1. 개 요


최근 지인이나 사회적으로 관심을 끌 수 있는 내용 등으로 위장한 악성 파일 유포가 기승
을 부리고 있다. 이러한 이메일의 본문은 수신자의 지인을 사칭한  내용으로 구성되어 있으며, 첨부 파일에 대한 다운로드 및 실행을 유도하는 일종의 사회 공학 기법을 사용한 형태이기 때문에 일반 사용자들의 경우 쉽게 현혹될 수 있다는것이 특징이다. 첨부된 파일은 악성 파일로서 감염될 경우 사용자들의 PC를 다양한 피해에 노출시킬 수 있으므로 각별한 주의가 필요하다. 특히, 국지적 공격에 악용되는 경우가 많으므로, 사례별 내용을 파악해서 대처해 보도록 하자.


2. 감염 경로 및 증상
 
 

사례 ① : 유니코드 확장자 변조 기법


"뭐 하고있냐...보고싶구나" 라는 메일 제목을 사용해 국내 이용자들을 타켓으로 발송한 이메일의 첨부 파일 형태로 유포되고 있으며, 아래의 그림과 같이 메일 본문 내용은 수신자의 지인을 사칭하고 있다. 또한, 메일 내용을 자세히 살펴보면 첨부된 파일에 대한 다운로드 및 실행을 유도하고 있다.

 


이메일 상에 첨부된 파일 또한, 일반 사용자들의 호기심을 자극할 만한 파일명으로 되어있으며, 첨부되어 있는 "아내에게서 칭찬받는 방법.zip" 파일 내부에는 HWP 한글 문서처럼 위장된 실행파일(SCR)이 포함되어 있다. 아래 그림과 같이 압축 내부에 포함된 파일은 Type 부분에 화면 보호기(SCR)라는 것을 확인할 수 있다.

 


 ZIP 압축을 해제하면 "100가지 방법_201ORCS.hwp" 이름의 HWP(문서) 파일이 생성되지만 이것은 실제로 실행 파일(SCR)이며, 유니코드 확장자 변조기법을 사용하여 사용자로 하여금 실제 문서 파일(HWP)로 안심시키기 위한 교묘한 악성파일 감염 유도 방식이다.


HWP 문서 파일처럼 위장된 실행 파일을 사용자가 실행할 경우 또 다른 정상 HWP 문서 파일을 설치하고 실행시켜, 마치 정상적인 문서 파일로 인식되도록 만들고, 악성 파일과 정상 문서 파일의 파일명과 아이콘을 비교해 보면 다음과 같다.


문서 파일처럼 조작된 파일을 Command 화면에서 볼 경우 다음과 같이 SCR 확장자를 가지고 있는 것을 확인할 수 있다.


실제 사용자를 교묘하게 속이기 위해서 보여주는 "아내에게 사랑받는 100가지 방법.hwp" 문서 파일의 실행된 모습은 다음과 같고, 문서 제목과 일치하는 내용들이 문서에 포함되어 있다.

 


 해당 악성파일을 실행하게 되면 특정 사이트 접근 및 아래와 같은 추가적인 악성 파일들을 생성한다.

※ 생성 파일
  - (사용자 임시 폴더)\xmlUpdate.exe (16,896 바이트)
  - (사용자 임시 폴더)\아내에게 사랑받는 100가지 방법.hwp (35,328 바이트)

※ 특정 사이트 접속 시도
  - 생성된 xmlUpdate.exe파일에 의해 특정 사이트 접근 시도
  - hxxp://(생략).kr/bbs/(생략)/lo_backward.gif

※ (사용자 임시 폴더)
  - C:\Documents and Settings\(사용자 계정)\Local Settings\Temp를 말한다.

또한, 악성 파일 내부에 특정 폴더를 삭제하는 기능도 가지고 있다.

 

사례 ② : DOC 문서 취약점 기법

"김정일위원장의 중국 방문을 결산한다" 라는 제목과 내용, 첨부 파일 등을 통해서 악성 파일을 전파하는 방식인데, 사례 ① 에서는 ZIP 압축 파일이 첨부되어 있었지만 사례 ② 에서는 RAR 압축 파일을 사용하였다.

 


"김정일위원장의 중국 방문을 결산한다.rar" 압축 첨부 파일내부에는 다음과 같이 MS Word 파일이 포함되어 있으며, 보안 취약점을 이용하여 악성 파일을 사용자 몰래 설치하게 된다.


내부에 포함된 "김정일위원장의 중국 방문을 결산한다.doc" 파일을 실행하게 되면 다음과 같이 실제 문서 내용을 보여주고, 사용자 몰래 악성 파일을 설치하고 감염시킨다.


악성파일에 감염되면 아래의 그림과 같이 "KB016599e6.dll" 파일을 생성하게 된다.

 


생성된 악성 "KB016599e6.dll" 파일은 유효한 디지털 서명을 탈취하여 사용하고 있는 것으로 추정되며, 마치 정상적인 파일처럼 보이도록 조작하는 기법 중에 하나이다.

 

3. 예방 조치 방법


위와 같은 사회공학 기법을 이용한 악성파일 유포는 앞으로도 끊임없이 출현하여 지속적인 보안 위협으로 작용할 전망이다. 또한, 해당 악성파일들은 문서 내용 자체가 한글로 이루어져있어 해외에서는 감염 확률이 낮을 수 있으며 국내 이용자를 중심으로 활발한 유포 및 감염 피해 사례가 발생할 수 있다.

이러한 악성파일로 부터 안전한 PC 사용을 하기 위해서는 아래의 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

4. 국제 사회 이슈에 대한 접근 시 보안 측면 고려를 통한 선별적 접근


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


미국의 주요 금융권을 중심으로 서비스되고 있는 "금융 보안 제품으로 위장된 안드로이드용 모바일 악성 파일이 발견" 되어 사용자들의 각별한 주의가 요망되고 있다. SMS 등의 탈취를 목적으로 하는 이번 악성 어플리케이션은 기존의 악성 어플리케이션들과 기능상의 큰 차이는 없지만 해외 금융 보안 솔루션 제품과 유사한 아이콘 및 파일명으로 교묘하게 위장되어 있다는 점이 특징이다. 국내에는 아직까지 유입된 사례가 없는 것으로 파악되고 있지만 이번 글을 통해 해당 악성 어플리케이션에 대해 살펴본 후 혹시 있을지 모를 피해에 미리 대비할 수 있도록 해 보자.

  

최근들어 nProtect 시큐리티 대응센터/대응팀 보안 관제 중 안드로이드용 악성파일이 지속적으로 발견/입수되고 있어, 앞으로 안드로이드용 보안 강화에 많은 관심과 지속적인 노력이 필요할 것으로 보여진다.

※ 다양한 형태의 안드로이드용 모바일 악성 어플리케이션에 의한 보안 위협

[2중 패키징된 안드로이드용 악성 어플리케이션 등장]
☞ 
http://erteam.nprotect.com/163

[스마트폰 보안 위협의 증대]
http://erteam.nprotect.com/149

[사용자 정보를 겨냥한 안드로이드 악성 앱 출현]
http://erteam.nprotect.com/123

[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]
http://erteam.nprotect.com/122

[사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의]
http://erteam.nprotect.com/98

[스마트폰 GPS 기능은 양날의 칼과 같다]
http://erteam.nprotect.com/25

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 해외 등장!]
http://erteam.nprotect.com/18


※ 위장에 사용된 해외 유명 보안 솔루션 제공 업체

  - http://www.trusteer.com/

 
※ 안드로이드용 금융 보안 제품 서비스로 위장된 내용

a. 아이콘

아래의 그림과 같이 해외 보안 솔루션 업체와 유사한 아이콘을 사용하고 있다.


b. 제품명

아래의 그림과 같이 해외 보안 솔루션 업체의 제품명과 동일한 제품명을 사용하고 있다.


위 그림의 "악성 어플리케이션 사용 제품명" 부분을 살펴보면 영문으로 "bank website" 에 활성화를 위한 키값 입력을 요구 하는 등 지능적인 사기 수법을 사용하고 있다.

  

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 정상 어플리케이션에 악성 기능이 추가된 재패키징 형태는 아니다. 이러한 단독적인 악성 어플리케이션의 경우 안드로이드 마켓 보다는 블랙 마켓이나 3rd party 마켓 등을 통해 유포가 이루질 가능성이 크다.

해당 어플리케이션은 아래와 같은 권한 요구 사항을 가지고 있다.


※ 설치 수행 권한(Permission) 설명

ㄱ. android.permission.RECEIVE_SMS
  - SMS 등의 메시지 수신을 받아오기 위한 권한

ㄴ. android.permission.INTERNET
  - 외부 인터넷 사이트와 통신을 수행하기 위한 권한

ㄷ. android.permission.READ_PHONE_STATE
  - 휴대폰 단말기기 정보 등을 획득하기 위한 권한


설치를 진행하면 위의 설명과 같은 권한 요구 코드를 바탕으로 아래의 그림과 같은 권한 관련 UI를 보여주게 된다.

 


그대로 "설치" 버턴을 클릭하면 아래의 그림과 같은 실행 화면을 볼 수 있다.

 


위 그림에서 모자이크 처리된 부분은 "감염된 휴대폰의 IMEI 값" 이다.

※ 단말기 고유 번호 정보

 - IMEI(International Mobile Equipment Identity) : 단말기 고유 번호
 - IMSI(International Mobile Subscriber Identity) : USIM 고유 번호

아래와 같은 내부 코드를 이용해 위 그림과 같은 IMEI 값을 실행 화면에 출력하고 있다.


또한, 해당 악성 어플리케이션은 내부에 존재하는 아래와 같은 코드를 이용해 SMS, IMEI 값을 탈취하는 기능을 수행한다. 


위 설명과 같이 탈취된 SMS, IMEI 값은 아래의 코드를 통해 특정 사이트로 전송 시도 될 수 있다.


3. 예방 조치 방법

위와 같은 악성 어플리케이션은 유명한 해외 금융 보안 솔루션 제품으로 위장하고 있어 경우에 따라 사용자로 하여금 금전적 손실을 불러올 수 있는 등 충분히 위험성을 갖춘 악성 어플리케이션이라 할 수 있다.


다만, 현재 탈취된 정보를 전송받는 사이트가 차단되어 있어 추가적인 피해는 없겠으나 이와 유사한 악성 어플리케이션은 얼마든지 출현할 수 있다. 때문에 아래와 같은 "모바일 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션(Trojan-Spy/Android.FakeTr.A)에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


최근 정상적인 이메일로 위장해 악성파일을 유포하는 형태의 기법이 기승을 부리고 있다. 일반 사용자들은 평소 다양한 광고 형태의 이메일을 자주 받는다. 때문에 별다른 의심 없이 이러한 이메일의 열람 및 첨부 파일에 대한 다운로드 및 실행을 할 수 있어 각별한 주의가 요망되고 있다. 이번 글에서는 세계적인 물류 배송 업체 DHL에서 보낸 이메일로 위장한 형태의 사례를 살펴보고 이러한 보안 위협에 미리 대비할 수 있는 시간을 가져보도록 하자.

2. 감염 경로 및 증상

위와 같은 악성파일 유포 기법은 제목과 같이 말 그대로 정상적인 이메일로 자신을 위장해 첨부 파일 형태로 된 악성파일을 사용자로 하여금 다운로드 및 실행할 수 있게 유도한다.

이러한 악성파일 유포 기법은 대표적으로 아래의 그림과 같이 정상적인 이메일로 위장되어 다수의 일반 사용자에게 발송된다.

"첨부 :" 부분에서 악성파일을 포함한 압축파일이 첨부되어 있는 것을 확인할 수 있으며, 이메일의 본문 하단 적색박스를 살펴보면 "2010"으로 표시되어 있는 부분 또한 확인이 가능하다. 참고로 메일이 도착한 일시는 "2011년 5월 17일 화요일"이다.

메일 본문을 살펴보면 고객의 주소가 잘못되었다는 내용과 함께 첨부 파일에 대한 다운로드 및 실행을 유도하고 있다. 첨부되어 있는 압축파일을 다운로드 후 압축을 해제하면 아래의 그림과 같은 파일을 확인할 수 있다.

파일명 또한 DHL로 위장하고 있음을 확인할 수 있다. 해당 파일을 실행하게 되면 레지스트리 값 수정 및 아래와 같은 경로에 파일을 생성하게 된다.

※ 생성파일
 - (사용자 계정 폴더)\Application Data\(임의의 영문자 폴더명)\(임의의 4자리 영문자).exe

※ 레지스트리 값 생성 및 수정
 - 이   름 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 - 데이터 : (사용자 계정 폴더)\Application Data\(임의의 영문자 폴더명)\(임의의 4자리 영문자).exe

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자계정) 이다.

또한, 아래의 그림과 같이 explorer.exe를 통해 지속적으로 외부 사이트에 접속을 시도하게 되어 경우에 따라 추가적인 악성파일 다운로드 및 Bot 기능을 수행할 수 있다.

3. 예방 조치 방법

위와 같이 정상적인 이메일로 위장한 악성파일 유포의 경우 일반 사용자들이 쉽게 현혹되어 다양한 피해를 유발할 수 있다. 이러한 보안 위협은 넓은 범위에서의 사회공학 기법으로 해석할 수 있으며, 노출 범위 또한 상당히 넓다고 할 수 있다. 때문에 사용자 스스로 아래와 같은 보안 관리 수칙을 준수하는 방법이 안전한 PC 사용을 위한 최선의 노력일 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


ESTsoft에서 제공중인 무료 백신 알약으로 위장한 악성파일이 등장하여 사용자들의 주의를 필요로 하고 있다. 해당 악성파일은 알약과 유사한 아이콘 및 디스크립션(설명)을 가지고 있어 일반 사용자의 경우 쉽게 현혹될 수 있으므로, 이번 글을 통해 해당 악성파일을 살펴보고 혹여, 발생할 수 있는 피해에 대비해 미리 예방할 수 있는 시간을 가져볼 수 있도록 하자.

참고적으로 금년 상반기 최고의 보안 이슈였던 3.3 DDoS 기간 때도 알약으로 위장한 악성파일이 출현하여 이슈가 되었던 전례가 있었다.

  

[국내 백신사의 DDoS 전용백신으로 위장한 악성파일 등장]
http://erteam.nprotect.com/134
  

3.3 DDoS 당시 발견되었던 알약 위장 악성파일의 경우 DDoS기능은 존재하지 않았으나 이번에 발견된 알약 위장 악성파일의 경우는 DDoS 기능을 포함 하고 있어 더욱 주의가 필요하다.

2. 감염 경로 및 증상

우선, 이번에 발견된 알약으로 위장한 악성파일은 아래의 그림과 같은 URL에서 유포되는 것으로 알려졌으나, 이메일의 첨부파일 형태로도 유포될 수 있다.

※ 알약 위장 악성파일 유포 경로(현재는 해당 URL에서 다운로드 되지 않고 있다.)
  - http://(생략).info/(생략)/100.exe

해당 URL은 그 유포지가 영국으로 확인되었으며, 내부 디스크립션(설명)이 한글로 되어있는 것으로 미루어보아 국내 상황을 파악하고 있는 악성파일 제작자가 영국의 IP를 유포지로 선택하여 사용하였음을 추측할 수 있다.
  


  

해당 악성파일을 다운로드 한 후 실행하게 되면 자신에 대한 삭제와 동시에 복사본을 아래와 같은 경로에 생성하며, 레지스트리 등록을 통해 윈도우와 함께 지속적인 실행이 가능하도록 구성하게 된다.

※ 생성 파일
  - C:\Documents and Settings\explorerere.exe (52,224 바이트)

※ 레지스트리 값 등록
  - [HKLM\SYSTEM\CurrentControlSet\Services\zvwerqt]
  - 값 이름 : ImagePath
  - 값 데이터 : "C:\Documents and Settings\explorerere.exe"


생성된 복사본은 아래의 URL에 지속적인 접속을 시도하여, 향후 추가적인 악성파일을 다운로드할 수 있다. 또한, 생성된 악성파일이 서비스단에 등록되어 Backdoor 및 일종의 Bot기능을 수행할 수 있을 것으로 추정되며, 현재 추가적인 증상 파악을 위한 분석이 진행되고 있다.

특징을 살펴보면 알약의 아이콘 뿐만 아니라 디스크립션(설명) 부분까지 도용하고 있다는 점이며, 자세히 살펴보면 정상 디스크립션(설명) 부분과 구분할 수 있는 차이점이 존재한다.

                                  < 악성 파일 >                                                            < 정상 파일 >

위 그림의 적색박스 부분을 살펴보면 악성파일과 정상파일간 "설명 :" 부분에서 아래와 같은 차이점을 보이고 있다.

※ 차이점
  - 정상 파일 : 알약 제품의 모듈 기능에 대한 설명 기술
  - 악성 파일 : 알약 제품에 대한 설명 기술


또한, 아래의 그림과 같이 DDoS 공격 기법중 하나인 "GET Flooding" 기법을 통해 지속적으로 특정 대상지에 GET Packet을 전송할 수 있다.


3. 예방 조치 방법

위와 같이 국내에서 많은 사용자를 가지는 프로그램으로 위장한 악성파일의 경우 일반 사용자들은 별다른 의심없이 다운로드 및 실행을 할 수 있다. 때문에 일단 유포가 이루어지면 감염이 쉬우며, 경우에 따라서 수많은 좀비 PC를 양산해 낼 수도 있으므로 사용자들은 아래와 같은 보안 관리 수칙을 준수하여 안전한 PC 사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램 등의 최신 보안 패치 생활화

2. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드 자제

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 반드시 설치하고 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 항상 "ON"상태로 유지해 사용한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있으며, 위와 같은 악성파일에 대한 진단/치료 기능을 아래와 같이 제공하고 있다.



 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect