1. 개 요


최근 지인이나 사회적으로 관심을 끌 수 있는 내용 등으로 위장한 악성 파일 유포가 기승
을 부리고 있다. 이러한 이메일의 본문은 수신자의 지인을 사칭한  내용으로 구성되어 있으며, 첨부 파일에 대한 다운로드 및 실행을 유도하는 일종의 사회 공학 기법을 사용한 형태이기 때문에 일반 사용자들의 경우 쉽게 현혹될 수 있다는것이 특징이다. 첨부된 파일은 악성 파일로서 감염될 경우 사용자들의 PC를 다양한 피해에 노출시킬 수 있으므로 각별한 주의가 필요하다. 특히, 국지적 공격에 악용되는 경우가 많으므로, 사례별 내용을 파악해서 대처해 보도록 하자.


2. 감염 경로 및 증상
 
 

사례 ① : 유니코드 확장자 변조 기법


"뭐 하고있냐...보고싶구나" 라는 메일 제목을 사용해 국내 이용자들을 타켓으로 발송한 이메일의 첨부 파일 형태로 유포되고 있으며, 아래의 그림과 같이 메일 본문 내용은 수신자의 지인을 사칭하고 있다. 또한, 메일 내용을 자세히 살펴보면 첨부된 파일에 대한 다운로드 및 실행을 유도하고 있다.

 


이메일 상에 첨부된 파일 또한, 일반 사용자들의 호기심을 자극할 만한 파일명으로 되어있으며, 첨부되어 있는 "아내에게서 칭찬받는 방법.zip" 파일 내부에는 HWP 한글 문서처럼 위장된 실행파일(SCR)이 포함되어 있다. 아래 그림과 같이 압축 내부에 포함된 파일은 Type 부분에 화면 보호기(SCR)라는 것을 확인할 수 있다.

 


 ZIP 압축을 해제하면 "100가지 방법_201ORCS.hwp" 이름의 HWP(문서) 파일이 생성되지만 이것은 실제로 실행 파일(SCR)이며, 유니코드 확장자 변조기법을 사용하여 사용자로 하여금 실제 문서 파일(HWP)로 안심시키기 위한 교묘한 악성파일 감염 유도 방식이다.


HWP 문서 파일처럼 위장된 실행 파일을 사용자가 실행할 경우 또 다른 정상 HWP 문서 파일을 설치하고 실행시켜, 마치 정상적인 문서 파일로 인식되도록 만들고, 악성 파일과 정상 문서 파일의 파일명과 아이콘을 비교해 보면 다음과 같다.


문서 파일처럼 조작된 파일을 Command 화면에서 볼 경우 다음과 같이 SCR 확장자를 가지고 있는 것을 확인할 수 있다.


실제 사용자를 교묘하게 속이기 위해서 보여주는 "아내에게 사랑받는 100가지 방법.hwp" 문서 파일의 실행된 모습은 다음과 같고, 문서 제목과 일치하는 내용들이 문서에 포함되어 있다.

 


 해당 악성파일을 실행하게 되면 특정 사이트 접근 및 아래와 같은 추가적인 악성 파일들을 생성한다.

※ 생성 파일
  - (사용자 임시 폴더)\xmlUpdate.exe (16,896 바이트)
  - (사용자 임시 폴더)\아내에게 사랑받는 100가지 방법.hwp (35,328 바이트)

※ 특정 사이트 접속 시도
  - 생성된 xmlUpdate.exe파일에 의해 특정 사이트 접근 시도
  - hxxp://(생략).kr/bbs/(생략)/lo_backward.gif

※ (사용자 임시 폴더)
  - C:\Documents and Settings\(사용자 계정)\Local Settings\Temp를 말한다.

또한, 악성 파일 내부에 특정 폴더를 삭제하는 기능도 가지고 있다.

 

사례 ② : DOC 문서 취약점 기법

"김정일위원장의 중국 방문을 결산한다" 라는 제목과 내용, 첨부 파일 등을 통해서 악성 파일을 전파하는 방식인데, 사례 ① 에서는 ZIP 압축 파일이 첨부되어 있었지만 사례 ② 에서는 RAR 압축 파일을 사용하였다.

 


"김정일위원장의 중국 방문을 결산한다.rar" 압축 첨부 파일내부에는 다음과 같이 MS Word 파일이 포함되어 있으며, 보안 취약점을 이용하여 악성 파일을 사용자 몰래 설치하게 된다.


내부에 포함된 "김정일위원장의 중국 방문을 결산한다.doc" 파일을 실행하게 되면 다음과 같이 실제 문서 내용을 보여주고, 사용자 몰래 악성 파일을 설치하고 감염시킨다.


악성파일에 감염되면 아래의 그림과 같이 "KB016599e6.dll" 파일을 생성하게 된다.

 


생성된 악성 "KB016599e6.dll" 파일은 유효한 디지털 서명을 탈취하여 사용하고 있는 것으로 추정되며, 마치 정상적인 파일처럼 보이도록 조작하는 기법 중에 하나이다.

 

3. 예방 조치 방법


위와 같은 사회공학 기법을 이용한 악성파일 유포는 앞으로도 끊임없이 출현하여 지속적인 보안 위협으로 작용할 전망이다. 또한, 해당 악성파일들은 문서 내용 자체가 한글로 이루어져있어 해외에서는 감염 확률이 낮을 수 있으며 국내 이용자를 중심으로 활발한 유포 및 감염 피해 사례가 발생할 수 있다.

이러한 악성파일로 부터 안전한 PC 사용을 하기 위해서는 아래의 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

4. 국제 사회 이슈에 대한 접근 시 보안 측면 고려를 통한 선별적 접근


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개요


페이스북(Facebook) 대화창을 통한 악성파일 유포 사례2010년 12월 14일 오전 국내 특정 언론사를 통해 보도 되었으며, 하기의 그림과 같이 발신처가 페이스북처럼 위장된 스팸 메일 또한 국내에 유입된 것으로 보고 되었다. 이번에 발견된 페이스북 대화창을 이용한 악성파일 유포와 위장형 스팸 메일을 통한 악성파일 유포 방식은 최근 두드러지게 발생하고 있는 사회공학적 기법이며, 여전히 악성파일 유포에 유용하게(?) 사용되고 있다는 단면을 보여주고 있다.


아래의 그림과 같이 이번에 발견된 스팸 메일의 경우 본문에 링크된 URL을 통해 다운로드 될 것으로 예상되는 gong.html 파일(하기 그림의 하단 적색박스 부분) 이 현재 정상적으로 열리지 않고 있다.


페이스북 채팅창을 이용한 악성파일 유포 사례에 대해 사용자들이 피해를 입지 않기를 바라는 마음으로 이번 글을 게재하는 만큼 하기의 내용을 잘 살펴보고 다시한번 이와 같은 사회공학적 기법의 악성파일 유포에 대해 경각심을 유지하는 시간을 가져보도록 하자.

2. 감염 과정

이번 악성파일은 페이스북 대화창을 통해 확산된다고 알려졌으며, 확산 방법은 하기의 그림과 같이 페이스북 관련으로 위장된 URL의 링크를 전송하여 사용자의 클릭을 유도하는 방식을 취한다.

출처 : http://www.ohmynews.com/nws_web/view/at_pg.aspx?CNTN_CD=A0001492491


위 그림과 같이 대화창을 통해 보여지는 해당 URL을 클릭할 경우 하기의 그림과 같이 페이스북으로 위장된 사이트로 이동하게 된다.


해당 사이트는 정상 페이스북 사이트와 유사한 이미지를 사용한 허위 사이트이다. 특이할 만한 사항은 위의 적색박스에 있는 페이스북 로고를 통해 페이스북 메인페이지로 이동이 불가하다는 점이다.

해당 허위 사이트로 이동되면 상기의 그림과 같이 비밀번호 입력과 관련한 경고창을 보여주며, "계속하기" 버튼 클릭을 유도한다. "계속하기" 버튼을 클릭할 경우 하기와 같은 사이트로 이동되며 사진이 옮겨졌다는 문구와 함께 또 다시 "View Photo" 버튼 클릭을 유도한다.


위 그림에서 보여지는 "View Photo"버튼을 틀릭하면 하기의 그림처럼 마치 이미지와 관련된 파일명으로 위장한 악성파일의 다운로드 창을 보여준다.


3. 감염 증상

위의 설명과 같이 다운로드된 악성파일에 감염될 경우 하기의 그림과 같이 자신의 복사본을 숨김 속성으로 윈도우 폴더에 생성하며, 해당 파일은 그림파일과 유사한 아이콘을 가진다.


또한, 하기의 레지스트리 값에 의해 윈도우 시작시 자동으로 함께 실행 되도록 등록된다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 - 값 이름 : "NVIDIA driver monitor"
 - 값 데이터 : "c:\\windows\\nvsvc32.exe"

※ 그래픽카드 개발 업체인 NVIDIA와 관련하여 레지스트리 값 이름을 위장한 것이 특징이다.

해당 악성파일에 감염될 경우 채팅창을 통해 페이스북에 등록된 모든 "친구"들에게 위에서 언급하였던 "페이스북으로 위장된 사이트"로 이동이 가능한 링크를 전송하게 되는 것으로 알려져 있다.

※ 현재는 해당 악성파일이 실행될 경우 Internet Explorer가 실행되면서 유명 소셜 네트워크 서비스(Social Network Service)인 Myspace의 Browse People 페이지에 연결되고 있으니 참고하기 바란다.

또한, 하기의 그림과 같이 특정 웹 사이트와의 통신을 위한 연결 세션을 맺고 있어 추가적인 악성동작이 이루어 질 가능성이 있다.


4. 예방 조치 방법


위와 같이 발신처를 위장하여 스팸 메일을 이용한 사회공학적 기법의 악성파일 유포는 최근 두드러지게 나타나고 있으며, 해당 건과 같이 소셜 네트워크 서비스(Social Network Service)를 악용한 악성파일 유포는 이미 이전에도 발생해 주의를 당부한 바 있다.

[잉카인터넷 보안리포트]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

때문에 해당 건과 유사한 악성파일 유포 사례는 지속적으로 발생할 가능성이 크며, 이러한 유형의 악성파일 유포로부터 안전하기 위해서는 ▶인스턴트 메신저 이용시 쪽지, 대화창을 유심히 살펴본 후 출처가 불분명한 사이트 링크에 대한 클릭을 자제해야 한다. 또한, ▶출처가 불분명한 이메일의 경우 확인하지 말고 삭제하는 습관을 들여야 하며, 만일 이메일을 열람할 경우 첨부된 파일에 대한 다운로드는 자제해야 한다.

nProtect Anti-Virus 제품군에서는 해당 건과 관련하여 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect