1. MS Office Word 문서파일을 이용한 악성파일 발견

잉카인터넷 대응팀은 지능형 표적공격을 집중관제 중에 2013년 10월 30일 경 정보보안예산 내용으로 위장한 DOC 문서형태의 악성파일을 다수 발견하여, 꾸준히 추적 조사 중에 있다. 해당 문서파일을 실행하게 되면 매크로 기능을 통해 이용자 컴퓨터에 추가적인 악성파일이 몰래 설치 시도된다. 따라서 이용자들은 가급적 매크로 기능이 실행되지 않도록 보안설정을 해두고, 신뢰하기 어려운 경우 절대로 매크로 기능을 활성화하지 않도록 주의하여야 한다.

각종 문서파일로 사칭한 악성파일의 경우 이용자들이 무심코 실행하는 경우가 많아 지능적 표적공격에 다수 악용되고 있다. 이메일 첨부파일로 문서파일을 받을 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 말아야 한다. 더불어 문서 프로그램은 항시 최신 버전으로 업데이트하여 기존에 알려져 있던 보안취약점을 제거하도록 하고, 악용될 소지가 많은 매크로 기능 등 각종 보안설정을 권장사항으로 유지하여야 한다.

[바이러스 토탈 진단현황]

https://www.virustotal.com/ko/file/e554e349a017337e4373c53244edd081b7e7321a4b6ec1ac7749c662603cfff4/analysis/1385101591/
https://www.virustotal.com/ko/file/4e9a01072b0a8bcade1523ae52d81d2c28353a19f74c403c20813e7d98de0514/analysis/1385101635/
https://www.virustotal.com/ko/file/b7e619df412f8c1a36726f9fe42e3cb5d0771a220020c79d279f34b7d918e04c/analysis/1385101759/

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견
☞ http://erteam.nprotect.com/451


[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ 
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ 
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ 
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ 
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ 
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ 
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ 
http://erteam.nprotect.com/272

2. 정보보안예산 문서를 이용한 보안위협

정보보안예산 문서로 위장한 악성파일은 3가지 형태의 변종이 발견됐으며, 모두 유사한 형태의 한글 파일명으로 발견되었다. 2개는 "정보보안예산안.doc" 나머지 1개는 "정보보안예산.doc" 이름을 가지고 있다. 악의적인 기능이 존재하지 않는 파일도 별도로 존재하는데, 제작자가 테스트용으로 사용한 것으로 추정된다.


DOC 악성파일이 실행되면 아래와 같이 [보안 경고] 창이 나오면서 화면에는 알 수 없는 내용만 보여진다. 이 때문에 일부 이용자는 매크로 기능의 제한으로 인하여 정확한 내용이 보여지지 않는 것으로 착각할 수 있고, 공격자는 이렇게 이용자 심리를 이용하기 위해서 고의로 조작된 화면을 보이도록 만든 것으로 추정된다.


만약 이용자가 매크로 기능을 사전에 활성화시켜 둔 상태라면 악성파일이 즉시 생성되고, 실행되지만 매크로 제외설정을 한 경우 사전에 악성파일이 실행되는 것을 차단할 수 있다. MS Office 제품군에 따라 설정내용은 조금씩 상이할 수 있으며, MS Office 2007 제품의 경우 초기설정값은 다음과 같다.


그러나 이용자가 무심코 매크로 기능을 활성화한 후 동작시킬 경우 컴퓨터에 EXE 형태의 악성파일이 이용자 몰래 추가로 생성되고 실행된다.


매크로 기능의 [이 콘텐츠 사용]을 선택한 후 [확인]버튼을 클릭하게 되면 "WINWORD.EXE" 파일에 의해서 임의의 악성파일이 추가로 생성되고 실행된다.


악성파일은 특정 원격 서버위치로 접속하여 추가 명령수행을 시도하게 되며, 환경조건에 따라 추가 악성파일이 다운로드될 수 있다. 추가로 설치되는 악성파일에 따라서 내부 네트워크의 중요한 기밀정보가 외부로 노출될 수 있으므로 각별한 주의가 필요하다.

 
이 기법은 보안제품 탐지 우회 및 악성파일 추가 설치 목적 등으로 이미 2011년 경에도 일부 보고된 바 있고, 꾸준히 이용되고 있는 공격기법 중에 하나이다.

http://www.hillick.net/challenges/skoudis_2011_cmas_challenge_mh.pdf


잉카인터넷 대응팀은 변종 악성파일들에 대하여 nProtect 제품군에 탐지 및 치료기능을 모두 추가한 상태이며, 외부에 쉽게 알려지지 않는 유사 표적공격을 꾸준히 모니터링하고 있다.

3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.


※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 한컴오피스 문서파일(HWP/CELL) 취약점을 이용한 불청객 이메일


잉카인터넷 대응팀은 상시 보안관제 중 2013년 07월 01일부터 10일까지 한국내 통일연구 및 무역관련 기관을 집중적으로 노린 지능화된 표적공격 정황을 다수 포착하였다. 이번 공격은 한글과컴퓨터사의 한컴오피스 문서파일 취약점을 공통적으로 사용한 특징이 있으며, HWP 파일뿐만 아니라 CELL 파일 취약점도 이용되었다. 또한, 일부는 PDF 문서파일처럼 아이콘을 조작한 실행파일(EXE) 스타일의 악성파일도 함께 발견되는 등 다양한 기법이 동원되었다. 특히, 이메일의 보낸 사람 이름에 "보좌관" 이라고 표기하거나 마치 중요한 업무내용처럼 관련 문구를 포함시킨 사례도 확인되었다. 이는 수신자로 하여금 좀더 안심하고 신뢰할 수 있는 이메일로 가장하는 고전적인 심리수법이며, 이용자가 최대한 보안 사각지대에 놓이고, 현혹될 수 있도록 유혹하는데 그 주목적이 있다.

이러한 전통적인 스피어 피싱(Spear Phishing) 공격기법은 국가기관이나 주요기업 등에 은밀히 침투하여 각종 기밀정보를 수집하고 외부로 유출을 시도하므로 표적공격의 시발점이라 할 수 있고, 내부보안을 저해하는 요소로 작용된다. 아울러 앞서 언급한 과정에서 침투공격이 성공할 경우 지속적인 잠복 및 정찰이 수행되며, 내부조직의 중요한 정보수집과 후속공격의 교두보로 악용될 가능성이 높다. 이렇듯 표적공격은 이메일에 첨부한 악성파일을 이용하는 경우가 많으므로, 운영체제 및 응용프로그램들을 항시 최신버전으로 업데이트하고 유지하여 기존에 알려져 있는 보안취약점에 노출되지 않도록 유념해야 한다.
 
[긴급]새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
http://erteam.nprotect.com/360

[주의]HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

2. 이메일에 첨부된 악성 문서파일 당신을 노린다.

2013년 07월 01일 오후, 국내 무역관련 협회에서 근무하는 다수에게 유사한 형태로 악성파일이 첨부된 이메일이 전파되었다. 이메일 제목과 첨부파일은 동일하게 만들어져 있으며, 보낸 사람은 모두 동일한 한메일 계정이 이용되었고, "보좌관"이라고 표기되어 있는 것이 특징이다.

 
2013년 07월 08일에는 2013-통일부 성과관리시행계획 자료집이라는 제목으로 HWP 악성파일이 포함된 이메일이 특정 포털사이트 웹 메일에서 다른 포털사의 웹 메일로 발송되었다.

 
2013년 07월 10일에는 통일관련 연구기관 내부 직원에게 악성파일이 첨부된 이메일이 전파되었다. 본문 및 악성 첨부파일은 내부 직원들이 관심을 가질만한 "통일"이나 "안보"와 관련된 내용으로 사용자들을 현혹하는데 이용하였다.


각 이메일에 첨부되어 있는 HWP 문서 파일은 악성파일로 보안취약점이 존재하는 상태에서 실행할 경우 해당 컴퓨터는 악성파일에 감염되어 추가적인 보안위협에 노출되게 된다.

특히, "개최계획과 남북통일위원회 명단.zip" 압축파일 내부에는 "남북통일위원회 명단.cell", "상임위원 워크숍 개최계획.exe" 악성파일이 포함되어 있다. 파일 확장자가 CELL 인 "남북통일위원회 명단.cell" 파일은 한컴 한셀 취약점을 이용한 파일이다.


해당 악성파일들은 nProtect Anti-Virus 제품군에 모두 업데이트된 상태이므로, 최신버전으로 업데이트를 하면 HWP 취약점을 이용한 악성파일들을 탐지하고 치료할 수 있다. 

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 07월 10일 최신 보안패치가 발표된 상태이므로, 아래 사이트에서 업데이트를 설치하도록 한다.

http://www.hancom.com/downLoad.downPU.do?mcd=001


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


잉카인터넷 대응팀은 최근 APT 공격과 관련한 모니터링중에 독도 영유권 분쟁과 관련한 내용으로 꾸며진 한글 문서 파일을 악용하여 특정 기업을 대상으로 APT 공격이 발생한 정황을 포착하였다. 최근 국내외적으로 이슈가 되고있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태를 보이고 있으며, 감염될 경우 키로거 기능 등을 수행하는 것으로 미루어보아 기업들을 대상으로 하는 APT 공격 과정의 초기 분석 단계로 볼 수 있다.

[정보]한글 취약점을 악용한 악성파일 유포 주의!
http://erteam.nprotect.com/314

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272
  

2. 유포 및 감염 증상

해당 악성파일은 아래의 그림과 같이 독도관련 제목으로 위장된 한글 문서 파일이며, 내부에 존재하는 악성파일의 생성 및 실행을 시도한다. 이메일의 첨부파일 형태 등으로 유포가 이루어질 수 있으며, 특정 기업의 특정 사용자를 대상으로 발송되어 점차적으로 기업내의 주요정보 탈취 형태로 발전할 수 있다.

위 과정을 통해 해당 악성파일을 실행하여 PC가 감염될 경우 아래와 같이 추가적인 악성파일을 생성하게 된다.

※ 생성 파일

☞ 한글 문서 파일로 위장한 악성파일
- (사용자 임시 폴더)\SUCHOST.EXE (295,424 바이트, 악성)
- (사용자 임시 폴더)\AAAA (19,968 바이트, 정상)

☞ SUCHOST.EXE
- C:\Documents and Settings\All Users\Application Data\Connection.DLL (295,424 바이트, 악성)
- C:\Documents and Settings\All Users\Application Data\SSK.LOG (키로거 파일, 정상)

☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.

또한, 해당 악성파일은 감염 시 사용자에게 감염 사실을 숨기기 위해 "AAAA" 파일명의 정상적인 문서파일을 생성하여 아래의 그림과 같이 출력하는 방법으로 사용자들을 현혹시킬 수 있다.

이때, 추가적으로 생성되는 악성파일 SUCHOST.exe를 통해 Connection.DLL이 추가적으로 생성되며, 해당 파일은 현재 로드된 모든 프로세스에 인젝션 된다.

그 후 아래의 그림과 같이 svchost를 통해 외부의 특정 사이트와의 지속적인 접속 상태를 유지하게 된다.

또한, Connection.DLL 파일은 키 입력이 발생하게될 경우 SSK.LOG파일을 생성하여 모든 키입력 값들을 저장하는 등 키로거 기능을 수행하게 되며, 재부팅 시 자신을 삭제하여 감염 사실을 숨기기 위한 동작도 수행한다. 아래의 그림은 해당 파일에 저장된 모든 입력값들을 보여주고 있으며, 지속적으로 접속 상태를 유지하고 있는 외부 사이트에 전송되어 정보 유출이 이루어질 수 있다.

아래의 그림은 정보가 유출되는 것으로 추정되는 IP의 위치를 추적한 화면이며, 홍콩에 소재하고 있는 것으로 확인되고 있다.

보통 기업을 대상으로하는 APT 공격은 공격자와의 원활한 접점을 찾는 등의 동작을 위해 초기분석 단계를 거치게 된다. 초기분석 단계에서 공격자는 본격적으로 공격하여 정보를 탈취하기를 원하는 곳의 접점을 찾기위해 다각적인 정보를 수집하게 되는데 이때 사용되는 공격방법은 기업내에서 초기에 접하기 쉬운상대여야 하므로 이메일 등을 통한 접근을 시도하는 것이 보통이다.

이렇게 초기분석 단계에서 얻어지는 정보를 토대로 공격자는 대상 기업의 주요 위치에 접근하여 중요한 정보를 탈취하는 작업을 수행할 수 있게 된다.

3. 예방 조치 방법

위와 같은 악성파일은 특정 기업내의 특정 사용자에게 이메일의 첨부파일을 통해 실행을 유도하는 형태로 유포되며, 이를 통해 키로거 기능을 사용하여 다양한 정보를 탈취할 수 있게 된다.

이와 같은 방법은 전형적인 특정 기업을 대상으로 하는 APT 공격의 전형적인 사례이며, 현재 대다수의 기업 및 기관에서 이와같은 공격사례가 포착되고 있다. 다수의 기업에서 특정 장비 등을 통해 이러한 공격기법을 차단하기 위한 노력을 기울이고 있지만, 기업의 규모 등 실질적인 문제로 인해 이와 같은 보안지침은 모두 통용되고 있다고 보기 힘들다.
 
때문에, 최소한 일반적으로 이러한 공격 및 악성파일로부터 안전한 PC사용 및 대비를 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.

5. 위 사항과 별도로 기업내에서 보안 정책을 마련하고 있다면 해당 보안 정책을 충실히 이행할 수 있도록 한다.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Agent.295424.EG
- Trojan/W32.Agent.295424.EH
- Trojan-Exploit/W32.Hwp-Exploit.447504

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


잉카인터넷 대응팀에서는 2012년 3월 10일인 티벳(Tibet) 봉기 53주년을 기념해서 이와 관련된 악성파일이 은밀하게 유포 중인 것을 발견하였다. 티벳은 1949년 중국에 침략 당한 이후 정치적, 종교적 이유로 약 120만명이 사망하고, 6,000개 이상의 사원이 파괴당한 것으로 알려져 있다. 이후 1959년 3월 10일 약 30만명의 티벳인들이 평화시위를 벌이면서 시작된 티벳 봉기는 중국 인민해방군의 무력 진압으로 인해 약 8만명의 티벳인들이 사망한 것으로 추산되었고, 이를 추모하기 위해서 매년 3월 10일을 티벳 봉기의 날로 선정하여 전 세계에서 기자회견 및 퍼레이드, 기념식 등을 펼치고 있다. 이 기간 티벳 봉기 기념일과 관련된 보안 위협이 가중될 수 있으므로, 관련된 내용을 참고하여 예방하는 노력이 요구된다.
  

이러한 기념일이 다가오면서 티벳과 관련된 사용자들에게 악성 문서파일이 첨부된 이메일이 지속적으로 전달되고 있는 상황으로 확인되었다. 특히, 티벳과 관련된 이러한 지능형 지속 위협(APT:Advanced Persistent Threat)은 꾸준히 기승을 부리고 있는 것으로 잉카인터넷 대응팀은 파악하고 있다.

※ Tibetan Uprising Day (Wikipedia)
http://en.wikipedia.org/wiki/Tibetan_Uprising_Day

2. 유포 방식 및 증상

■ 사례 #1

티벳의 민중 봉기(Tibetan Uprising Day) 53주년을 기념하는 내용과 2012년 3월 10일 발표할 성명서를 첨부한 것처럼 교묘하게 내용을 위장하고 있으며, 보안이 적용된 메시지(PGP)로 발송한 것으로 조작되어 있다.

특히, 발신자의 이메일 도메인이 @Tibet.net 이라는 점에서 발신자의 이메일 계정도 도용되었을 가능성이 높고, APT 노출로 인한 2차 공격 상황일 것으로 추정된다. 이렇게 발신자가 신뢰할 수 있는 도메인으로 악성파일을 전송할 경우 2차, 3차 공격이 성공할 확률이 더욱 더 높아지게 된다. 

제목 :
March 10th Statement

내용 :
(일부생략)

Please find here attache with the Statement of Kalon Tripa Dr. Lobsang Sangay on the 53rd Anniversary of the Tibetan National Uprising Day.

With Tashi Delek

(일부생략)

첨부파일 (악성파일) :
March 10th Statement.doc


이메일에 첨부되어 있는 MS Word 문서파일은 보안 취약점을 통해서 악성파일을 사용자 몰래 설치하는 기능을 수행하게 되는데, 수신자가 MS Office 프로그램의 취약점을 보유한 상태에서 "March 10th Statement.doc" 실행하면 다음과 같이 svchost.exe, linkinfo.dll 이름의 악성파일이 자동으로 생성되고 실행된다.

첨부파일은 MS10-087(CVE-2010-3333) 취약점을 가지고 있으며, 중국에서는 이미 해당 취약점을 가진 문서파일을 자동으로 생성하는 도구가 개발되어 공공연히 공유되고 있기도 하다.

Word 문서 파일이 실행되면 다음과 같이 화면이 나타나지만, 내부에는 전혀 성명서와 관련된 내용은 포함되어 있지는 않다.


보통 이런 경우 사용자는 잘못 작성되어진 문서로 인식하고 단순히 지나칠 수 있지만, 사용자가 인지하지 못하는 순간 또 다른 악성파일에 노출되는 수법이다. 그리고 공격자들은 사용자의 의심을 피하기 위해서 실제 내부에 관련된 내용을 포함시키는 경우도 많이 있고, 고의적으로 오류 메시지 등을 출력시켜 손상된 파일로 위장하는 경우도 많이 있다.

- C:\Documents and Settings\(로그인 계정)\Local Settings\Temp\svchost.exe (숨김 속성)
- C:\WINDOWS\linkinfo.dll


상기와 같은 악성파일은 사용자 컴퓨터에서 "개인정보 유출"을 시도하거나, 특정 호스트(C&C 서버)로 접속하여 공격자로 부터 다양한 추가 명령을 받는 "Backdoor 기능" 등을 수행할 수 있다.


■ 사례 #2

티벳 기념일과 관련하여 발견된 2번째 악성 이메일도 악의적인 DOC 문서파일을 첨부하고 있으며, 53rd Tibetan National Uprising Day March 10th 2012 포스터(http://standupfortibet.org/) 파일도 함께 첨부되어 있다.


해당 메일에도 악의적인 DOC 문서파일이 첨부되어 있으며, 실행하면 다음과 같은 포스터 이미지가 포함된 문서내용을 보여주면서 악성파일을 설치한다.


이처럼 악성파일의 트랜드가 불특정 다수를 대상으로 하던 일반적 보안 위협과 함께 ▶은밀히 특정 표적을 공격 대상으로 삼고 국지적으로 공격하는 추세가 증가하고 있다는 점을 절대 잊어서는 안된다. 따라서 이와 유사한 각종 보안 위협으로 부터 사전에 완벽한 대비를 하고 충분한 예방을 하기 위해서는 ▶이미 알려진 취약점에 대한 신속한 보안 업데이트가 필수적 기반이 되어야 하며, 더불어 보안 패치가 공개되지 않은 최신 Zero-Day 공격 등도 예방하겠다는 꾸준한 관심과 보안 강화에 대한 다양한 노력이 절실히 필요하다.

3. 예방 조치 방법

위와 같은 악성파일은 특정 표적을 대상으로 삼아 공격하는 일종의 지능형 지속 위협(APT:Advanced Persistent Threat) 공격 형태로 다양한 보안 취약점과 수신자가 마치 정상적인 이메일과 문서파일로 속기 쉽도록 만들어져 위장하고 있다는 점이 고유한 특징이다.

상기 취약점은 MS Office 최신 버전 설치를 통해서 사전 예방이 가능하다.
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko


이러한 악성파일에 노출되지 않도록 하기 위해서는 주요 프로그램들의 최신 보안 업데이트를 설치하는 것이 매우 중요하다. 대표적으로 MS Windows OS, JAVA, Flash Player, Adobe Reader, MS Office, Hancom HWP 등을 들 수 있다.

더불어 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
 


※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect