1. 개 요


잉카인터넷 대응팀에서는 국방관련 주요 문서 파일로 위장하여, 추가적인 악성파일에 대한 유포를 시도하는 한글 취약점 관련 악성파일을 발견하였다. 해당 악성파일은 감염 시 정상적인 문서파일을 함께 출력하기 때문에 일반 사용자의 경우 감염 여부에 대한 판단을 육안으로 내리기가 힘들며, 감염 시 다른 추가적인 악성 동작이 있을 수 있으므로 사용자들의 각별한 주의를 요망하고 있다.

  

2. 감염 증상


해당 악성파일은 감염 시 아래의 그림과 같이 정상적인 국방 관련 문서파일을 출력하게 된다.
 


또한, 이와 동시에 아래의 그림과 같은 추가적인 악성파일들을 특정 경로에 생성하게 된다.

 

※ 파일생성

- (사용자 임시 폴더)\scvhost.exe (130,048 바이트)
- (루트 드라이버)\tesdn.dat (78,336 바이트, scvhost.exe가 생성)

☞ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp을 의미한다.
☞ (루트 드라이버)란 일반적으로 C:\ 드라이버를 의미한다.


위 그림과 같이 추가적으로 생성된 악성파일(scvhost.exe)이 실행되면, 특정 경로에 이름이 변경된 dll 파일(tesdn.dat)이 함께 생성되며, 해당 악성파일은 아래의 일부 코드를 통해 인터넷 사용가능 여부 체크 및 원격지로부터 추가적인 악성파일에 대한 다운로드를 수행하는 등의 악성 동작을 수행할 수 있다.

3. 예방 조치 방법

위와 같이 정상적인 문서 파일로 위장한 악성파일의 경우 일반 사용자들을 현혹하여 악성파일에 대한 실행 및 다운로드 등을 유도할 수 있으며, 이를 이용해 악의적인 코드의 실행을 수행하게 된다. 더욱이 위와 같이 관심을 가질만한 문서 내용으로 위장할 경우에는 유포 및 감염에 대한 파급효과가 상당히 커질 수 있으므로 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


잉카인터넷 대응팀은 도움말 파일(HLP)의 취약점을 이용하여 악성파일이 해외에서 전파 중인 것을 발견하였다. 보통 이메일을 통한 전파에 자주 사용되는 실행파일(EXE, SCR)이나 문서파일(HWP, DOC, PPT, XLS, PDF)의 취약점이 아닌 도움말 파일(HLP)의 취약점을 이용하는 보기 드문 형태이다. 특정한 표적 공격이나 지능적이고 고도화된 위협에 빈번히 이용되는 악성파일 전파수법이 바로 이메일 첨부파일을 통한 악성파일 유포라는 점을 잊어서는 안된다. 특히,  지능적 공격자들은 알려져 있지 않은 취약점(Zero-Day Exploit) 등을 이용하거나 심리적으로 무심코 열어보기 쉽도록 구성한 이메일을 발송한다는 점에서 이메일 첨부파일을 열어볼 때는 항상 의심하고 예의주시할 필요가 있다.
  

유명 웹 사이트를 불법적으로 침입하여 대표적으로 Microsoft OS/Application, Flash Player, JAVA 취약점 등을 이용하여 불특정 다수를 감염 대상으로 삼는 전방위 유포 방식과 더불어 특정 인물만을 타깃 목표로 한 후 은닉화하고 지능화시킨 악성파일 감염 유도기법의 추세가 "공격자와 감염대상자 간에 1:1 방식의 고도화된 심리전 양상을 띄고 있다"는 점을 명심해야 한다.

새해 연하장 내용으로 유혹하는 악성파일 유의
http://erteam.nprotect.com/232

김정일 여동생 김경희 사진으로 가장한 악성파일 발견
http://erteam.nprotect.com/230

한글(HWP) 취약점을 이용한 악성파일 지속 등장
http://erteam.nprotect.com/216


2. 도움말 파일(HLP) 취약점 악용 사례


해당 이메일은 2011년 12월 29일에 해외의 특정 사용자에게 이메일로 발송된 것으로 발견되었으며, 수신자로 하여금 첨부파일을 열어보도록 유도시키고 있다.


이메일에 첨부되어 있는 "Call for Application at fundation.rar" 압축파일을 다운로드하여, 압축을 해제하면 "Call for Applications at fundation.hlp" 라는 도움말 파일이 포함되어 있다.


첨부파일을 실행하면 Windows 도움말 화면이 보여지면서 알 수 없는 문자열과 중국의 재스민 혁명과 관련된 도메인(http://www.molihua.org) 등이 포함되어 있는 문구들이 보여진다.


도움말 파일의 코드에는 WScript.Shell 명령수행을 통하여 내부에 7번행 부터 포함되어 있는 Visual Basic Script 코드의 함수를 별도의 파일(A.VBS)로 생성시키고, 실행하도록 만들어져 있다. 따라서 위의 도움말 화면이 보여지는 순간 사용자 몰래 컴퓨터에는 악성 스크립트 코드가 감염된다.

생성된 A.VBS 악성파일이 실행되면 C:\ 경로에 실제 숙주 악성파일 역할을 수행하는 setup.exe 파일이 생성되고 실행되며, 다시 Application Data 폴더에 360 이라는 새로운 폴더를 생성한 후 "Live360.exe" 파일명의 최종 악성파일을 설치하는 동작을 진행하며, A.VBS 나 setup.exe 파일은 감염 흔적 및 추적 등을 방해하기 위해서 삭제 처리한다.

Live360.exe 파일은 Microsoft 사의 Word 문서파일처럼 아이콘을 위장하고 있으며, 실행되면 winlogon.exe 파일을 통해서 중국 상하이의 특정 호스트로 접속을 하고 Command and Control(C&C) 명령을 수행한다.

잉카인터넷 대응팀에서 분석하는 시점에 악성파일은 호스트에서 공격자의 특정 명령을 받아 PASS.exe 파일을 추가로 감염시켜 사용자의 컴퓨터에 캐쉬형태로 저장되어 있는 이메일 계정 등을 유출 시도하는 것을 목격하였다.

저장되는 암호는 C:\Windows\System 폴더에 xhyj.htm 파일에 기록되며, Resource, Type, Account, Password 등을 수집하여 외부로 유출을 시도하며, 공격자의 C&C 명령 수행에 따라서 다양한 악성파일에 노출될 위험이 있다.

3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 도움말 파일(HLP)이 첨부된 이메일을 수신할 경우 무심코 실행하지 않도록 하며, 그외 다양한 보안 취약점을 통해서 유사 악성파일을 전파시킬 수 있으므로 최신 보안 패치를 설치하는 것도 중요하다. 별도로 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일의 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect