1. 개 요


최근 가장 널리 사용되고 있는 SNS(Social Network Service)서비스의 채팅창을 통해 악성파일에 대한 유포 시도가 발견되어 사용자들의 각별한 주의가 요망되고 있다. 악성파일 유포 방법으로는 채팅창에 특정 파일의 다운로드가 가능한 URL을 뿌리는 등 사회공학적 기법이 사용되었으며, 해당 URL은 단축 변환 주소로 이루어져 있어 일반 사용자들의 경우 쉽게 현혹되어 클릭을 통한 감염이 이루어질 수 있다.
  

2. 유포 경로 및 감염 증상

현재 해당 악성파일은 아래의 그림과 같은 페이스북의 체팅창을 통해 주로 유포가 이루어지고 있으며, 유포되는 악성파일에 감염될 경우 해당 PC에서 특정 SNS 서비스를 이용하게 되면 친구로 등록된 지인들에게 무작위로 악성 URL을 채팅형태로 배포하게 된다.

잉카인터넷은 최근 국내외로 전파된 다수의 변형을 확보하여 긴급 업데이트를 완료한 상태이다.

 


위 그림과 같이 단축주소로 이루어진 악성 URL을 클릭하면 아래의 그림과 같이 악성파일을 다운로드할 수 있게 된다.


다운로드된 ZIP 파일의 압축을 해제 하면 아래의 그림과 같은 악성파일(숙주파일)을 확인할 수 있으며, 해당 악성파일에 감염될 경우 감염 시 생성되는 악성파일의 복사본(C:\WINDOWS\mdm.exe)에 의해 외부 특정 사이트와 지속적인 통신을 시도하는 등 C&C서버에서 추가적으로 악의적인 명령을 받아 수행할 수 있을 것으로 추정되고 있다.

 

※ 생성파일

- C:\WINDOWS\mdm.exe (195,072 바이트)


3. 예방 조치 방법

위와 같은 악성파일은 평소 자주 사용하는 SNS 서비스를 통해 가까운 지인과의 채팅창을 이용하여 유포가 이루어진다는 점에서 감염범위가 상당히 넓어질 수 있다. 또한 일반 사용자들에게는 생소할 수 있는 단축변환 URL을 사용하기 때문에 해당 URL에 대한 악성 유무를 판단하기에 어려움이 있을 수 있다.

또한, 최근 SNS 서비스는 스마트폰을 통해 주로 이용되므로 추후 안드로이드 기반 악성파일의 유포 등에도 악용될 수 있다. 때문에 PC 및 스마트폰의 안전한 사용을 위해서는 반드시 아래와 같은 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명

- Worm/W32.Fakefburl.180887
- Worm/W32.Fakefburl.195072
- Worm/W32.Fakefburl.141312




 

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

요즘과 같은 스마트화 시대에 통신 수단으로 스마트폰을 사용하지 않는 사람들은 별로 없을 것이다. 또한, 스마트폰을 사용하면서 최근 대세인 SNS(Social Network Service)를 한가지 이상 사용하지 않는 사람들을 찾기도 쉽지 않을 것이다. SNS는 여러 사람들 간의 정보 공유와 소통 등 실시간으로 즐길 수 있는 컨텐츠를 우리에게 제공하며, 어찌 보면 뉴스 이상의 정보를 훨씬 빠르게 접할 수 있는 하나의 정보 수단으로 자리매김하고 있다.


최근 이러한 SNS를 통해 설치되는 앱 중 정보 공유의 용이함을 이용해 해당 앱 설치 시 사용자에게 몇 가지 권한에 대한 "허가 요청"을 하고, 그 권한을 이용해 사용자의 동의 없이 게시물 등록 등의 기능을 수행하는 앱이 늘고 있어 사용자들의 주의가 요구되고 있다.

위와 같은 앱은 설치 시 사용자에게 특정 기능에 대한 "허가 요청"을 하게 되며, "허가"할 경우 사용자로부터 몇 가지 권한을 부여받게 된다. 해당 앱은 부여받은 권한으로 아래의 그림과 같이 친구로 등록된 사용자의 담벼락에 별다른 동의 절차 없이 해당 앱에 대한 설치 유도 글을 게재할 수 있게 된다.


위 그림과 같이 담벼락에 게재된 글을 클릭할 경우 클릭한 사용자도 마찬가지로 해당 앱에 대한 설치가 이루어지며, 선택에 따라 "기본 정보에 접근, 이메일 수신, 담벼락에 게시" 등의 기능 수행 권한이 앱에게 부여될 수 있다.

물론, 위와 같은 앱이 설치되어 부여되는 권한으로 인해 현재까지 금전적 손실 등 실질적이거나 물리적인 피해 상황은 발생하지 않고 있다. 다만, SNS 및 스마트폰에 대한 보안 위협은 그 편리성과 함께 비례적으로 증가하는 추세이므로 충분한 주의를 통해 혹시 모를 피해에 대비하는 것이 현명한 선택일 수 있다.

혹시, 해당 앱이 설치되어 있는 사용자 중 삭제를 원하는 경우가 있다면 아래의 삭제 방법을 참고하여 안전하게 앱 실행에 대한 차단을 할 수 있도록 하자.
  

◆ 삭제 방법

1. [계정] -> [개인 정보 설정] -> [앱과 웹사이트]"설정 관리" 클릭 -> [사용 중인 앱]"설정 관리" 클릭.

2. 아래의 그림과 같이 클릭을 통해 삭제 진행.

  

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개요


페이스북(Facebook) 대화창을 통한 악성파일 유포 사례2010년 12월 14일 오전 국내 특정 언론사를 통해 보도 되었으며, 하기의 그림과 같이 발신처가 페이스북처럼 위장된 스팸 메일 또한 국내에 유입된 것으로 보고 되었다. 이번에 발견된 페이스북 대화창을 이용한 악성파일 유포와 위장형 스팸 메일을 통한 악성파일 유포 방식은 최근 두드러지게 발생하고 있는 사회공학적 기법이며, 여전히 악성파일 유포에 유용하게(?) 사용되고 있다는 단면을 보여주고 있다.


아래의 그림과 같이 이번에 발견된 스팸 메일의 경우 본문에 링크된 URL을 통해 다운로드 될 것으로 예상되는 gong.html 파일(하기 그림의 하단 적색박스 부분) 이 현재 정상적으로 열리지 않고 있다.


페이스북 채팅창을 이용한 악성파일 유포 사례에 대해 사용자들이 피해를 입지 않기를 바라는 마음으로 이번 글을 게재하는 만큼 하기의 내용을 잘 살펴보고 다시한번 이와 같은 사회공학적 기법의 악성파일 유포에 대해 경각심을 유지하는 시간을 가져보도록 하자.

2. 감염 과정

이번 악성파일은 페이스북 대화창을 통해 확산된다고 알려졌으며, 확산 방법은 하기의 그림과 같이 페이스북 관련으로 위장된 URL의 링크를 전송하여 사용자의 클릭을 유도하는 방식을 취한다.

출처 : http://www.ohmynews.com/nws_web/view/at_pg.aspx?CNTN_CD=A0001492491


위 그림과 같이 대화창을 통해 보여지는 해당 URL을 클릭할 경우 하기의 그림과 같이 페이스북으로 위장된 사이트로 이동하게 된다.


해당 사이트는 정상 페이스북 사이트와 유사한 이미지를 사용한 허위 사이트이다. 특이할 만한 사항은 위의 적색박스에 있는 페이스북 로고를 통해 페이스북 메인페이지로 이동이 불가하다는 점이다.

해당 허위 사이트로 이동되면 상기의 그림과 같이 비밀번호 입력과 관련한 경고창을 보여주며, "계속하기" 버튼 클릭을 유도한다. "계속하기" 버튼을 클릭할 경우 하기와 같은 사이트로 이동되며 사진이 옮겨졌다는 문구와 함께 또 다시 "View Photo" 버튼 클릭을 유도한다.


위 그림에서 보여지는 "View Photo"버튼을 틀릭하면 하기의 그림처럼 마치 이미지와 관련된 파일명으로 위장한 악성파일의 다운로드 창을 보여준다.


3. 감염 증상

위의 설명과 같이 다운로드된 악성파일에 감염될 경우 하기의 그림과 같이 자신의 복사본을 숨김 속성으로 윈도우 폴더에 생성하며, 해당 파일은 그림파일과 유사한 아이콘을 가진다.


또한, 하기의 레지스트리 값에 의해 윈도우 시작시 자동으로 함께 실행 되도록 등록된다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 - 값 이름 : "NVIDIA driver monitor"
 - 값 데이터 : "c:\\windows\\nvsvc32.exe"

※ 그래픽카드 개발 업체인 NVIDIA와 관련하여 레지스트리 값 이름을 위장한 것이 특징이다.

해당 악성파일에 감염될 경우 채팅창을 통해 페이스북에 등록된 모든 "친구"들에게 위에서 언급하였던 "페이스북으로 위장된 사이트"로 이동이 가능한 링크를 전송하게 되는 것으로 알려져 있다.

※ 현재는 해당 악성파일이 실행될 경우 Internet Explorer가 실행되면서 유명 소셜 네트워크 서비스(Social Network Service)인 Myspace의 Browse People 페이지에 연결되고 있으니 참고하기 바란다.

또한, 하기의 그림과 같이 특정 웹 사이트와의 통신을 위한 연결 세션을 맺고 있어 추가적인 악성동작이 이루어 질 가능성이 있다.


4. 예방 조치 방법


위와 같이 발신처를 위장하여 스팸 메일을 이용한 사회공학적 기법의 악성파일 유포는 최근 두드러지게 나타나고 있으며, 해당 건과 같이 소셜 네트워크 서비스(Social Network Service)를 악용한 악성파일 유포는 이미 이전에도 발생해 주의를 당부한 바 있다.

[잉카인터넷 보안리포트]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=88

때문에 해당 건과 유사한 악성파일 유포 사례는 지속적으로 발생할 가능성이 크며, 이러한 유형의 악성파일 유포로부터 안전하기 위해서는 ▶인스턴트 메신저 이용시 쪽지, 대화창을 유심히 살펴본 후 출처가 불분명한 사이트 링크에 대한 클릭을 자제해야 한다. 또한, ▶출처가 불분명한 이메일의 경우 확인하지 말고 삭제하는 습관을 들여야 하며, 만일 이메일을 열람할 경우 첨부된 파일에 대한 다운로드는 자제해야 한다.

nProtect Anti-Virus 제품군에서는 해당 건과 관련하여 보고된 악성파일에 대해 하기의 그림과 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도 

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

 
트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)


2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.


본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.


본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다. 

※ 피싱(Phishing)이란? 

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다. 


최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.


버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.


여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect