1. 개 요

 

매년 연말연시가 되면 다양한 지인들과 서로 안부를 전하는 등 축제적인 분위기가 이어지며, 악성파일 제작자들은 이와같은 기회를 놓치지않고 매년 연말연시 분위기에 편승해 사회공학 기법을 통한 악성파일 유포를 시도해왔다. 악성파일 제작들은 이러한 연말연시를 겨냥해 악성파일이 첨부된 다양한 종류의 이메일을 무작위적으로 발송하게되며, 일반 사용자들은 연말연시 이메일을 비롯해 다양한 방법을 통해 인사 및 안내 메일을 주고받기 때문에 쉽게 현혹되어 악성파일에 감염될 수 있다. 

이번글을 통해 사회공학 기법을 통한 악성파일 유포 사례 등을 살펴보고 이를 토대로 사회공학 기법을 이용해 유포될 수 있는 악성파일로부터 각 PC에 대한 안전을 유지할 수 있도록 하자.
  

2. 유포 방법 및 사례

사회공학 기법을 이용해 악성파일을 유포할 경우 악성파일 제작자들은 손쉽게 다수의 감염 상황을 유발시킬 수 있도록 이메일, SNS 등을 통해 전파하는 방법을 취하는 것이 일반적이다. 이러한 경우 이메일에 특정 악성파일을 첨부하여 유포하는 방법을 취하거나 SNS의 경우 악성파일에 대한 다운로드 및 설치가 가능한 URL 등의 링크를 삽입하는 등의 방법을 취하는것이 일반적이다.

◆ 이메일을 이용한 사회공학적 기법 사례

 


위와 같은 이메일은 사용자들을 손쉽게 현혹시키기 위해 이메일 본문 내용에 첨부된 파일이나 링크 등의 다운로드 및 클릭을 유도하는 글을 삽입할 수 있으며, 위 그림과 같이 공인된 기업 및 기관으로 위장한 형태로 이메일을 보내는 등의 방법을 취할수도 있다.

◆ SNS를 이용한 사회공학적 기법 사례


위 그림은 SNS를 통해 악성파일을 유포하는 사회공학 기법의 한 사례이며, 감염될때마다 감염자와 친구등록이 되어있는 모든 사용자들에게 악성파일에 대한 다운로드가 가능한 링크 전파가 이루어질 수 있어 이메일보다 감염 범위가 넓을 수 있다.

3. 예방 조치 방법

위에서 설명한 이메일, SNS는 악용될 수 있는 사회공학 기법의 아주 작은 예이다. 사회공학 기법은 이메일, SNS뿐만 아니라 매우 다양한 형태로 일반 사용자에게 찾아올 수 있으며, 이렇게 악용될 수 있는 사회공학 기법에 제대로 대처하지 못한다면 악성파일에 감염되어 예측할 수 없는 피해를 입을 뿐만아니라 본인의 부주의로 인해 다양한 대상에게서 여러 가지 피해 상황이 발생할 수 있다. 

이러한 사회공학 기법을 이용한 악성파일의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


2010년 12월 23일경 국내 발송지로 확인되어지는
 크리스마스와 관련된 이메일을 통한 악성파일 유포 사례 확인 되어짐에 따라 인터넷 사용자들의 각별한 주의가 필요하며, 특히 유효(?) 디지털 서명이 도용된 것으로 추정되는 부분도 특징적이다.


["Dec 21 CVE-2010-2572 (?) Christmas Messages.pps from nicholas.bennett53@hotmail.com"]

출처 : http://contagiodump.blogspot.com/2010/12/dec-21-cve-2010-2572-christmas.html

1-1. 사회공학적 기법을 이용한 스팸 메일 형태의 악성파일 유포 사례 관련 정보

[크리스마스 카드로 위장한 악성코드 국내 등장]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=83

[연말연시 출현 가능한 악성파일의 유포 사례와 대비]
http://erteam.nprotect.com/65

[2010년 주요 보안 이슈 정리 및 2011년 보안 이슈 전망]
http://erteam.nprotect.com/86

[크리스마스관련 악성파일 유포 해외보고, 주의 필요!]
http://erteam.nprotect.com/92

2. 유포 및 감염 과정

아래와 같이 E-Mail 내부에는 Christmas Messages.pps 라는 첨부파일이 등록 되어져 있으며, 취약점이 존재하는 pps 파일을 실행할 경우 Greeting Cards.pps 라는 정상적인 Power Point Slide Show 파일과 file.exe 이름의 악성파일이 생성되고 실행된다.

특히, 하기 이메일의 발신지 IP 가 한국이라는 점이 특징적이다. 참고로 발신지 IP 가 한국이라 할지라도 악성 파일의 제작 국가로 한국을 지목할 수는 없다. 보통 악성파일 제작자나 유포자가 다른 악성파일에 감염되어 있는 컴퓨터(Zombie PC)나 불법적으로 침입한 해외 컴퓨터를 통해서 무단 배포할 수 있기 때문이므로 절대로 제작 국가로 오해를 하지 않는 것이 중요하다.


http://contagiodump.blogspot.com/2010/12/dec-21-cve-2010-2572-christmas.html


Greeting Cards.pps 파일은 다음과 같은 정상적인 PowerPoint Slide Show 파일로 Christmas Messages.pss 파일이 정상적인 파일처럼 교묘하게 위장하기 위한 수법 중에 하나이다.

파일이 실행되면 다음과 같은 특정 사이트로 접근하여 winnet32.exe 라는 새로운 악성파일을 추가로 다운로드하고 실행한다.

http://******.biz/****/winnet32.exe

메일에 첨부되어진 Christmas Messages.pss 파일을 실행할 경우 설치되는 파일들을 정리하면 다음과 같다.


악성파일의 전체 유포 흐름도를 정리하면 다음과 같다.

악성파일 유포 흐름도


file.exe 은 사용 가능한 디지털 서명을 보유하고 있는 것으로 보이고 있어, Stuxnet 악성파일 이후로 실제 디지털 서명을 악용한 사례로 추정된다.

디지털 서명(Digital Signature)은 파일의 신뢰성을 판단하는 중요한 근거 자료이자 기준이지만, 이처럼 악성 파일이 올바른 정식 인증서 서명으로 추정되는 내용을 도용하여 마치 안전한 파일처럼 가장하고 있어 주의가 요구된다.





3. 감염 증상

E-Mail에 첨부되어진 Christmas Messages.pps 파일을 실행하게 되면 다음과 같은 경로에 특정 파일들을 생성하게 된다.

[생성파일]

(사용자 임시 폴더)\Application Data\Microsoft\Windows\system32\winnet32.exe

[참고사항]

- (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.

또한, 해당 악성파일에 감염되면 특정 레지스트리 값을 생성 및 변경하여 윈도우 시작시 자동으로 실행 되도록 한다.

◆ 윈도우 시작시 실행가능 레지스트리 값 등록

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

 - 값 이름 : "winnent32"
 - 값 데이터 : "winnent32.exe"

[ 참고사항 ]

- (사용자 계정 폴더)\Application Data\Microsoft\Windows\system32\winnet32.exe

4. 예방 조치 방법

크리스마스나 신년 인사용 연하장 같은 이메일에 첨부 파일이나 특정 링크 등이 있을 경우 각별한 주의가 필요하다. 이번에 발견된 악성 파일은 nProtect Anti-Virus 제품군에서 모두 치료가 가능하며, 잉카인터넷 대응팀은 지속적인 연말 상시 보안 관제 체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면


▶ nProtect Anti-Virus/Spyware 2007 알고 사용하자!
http://erteam.nprotect.com/16



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


크리스마스와 관련해 스팸 메일을 통한 악성파일 유포 사례
가 해외시각으로 2010년 12월 13일 스팸 메일 등과 관련한 보안 전문 업체의 블로그를 통해서 보고되었다. 현재까지 국내에서 해당 스팸메일의 유입 및 피해 사례는 보고되지 않았지만, 크리스마스에 즈음해서 관련한 보안 이슈가 발생할 수 있는 만큼 해당 건과 같은 스팸 메일에 주의해야 할 것 같다.

[“The Snow Fairy can bring you good fortune”… and malware too]

출처 : http://blog.mxlab.eu/2010/12/13/the-snow-fairy-can-bring-you-good-fortune-and-malware-too/

자, 그럼 해당 스팸 메일에 대해 살펴보도록 하자.

2. 감염 과정

해외 유명 각종 카드 등의 판매 업체인 Hallmark에서 발송한 이메일로 위장된 스팸 메일의 형태를 띠고 있으며, 해당 이메일에 악성파일을 첨부하여 다운로드 및 실행을 유도해 감염을 유발하는 사회공학적 기법을 사용하고 있다.

출처 : http://blog.mxlab.eu/2010/12/13/the-snow-fairy-can-bring-you-good-fortune-and-malware-too/

메일의 제목은 위 그림에는 정확히 나와 있지 않지만 "1ste Christmas Card"로 되어 있으며, 하기와 같은 메일 본문 내용이 첨부되어 있다.

"The Snow Fairy can bring you good fortune for one whole year.
May YOU be blessed by her good deeds…
You must pass the Snow Fairy to 7 people within 60 seconds to receive your one year blessing…. HURRY!”

또한, ZIP 파일 형태의 압축파일이 메일에 첨부되어 있으며, 하기의 그림과 같이 내부에 압축 파일명과 동일한 이름을 가지는 exe 파일이 존재한다.

3. 감염 증상

다운로드된 압축파일을 압축 해제한 후 내부에 포함된 SnowFairy.exe 파일이 실행되면 하기와 같은 경로에 특정 파일들을 생성한다.

[ 생성파일 ]

(윈도우 폴더)\임의의 파일명.dll (90,112 바이트)
(윈도우 시스템 폴더)\adobe66.exe (82,432 바이트)
(윈도우 시스템 폴더)\adobe91.exe (90,112 바이트)
(윈도우 시스템 폴더)\adobeAIM.exe (607,744 바이트)

[ 참고사항 ]

 - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. 

 - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

또한, 하기와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염, 윈도우 방화벽 우회 등의 증상을 유발한다.

 윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

 - 값 이름 : "Hxudazoveceb"
 - 값 데이터 : "rundll32.exe  "(윈도우 폴더)\kbdrut.dll",Startup"

 - 값 이름 : "Adobe Updater 5.2"
 - 값 데이터 : "(윈도우 시스템 폴더)\AdobeAIM.exe"

※ Adobe Update 관련 레지스트리 값으로 위장하는 것이 특징.

 윈도우 방화벽 우회를 위한 레지스트리 값 등록

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 - 값 이름 : "(윈도우 시스템 파일)\AdobeAIM.exe"
 - 값 데이터 : (윈도우 시스템 파일)\AdobeAIM.exe:*:Enabled:Explorer

[ 참고사항 ]

 - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. 

 - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

현재까지 해당 악성파일로 인한 피해 사례는 특별히 보고되지 않고 있으나, 하기의 그림과 같이 지속적인 외부 사이트로의 접근을 시도하고 있어 다른 악성파일 다운로드를 비롯한 추가적인 감염 증상을 유발할 수 있을 것으로 추정된다.


4. 예방 조치 방법

크리스마스와 관련해서는 연례행사처럼 매년 보안 이슈가 발생하였다. 또한, 최근의 악성파일 유포 동향으로 미루어 보아 이러한 사회공학적 기법을 이용한 스팸 메일 형태의 악성파일 유포는 아주 일반적인 사례가 되고 있으며, 그로 인해 이전에 게재한 글과 같이 이러한 유형의 악성파일 유포는 앞으로도 끊임없이 출현할 가능성이 매우 크다.

[크리스마스 카드로 위장한 악성코드 국내 등장]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=83

[연말연시 출현 가능한 악성파일의 유포 사례와 대비]
http://erteam.nprotect.com/65

[2010년 주요 보안 이슈 정리 및 2011년 보안 이슈 전망]
http://erteam.nprotect.com/86

이러한 사회공학적 기법을 이용하는 스팸 메일 형태의 악성파일 유포로부터 안전하기 위해서는 거듭 당부하지만, 항상 ▶출처가 불분명하거나 신뢰할 수 없는 이메일은 열람하지 말아야 하며, ▶이메일에 첨부된 파일을 다운로드 할 때에는 백신을 이용한 사전검사 등의 주의를 기울여야 한다. 또한, 신뢰할 수 있는 백신제품을 사용하길 권하며 ▶사용 중인 백신은 항상 업데이트를 통해 최신 엔진 및 패턴 버전을 유지할 수 있도록 해야 한다.

nProtect Anti-Virus 제품군에서는 이번에 보고된 크리스마스 관련 악성파일에 대해 하기와 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect