OS, 각종 응용 프로그램의 최신 보안패치, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 "ON" 상태로 유지하여 사용하는 등의 기본 보안 수칙을 함께 준수하는 것이 최선의 방법이 될 것이다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일을 최신 엔진 및 패턴 버전을 통해 하기와 같이 진단/치료 기능을 제공하고 있으며, 이와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
Posted by nProtect