1. 스미싱을 통한 개인정보 중국 이메일로 유출


잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 겨냥한 스미싱 사기범들이 개인정보 및 문자메시지(SMS) 수집 방식을 웹 서버에서 중국 무료 웹메일 서비스로 변경한 것을 다수 발견하였다. 웹 서버 기반의 정보수집 방식은 명령제어(C&C) 서버의 IP주소 차단을 통해서 조기에 무력화될 수 있다. 그렇다보니 공격자들은 노출된 서버의 IP 주소를 꾸준히 변경하거나 새로운 서버를 구축하여 사용하였다. 스미싱 공격자 측면에서는 자신들이 운영하는 서버가 국내에서 접속이 차단되는 것을 원하지 않기 때문에 웹 서버 방식에서 웹 메일 서비스 방식으로 교체하였고, 웹 서버를 구축하여 운용하는 것 보다 무료 웹 메일 서비스를 이용하는 방식이 상대적으로 편리하고 유용했기 때문인 것으로 해석된다.

이에 잉카인터넷 대응팀은 현실적으로 무료 웹 메일의 도메인 접속 자체를 차단하는건 무리가 있어 악성앱에 포함되어 있던 이메일 계정의 접속차단을 시켰지만, 스미싱 범죄자들은 자신의 계정이 변경되지 않도록 보호장치를 추가하는 등 갈수록 지능화되고 있는 추세이다. 특히, 조사과정 중 공격자가 스미싱 범죄를 하기 위해서 모의로 사전 테스트한 내용과 일부 신상정보의 정황으로 보아 중국내 거주하는 한국인이거나 조선족으로 의심된다.

2. 스미싱 악성앱 정보

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
http://erteam.nprotect.com/428

[주의]스미싱을 통한 소액결제사기용 악성앱 삭제방해 기법 도입
http://erteam.nprotect.com/425

[보도]잉카인터넷, SKT와 스미싱 정보공유 보안협력 계약 체결
http://erteam.nprotect.com/426

[주의]이미지 파일을 이용한 신종 스미싱 기법 등장
http://erteam.nprotect.com/424

[주의]법원등기, 우체국 등 공신력 기관으로 사칭한 스미싱 증가

http://erteam.nprotect.com/422

[주의]일본 19금 음란사이트로 현혹하는 본좌(?) 스미싱 발견

http://erteam.nprotect.com/420

[주의]스마트 꽃뱀의 덫? 모바일 악성앱 사기에서 협박까지 범죄온상
http://erteam.nprotect.com/419

[주의]스마트 뱅킹 이용자를 노린 표적형 스미싱 사기의 역습
http://erteam.nprotect.com/418

[주의]대한민국 경찰청 앱으로 사칭한 도청가능 안드로이드 악성앱 등장
http://erteam.nprotect.com/417

[주의]모바일 청첩장 사칭 스미싱과 소액결제사기 범죄 기승
http://erteam.nprotect.com/414

[출시]소액결제사기 등 스미싱 원천차단방지 솔루션 "뭐야 이 문자"
http://erteam.nprotect.com/400

[주의]한국 모바일 보안 프로그램으로 위장한 스미싱 기승

http://erteam.nprotect.com/409

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

스미싱용 문자메시지는 다음과 같이 결혼식과 관련된 내용으로 위장하여 불특정다수에게 전파되었다. 더불어 공격자는 이미 문자 수신 대상자들에 대한 개인정보(주민번호, 전화번호 등)를 다수 보유하고 있는 상태로 악성앱 설치를 유도하게 된다.


스미싱용 문자메시지에 포함되어 있는 단축 URL 주소를 클릭하게 되면 악성앱(APK)이 이용자 단말기에 다운로드된다. 그 다음에 이용자가 해당 앱을 클릭하여 설치를 계속 진행하면 다음과 같이 연락처, 문자메시지, 인터넷, 휴대폰 정보 등의 민감한 기능에 접근하는 권한요구 화면을 볼 수 있게된다. 안드로이드 스마트폰 이용자들은 특정앱을 설치할 때 다음과 같은 정보들을 요구하는 앱을 볼 경우 악성앱에 노출될 수 있으므로, 각별히 주의하는 습관이 필요하다.


[설치]버튼을 클릭하면 기기관리자 기능 실행여부를 물어보고, 실행할 경우 이용자가 악성앱을 쉽게 삭제하지 못하도록 방해하게 된다. 이 부분은 기기관리자 기능을 통해서 사용자가 해제할 수 있다.


악성앱이 정상적으로 설치되면 이용자의 전화번호부와 문자메시지 등을 수집하여 중국의 특정 웹 메일 주소로 이용자 몰래 발송하게 된다.

다음 화면은 실제 악성앱의 내부코드 화면으로 문자메시지 내용 등을 이메일로 발송하는 것을 확인할 수 있다.


스미싱 범죄자는 중국 웹 메일 서비스(163.com)에 계정을 생성하고, 악성앱에 감염된 사용자들의 정보를 수집하도록 만들어 두었다.


악성앱에 감염되면 개인정보 유출과 함께 다음과 같이 범죄자에 의해서 다수의 휴대폰 소액결제사기 피해를 입게 된다. 아래는 극히 일부의 피해현황이며, 실제로 엄청난 양의 피해가 발생하고 있는 상황이다.
 


악성앱 제작자는 자신의 스마트폰 단말기를 이용해서 악성앱이 정상적으로 정보를 유출하는지 모의 테스트를 수행했으며, 그로 인해서 이메일에는 제작자의 스마트폰 정보가 고스란히 남아 있다.



3. 스미싱 예방법 및 대응책

스미싱 악성앱은 지속적으로 변종이 발견되고 있으며, 이용자들은 스미싱 원천 차단제품인 "뭐야 이 문자" 와 nProtect Mobile for Android 제품을 이용해서 사전 탐지 및 치료가 가능하다. 더불어 설치된 직후 신속하게 삭제하면 피해를 최소화할 수 있지만, 피해를 사전에 예방하기 위해서 해당 이동통신사에 소액결제서비스 자체를 중단요청해 두는 것도 좋은 예방법이다.

"뭐야 이 문자" 무료 다운로드 URL (스미싱 원천 차단 기능제공)
https://play.google.com/store/apps/details?id=com.nprotect.antismishing

"nProtect Mobile for Android" 무료 다운로드 URL (악성앱 탐지 치료 기능제공)
https://play.google.com/store/apps/details?id=com.inca.nprotect


 

안드로이드 기반 악성앱(APK)이 설치되었을 경우에는 신속하게 삭제조치하면 피해를 최소화할 수 있다. 다만, 설치 아이콘을 숨기는 경우나 정상앱처럼 리패키징하여 위장하는 경우, 추가 악성앱을 몰래 다운로드하여 설치하는 경우도 발견되고 있으므로, nProtect Mobile for Android 제품으로 전체검사를 수시로 수행해 보는 것이 좋다.

만약 단축 URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

01. nProtect Mobile for Android 모바일 백신을 최신엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

02. 안드로이드 앱 다운로드시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

03. 문자메시지(SMS)로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축 URL 주소로 악성앱이 배포되는 경우가 많으므로, 추가 앱이 설치되지 않도록 각별히 주의한다.

04. 다운로드한 앱은 항상 nProtect Mobile for Android 제품으로 검사한 후 사용 및 설치 하도록 한다.

05. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

06. 발신처가 불분명한 SMS 등의 메시지, 이메일 등의 열람을 자제하고, 소액결제서비스를 이용하지 않는 경우 해당 이동통신사에 차단을 요청해 둔다.

07. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

08. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

09. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

◆ nProtect Mobile for Android 탐지 한국 맞춤형 악성앱 대표 진단명

- Trojan/Android.KRSpammer
- Trojan/Android.KRSpyBot
- Trojan/Android.KRBanker
- Trojan/Android.KRDDoS
- Trojan/Android.KRFakeCop
- Trojan/Android.KRFakeChat

 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


잉카인터넷 대응팀은 최근 APT 공격과 관련한 모니터링중에 독도 영유권 분쟁과 관련한 내용으로 꾸며진 한글 문서 파일을 악용하여 특정 기업을 대상으로 APT 공격이 발생한 정황을 포착하였다. 최근 국내외적으로 이슈가 되고있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태를 보이고 있으며, 감염될 경우 키로거 기능 등을 수행하는 것으로 미루어보아 기업들을 대상으로 하는 APT 공격 과정의 초기 분석 단계로 볼 수 있다.

[정보]한글 취약점을 악용한 악성파일 유포 주의!
http://erteam.nprotect.com/314

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272
  

2. 유포 및 감염 증상

해당 악성파일은 아래의 그림과 같이 독도관련 제목으로 위장된 한글 문서 파일이며, 내부에 존재하는 악성파일의 생성 및 실행을 시도한다. 이메일의 첨부파일 형태 등으로 유포가 이루어질 수 있으며, 특정 기업의 특정 사용자를 대상으로 발송되어 점차적으로 기업내의 주요정보 탈취 형태로 발전할 수 있다.

위 과정을 통해 해당 악성파일을 실행하여 PC가 감염될 경우 아래와 같이 추가적인 악성파일을 생성하게 된다.

※ 생성 파일

☞ 한글 문서 파일로 위장한 악성파일
- (사용자 임시 폴더)\SUCHOST.EXE (295,424 바이트, 악성)
- (사용자 임시 폴더)\AAAA (19,968 바이트, 정상)

☞ SUCHOST.EXE
- C:\Documents and Settings\All Users\Application Data\Connection.DLL (295,424 바이트, 악성)
- C:\Documents and Settings\All Users\Application Data\SSK.LOG (키로거 파일, 정상)

☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.

또한, 해당 악성파일은 감염 시 사용자에게 감염 사실을 숨기기 위해 "AAAA" 파일명의 정상적인 문서파일을 생성하여 아래의 그림과 같이 출력하는 방법으로 사용자들을 현혹시킬 수 있다.

이때, 추가적으로 생성되는 악성파일 SUCHOST.exe를 통해 Connection.DLL이 추가적으로 생성되며, 해당 파일은 현재 로드된 모든 프로세스에 인젝션 된다.

그 후 아래의 그림과 같이 svchost를 통해 외부의 특정 사이트와의 지속적인 접속 상태를 유지하게 된다.

또한, Connection.DLL 파일은 키 입력이 발생하게될 경우 SSK.LOG파일을 생성하여 모든 키입력 값들을 저장하는 등 키로거 기능을 수행하게 되며, 재부팅 시 자신을 삭제하여 감염 사실을 숨기기 위한 동작도 수행한다. 아래의 그림은 해당 파일에 저장된 모든 입력값들을 보여주고 있으며, 지속적으로 접속 상태를 유지하고 있는 외부 사이트에 전송되어 정보 유출이 이루어질 수 있다.

아래의 그림은 정보가 유출되는 것으로 추정되는 IP의 위치를 추적한 화면이며, 홍콩에 소재하고 있는 것으로 확인되고 있다.

보통 기업을 대상으로하는 APT 공격은 공격자와의 원활한 접점을 찾는 등의 동작을 위해 초기분석 단계를 거치게 된다. 초기분석 단계에서 공격자는 본격적으로 공격하여 정보를 탈취하기를 원하는 곳의 접점을 찾기위해 다각적인 정보를 수집하게 되는데 이때 사용되는 공격방법은 기업내에서 초기에 접하기 쉬운상대여야 하므로 이메일 등을 통한 접근을 시도하는 것이 보통이다.

이렇게 초기분석 단계에서 얻어지는 정보를 토대로 공격자는 대상 기업의 주요 위치에 접근하여 중요한 정보를 탈취하는 작업을 수행할 수 있게 된다.

3. 예방 조치 방법

위와 같은 악성파일은 특정 기업내의 특정 사용자에게 이메일의 첨부파일을 통해 실행을 유도하는 형태로 유포되며, 이를 통해 키로거 기능을 사용하여 다양한 정보를 탈취할 수 있게 된다.

이와 같은 방법은 전형적인 특정 기업을 대상으로 하는 APT 공격의 전형적인 사례이며, 현재 대다수의 기업 및 기관에서 이와같은 공격사례가 포착되고 있다. 다수의 기업에서 특정 장비 등을 통해 이러한 공격기법을 차단하기 위한 노력을 기울이고 있지만, 기업의 규모 등 실질적인 문제로 인해 이와 같은 보안지침은 모두 통용되고 있다고 보기 힘들다.
 
때문에, 최소한 일반적으로 이러한 공격 및 악성파일로부터 안전한 PC사용 및 대비를 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.

5. 위 사항과 별도로 기업내에서 보안 정책을 마련하고 있다면 해당 보안 정책을 충실히 이행할 수 있도록 한다.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Agent.295424.EG
- Trojan/W32.Agent.295424.EH
- Trojan-Exploit/W32.Hwp-Exploit.447504

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요

 

최근 악의적인 목적을 가지고 스마트폰 단말기 정보 등의 탈취를 시도하는 악성 애플리케이션이 다수 발견되고 있다. 이러한 가운데 해외에서 E-mail 계정 및 비밀번호 탈취를 시도하는 악성 애플리케이션이 발견되어 사용자들의 주의를 요망하고 있다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 정상 애플리케이션으로 위장하고 있어 일반 사용자의 경우 쉽게 현혹되어 E-mail계정과 비밀번호를 입력 후 로그인 하게될 경우 계정정보가 외부로 유출될 수 있다.
  

2. 유포 경로 및 감염 증상

해외를 중심으로 각종 블랙 마켓, 3rd Party 마켓 등을 통해 유포될 수 있으며, 국내에서는 해당 동영상 스트리밍 서비스 업체의 사업이 진행되지 않아 특별한 감염 및 피해 사례는 나타나지 않고 있다.

해당 악성 애플리케이션은 설치시 아래와 같은 권한들을 요구하게 된다.

 
※ 전체 권한

- android:name="android.permission.INTERNET"
- android:name="android.permission.INTERNET"
- android:name="android.permission.ACCESS_NETWORK_STATE"
- android:name="android.permission.ACCESS_WIFI_STATE"
- android:name="android.permission.READ_PHONE_STATE"
- android:name="android.permission.WAKE_LOCK"
- android:name="android.permission.INJECT_EVENTS"
- android:name="android.permission.READ_LOGS"
- android:name="android.permission.WRITE_EXTERNAL_STORAGE"
- android:name="android.permission.DUMP"
- android:name="android.permission.GET_TASKS"


설치가 완료되면 아래의 그림과 같은 실행 아이콘이 생성된다.


위와같이 모든 설치 과정이 완료된 후 해당 악성 애플리케이션을 실행하면 아래의 그림과 같은 실행화면을 보여주게 된다. 해당 악성 애플리케이션은 해외의 동영상 스트리밍 서비스 업체의 애플리케이션으로 위장한 형태이므로 아래의 그림과 같이 육안상으로 정상 애플리케이션과 구별이 가능하다.


위 그림을 자세히 살펴보면 레이아웃 구성에서 차이점이 있는것을 확인할 수 있다. 우선 상단 부분의 "스마트폰 상태바"가 정상 애플리케이션의 경우 존재하나 악성 애플리케이션의 경우 존재하지 않는다. 또한, 정상 애플리케이션의 경우 진행되는 "프로그레스바"가 안드로이드에서 제공되는 일반 프로그레스바를 사용하고 있으나, 악성 애플리케이션의 경우 디자인된 프로그레스바를 사용하고 있다. 마지막으로 "인 화면의 이미지에 검은색 테두리""loading 텍스트의 유무"로도 구별이 가능하다.

위의 과정을 거쳐 애플리케이션 로딩이 완료되면 아래의 그림과 같이 메인 로그인 창이 출력된다.


위 그림을 자세히 살펴보면 마찬가지로 정상/악성 애플리케이션 간에 차이를 육안상으로 확인할 수 있다. "스마트폰 상태바"와 "이메일 계정 정보 입력창" 등 다양한 부분에서 차이점이 발견된다.

이때, 악성 애플리케이션의 경우 위 그림에서 로그인을 위한 계정 정보 입력 후 "Sign in" 버튼을 클릭하면 아래의 일부 코드에 의해 Email, Password가 저장된 EditText 값을 아래와 같은 특정 외부 URL로 유출 시도를 할 수 있다.


※ 이메일 계정 정보 유출 시도 URL

http://erofolio.[생략].biz/login.php

위 그림과 같은 로그인 과정 진행이 진행될때 해당 악성 애플리케이션은 이메일 계정 입력 시 어떠한 계정 정보를 입력해도 로그인 과정을 완료할 수 있으나, 정상 애플리케이션의 경우 해당 업체의 계정정보를 입력하지 않으면 아래의 그림과 같이 로그인 과정을 완료할 수 없다.

 


위 그림을 살펴보면 정상 애플리케이션의 경우 해당 업체의 계정 정보 이외의 정보 입력 시 로그인에 실패함을 확인할 수 있으며, 악성 애플리케이션의 경우 계정 정보 존재 유무에 상관없이 무조건 위 그림과 같은 창을 출력하게 된다. 또한, 악성 애플리케이션의 경우 위 그림과 같은 "Cancel" 버튼을 클릭할 경우 해당 악성 애플리케이션에 대한 삭제를 진행할 수 있다.

3. 예방 조치 방법

일반 사용자들은 동영상 스트리밍 서비스 업체의 정상 애플리케이션이 어떻게 구성되어 있는지 모르는 경우가 많다. 해당 악성 애플리케이션의 경우 이러한 점을 악용해 최대한 정상 애플리케이션과 유사한 화면을 구성하여 사용자들을 속일 수 있으며, 이로인해 유출될 수 있는 이메일 계정 정보는 다양한 목적을 가지고 악용될 수 있다. 이러한 악성 애플리케이션으로부터 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 어플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문을 자제한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 현황

- Trojan-Spy/Android.FakeNefilix.A





저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 지인이나 사회적으로 관심을 끌 수 있는 내용 등으로 위장한 악성 파일 유포가 기승
을 부리고 있다. 이러한 이메일의 본문은 수신자의 지인을 사칭한  내용으로 구성되어 있으며, 첨부 파일에 대한 다운로드 및 실행을 유도하는 일종의 사회 공학 기법을 사용한 형태이기 때문에 일반 사용자들의 경우 쉽게 현혹될 수 있다는것이 특징이다. 첨부된 파일은 악성 파일로서 감염될 경우 사용자들의 PC를 다양한 피해에 노출시킬 수 있으므로 각별한 주의가 필요하다. 특히, 국지적 공격에 악용되는 경우가 많으므로, 사례별 내용을 파악해서 대처해 보도록 하자.


2. 감염 경로 및 증상
 
 

사례 ① : 유니코드 확장자 변조 기법


"뭐 하고있냐...보고싶구나" 라는 메일 제목을 사용해 국내 이용자들을 타켓으로 발송한 이메일의 첨부 파일 형태로 유포되고 있으며, 아래의 그림과 같이 메일 본문 내용은 수신자의 지인을 사칭하고 있다. 또한, 메일 내용을 자세히 살펴보면 첨부된 파일에 대한 다운로드 및 실행을 유도하고 있다.

 


이메일 상에 첨부된 파일 또한, 일반 사용자들의 호기심을 자극할 만한 파일명으로 되어있으며, 첨부되어 있는 "아내에게서 칭찬받는 방법.zip" 파일 내부에는 HWP 한글 문서처럼 위장된 실행파일(SCR)이 포함되어 있다. 아래 그림과 같이 압축 내부에 포함된 파일은 Type 부분에 화면 보호기(SCR)라는 것을 확인할 수 있다.

 


 ZIP 압축을 해제하면 "100가지 방법_201ORCS.hwp" 이름의 HWP(문서) 파일이 생성되지만 이것은 실제로 실행 파일(SCR)이며, 유니코드 확장자 변조기법을 사용하여 사용자로 하여금 실제 문서 파일(HWP)로 안심시키기 위한 교묘한 악성파일 감염 유도 방식이다.


HWP 문서 파일처럼 위장된 실행 파일을 사용자가 실행할 경우 또 다른 정상 HWP 문서 파일을 설치하고 실행시켜, 마치 정상적인 문서 파일로 인식되도록 만들고, 악성 파일과 정상 문서 파일의 파일명과 아이콘을 비교해 보면 다음과 같다.


문서 파일처럼 조작된 파일을 Command 화면에서 볼 경우 다음과 같이 SCR 확장자를 가지고 있는 것을 확인할 수 있다.


실제 사용자를 교묘하게 속이기 위해서 보여주는 "아내에게 사랑받는 100가지 방법.hwp" 문서 파일의 실행된 모습은 다음과 같고, 문서 제목과 일치하는 내용들이 문서에 포함되어 있다.

 


 해당 악성파일을 실행하게 되면 특정 사이트 접근 및 아래와 같은 추가적인 악성 파일들을 생성한다.

※ 생성 파일
  - (사용자 임시 폴더)\xmlUpdate.exe (16,896 바이트)
  - (사용자 임시 폴더)\아내에게 사랑받는 100가지 방법.hwp (35,328 바이트)

※ 특정 사이트 접속 시도
  - 생성된 xmlUpdate.exe파일에 의해 특정 사이트 접근 시도
  - hxxp://(생략).kr/bbs/(생략)/lo_backward.gif

※ (사용자 임시 폴더)
  - C:\Documents and Settings\(사용자 계정)\Local Settings\Temp를 말한다.

또한, 악성 파일 내부에 특정 폴더를 삭제하는 기능도 가지고 있다.

 

사례 ② : DOC 문서 취약점 기법

"김정일위원장의 중국 방문을 결산한다" 라는 제목과 내용, 첨부 파일 등을 통해서 악성 파일을 전파하는 방식인데, 사례 ① 에서는 ZIP 압축 파일이 첨부되어 있었지만 사례 ② 에서는 RAR 압축 파일을 사용하였다.

 


"김정일위원장의 중국 방문을 결산한다.rar" 압축 첨부 파일내부에는 다음과 같이 MS Word 파일이 포함되어 있으며, 보안 취약점을 이용하여 악성 파일을 사용자 몰래 설치하게 된다.


내부에 포함된 "김정일위원장의 중국 방문을 결산한다.doc" 파일을 실행하게 되면 다음과 같이 실제 문서 내용을 보여주고, 사용자 몰래 악성 파일을 설치하고 감염시킨다.


악성파일에 감염되면 아래의 그림과 같이 "KB016599e6.dll" 파일을 생성하게 된다.

 


생성된 악성 "KB016599e6.dll" 파일은 유효한 디지털 서명을 탈취하여 사용하고 있는 것으로 추정되며, 마치 정상적인 파일처럼 보이도록 조작하는 기법 중에 하나이다.

 

3. 예방 조치 방법


위와 같은 사회공학 기법을 이용한 악성파일 유포는 앞으로도 끊임없이 출현하여 지속적인 보안 위협으로 작용할 전망이다. 또한, 해당 악성파일들은 문서 내용 자체가 한글로 이루어져있어 해외에서는 감염 확률이 낮을 수 있으며 국내 이용자를 중심으로 활발한 유포 및 감염 피해 사례가 발생할 수 있다.

이러한 악성파일로 부터 안전한 PC 사용을 하기 위해서는 아래의 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

4. 국제 사회 이슈에 대한 접근 시 보안 측면 고려를 통한 선별적 접근


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

 


 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect