1. 개 요

 

매년 연말연시가 되면 다양한 지인들과 서로 안부를 전하는 등 축제적인 분위기가 이어지며, 악성파일 제작자들은 이와같은 기회를 놓치지않고 매년 연말연시 분위기에 편승해 사회공학 기법을 통한 악성파일 유포를 시도해왔다. 악성파일 제작들은 이러한 연말연시를 겨냥해 악성파일이 첨부된 다양한 종류의 이메일을 무작위적으로 발송하게되며, 일반 사용자들은 연말연시 이메일을 비롯해 다양한 방법을 통해 인사 및 안내 메일을 주고받기 때문에 쉽게 현혹되어 악성파일에 감염될 수 있다. 

이번글을 통해 사회공학 기법을 통한 악성파일 유포 사례 등을 살펴보고 이를 토대로 사회공학 기법을 이용해 유포될 수 있는 악성파일로부터 각 PC에 대한 안전을 유지할 수 있도록 하자.
  

2. 유포 방법 및 사례

사회공학 기법을 이용해 악성파일을 유포할 경우 악성파일 제작자들은 손쉽게 다수의 감염 상황을 유발시킬 수 있도록 이메일, SNS 등을 통해 전파하는 방법을 취하는 것이 일반적이다. 이러한 경우 이메일에 특정 악성파일을 첨부하여 유포하는 방법을 취하거나 SNS의 경우 악성파일에 대한 다운로드 및 설치가 가능한 URL 등의 링크를 삽입하는 등의 방법을 취하는것이 일반적이다.

◆ 이메일을 이용한 사회공학적 기법 사례

 


위와 같은 이메일은 사용자들을 손쉽게 현혹시키기 위해 이메일 본문 내용에 첨부된 파일이나 링크 등의 다운로드 및 클릭을 유도하는 글을 삽입할 수 있으며, 위 그림과 같이 공인된 기업 및 기관으로 위장한 형태로 이메일을 보내는 등의 방법을 취할수도 있다.

◆ SNS를 이용한 사회공학적 기법 사례


위 그림은 SNS를 통해 악성파일을 유포하는 사회공학 기법의 한 사례이며, 감염될때마다 감염자와 친구등록이 되어있는 모든 사용자들에게 악성파일에 대한 다운로드가 가능한 링크 전파가 이루어질 수 있어 이메일보다 감염 범위가 넓을 수 있다.

3. 예방 조치 방법

위에서 설명한 이메일, SNS는 악용될 수 있는 사회공학 기법의 아주 작은 예이다. 사회공학 기법은 이메일, SNS뿐만 아니라 매우 다양한 형태로 일반 사용자에게 찾아올 수 있으며, 이렇게 악용될 수 있는 사회공학 기법에 제대로 대처하지 못한다면 악성파일에 감염되어 예측할 수 없는 피해를 입을 뿐만아니라 본인의 부주의로 인해 다양한 대상에게서 여러 가지 피해 상황이 발생할 수 있다. 

이러한 사회공학 기법을 이용한 악성파일의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

요즘과 같은 스마트화 시대에 통신 수단으로 스마트폰을 사용하지 않는 사람들은 별로 없을 것이다. 또한, 스마트폰을 사용하면서 최근 대세인 SNS(Social Network Service)를 한가지 이상 사용하지 않는 사람들을 찾기도 쉽지 않을 것이다. SNS는 여러 사람들 간의 정보 공유와 소통 등 실시간으로 즐길 수 있는 컨텐츠를 우리에게 제공하며, 어찌 보면 뉴스 이상의 정보를 훨씬 빠르게 접할 수 있는 하나의 정보 수단으로 자리매김하고 있다.


최근 이러한 SNS를 통해 설치되는 앱 중 정보 공유의 용이함을 이용해 해당 앱 설치 시 사용자에게 몇 가지 권한에 대한 "허가 요청"을 하고, 그 권한을 이용해 사용자의 동의 없이 게시물 등록 등의 기능을 수행하는 앱이 늘고 있어 사용자들의 주의가 요구되고 있다.

위와 같은 앱은 설치 시 사용자에게 특정 기능에 대한 "허가 요청"을 하게 되며, "허가"할 경우 사용자로부터 몇 가지 권한을 부여받게 된다. 해당 앱은 부여받은 권한으로 아래의 그림과 같이 친구로 등록된 사용자의 담벼락에 별다른 동의 절차 없이 해당 앱에 대한 설치 유도 글을 게재할 수 있게 된다.


위 그림과 같이 담벼락에 게재된 글을 클릭할 경우 클릭한 사용자도 마찬가지로 해당 앱에 대한 설치가 이루어지며, 선택에 따라 "기본 정보에 접근, 이메일 수신, 담벼락에 게시" 등의 기능 수행 권한이 앱에게 부여될 수 있다.

물론, 위와 같은 앱이 설치되어 부여되는 권한으로 인해 현재까지 금전적 손실 등 실질적이거나 물리적인 피해 상황은 발생하지 않고 있다. 다만, SNS 및 스마트폰에 대한 보안 위협은 그 편리성과 함께 비례적으로 증가하는 추세이므로 충분한 주의를 통해 혹시 모를 피해에 대비하는 것이 현명한 선택일 수 있다.

혹시, 해당 앱이 설치되어 있는 사용자 중 삭제를 원하는 경우가 있다면 아래의 삭제 방법을 참고하여 안전하게 앱 실행에 대한 차단을 할 수 있도록 하자.
  

◆ 삭제 방법

1. [계정] -> [개인 정보 설정] -> [앱과 웹사이트]"설정 관리" 클릭 -> [사용 중인 앱]"설정 관리" 클릭.

2. 아래의 그림과 같이 클릭을 통해 삭제 진행.

  

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 언제든지 발생할 수 있는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1. 개 요


해외시각으로 2010년 12월 16일 트위터를 통한 허위백신 유포 사례가 해외 보안업체 블로그를 통해 보고되었다. 트위터에 해당 허위 백신에 대한 홍보성 글과 함께 단축주소(Short URL)를 사용한 다운로드 경로를 공개하고 있으며, 사용자 PC에 설치될 경우 허위 오류 메시지나 악성파일 감염에 대한 거짓 경고 메시지를 보여준 후 이를 이용해 결제를 유도하고 있다. 때문에 사용자들은 이러한 허위백신에 현혹되지 않도록 하는 주의가 필요하다.

2. 감염 과정

하기의 그림과 같이 트위터를 통해 허위 백신 다운로드 경로가 유포되고 있는 것으로 알려졌다.

출처 : http://pandalabs.pandasecurity.com/twitter-used-for-rogueware-distribution/


상기의 그림과 같이 특정 Anti-Virus에 관한 홍보성 글과 함께 특정 사이트로 이동할 수 있는 단축주소(Short URL)를 기재해 클릭을 유도하며, 클릭 시 아래의 그림과 같은 허위 경고창을 보여준다.


"확인"을 누르게 되면 하기의 그림과 같이 웹 사이트상에서 사용자 PC에 대한 스캔 화면과 동시에 허위 감염 사실을 보여준다.


또한, 위 그림 오른쪽 하단의 적색박스에 존재하는 "Start Protection" 버튼 클릭을 유도하며, 클릭 시 하기와 같은 허위 백신 설치파일을 다운로드 하게된다.


다운로드 되는 Setup.exe 파일은 아래 그림과 같이 윈도우 로고 이미지와 유사한 아이콘을 가지고 있는 것이 특징이다.


Setup.exe 파일이 실행되면 아래의 그림과 같이 Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.


친절하게 "Scan Online"버튼을 클릭해야 해당 위협을 제거할 수 있다는 설명을 첨부해 클릭을 유도하고 있다. "Scan Online"버튼을 클릭하게 되면 재부팅을 시도하며, 부팅 완료 후 아래의 그림과 같은 화면을 출력한다.


윈도우 아이콘을 사용하여 마치 Microsoft에서 정식으로 서비스되고 있는 것 처럼 깔끔하게 이미지가 표현되어 있다. 또한, 설치 후 재부팅 과정을 거치며 출력되기 때문에 일반 사용자들은 정상적인 프로그램으로 착각할 수 있다.

해당 허위 백신은 참 많은 클릭을 유도하고 있다. "Safe Startup"버튼을 클릭하게 되면 위 그림에서 설명된 것과 같이 "ThinkPoint"로 명명된 "이 세계적인 보안 솔루션이 작동"되어 하기의 그림과 같은 허위 악성파일 진단 결과 창을 보여주게 된다.


위 그림에서 적색박스의 아이콘을 클릭하게 되면 "이 세계적인 보안 솔루션"이 궁극적인 목표로 하는 금전적 이득을 위한 결재 창을 보여주게 된다.


3. 예방 조치 방법

최근에는 위와 같은 허위 백신 외에도 하드디스크의 문제점(조각 모음, 최적화 등)을 해결해 주는 것 처럼 위장해 결제를 유도하는 악성파일들도 등장하고 있다.

이러한 결제 유도 방식의 허위 유틸리티 프로그램들은 이메일, 메신저 혹은 트위터와 같은 SNS를 통해 유포될 수 있으며, 정상 파일처럼 위장하거나 사회적 이슈를 악용한 사회공학적 기법을 이용하기 때문에 사용자 스스로 주의를 기울여야 한다.

위와 같은 악성파일들이 이메일의 첨부 파일 등을 통해 유포되는 경우 발신처가 불분명한 이메일은 열람하지 않고 메일에 포함된 첨부 파일은 다운로드를 주의하는 방법을 통해 어느 정도 대처할 수 있었다. 그러나 악성파일 유포 주소가 포함된 단축주소(Short URL)의 경우 메신저, 혹은 트위터와 같은 SNS를 통해 공개되면 일반 사용자들은 해당 주소에 대한 정확한 확인이 어려울 수 있다.

압축된 단축주소로 인한 피해를 줄이기 위해 원래의 주소를 확인할 수 있는 사이트가 있어 하기와 같이 소개하니 이러한 방법을 숙지하여 단축주소로 인한 피해를 입지 않도록 하자.

※ 단축주소(Short URL) 생성

 - http://is.gd/
 - http://tinyurl.com/

※ 단축주소(Short URL)를 확장주소(Long URL)로 변환

 - http://longurl.org/

■ 단축주소(Short URL)생성 방법

아래와 같은 사이트(http://is.gd)로 이동해 단축주소로 변환할 URL(www.nprotect.com)을 입력한 후 "Compress That Address!" 버튼을 클릭한다.


아래의 그림과 같이 변환된 단축주소를 확인할 수 있다.


■ 단축주소(Short URL)를 확장주소(Long URL)로 변환하는 방법

아래의 그림과 같은 사이트로 이동해 확장주소로 변환할 단축주소(http://is.gd/iSTz5)를 입력한 후 "Expand" 버튼을 클릭한다.


아래의 그림과 같이 변환된 확장주소를 확인할 수 있다.


결제 유도 방식을 취하는 허위 백신이나 허위 유틸리티 프로그램은 ▶사용 중인 OS의 보안패치, ▶Adobe, Flash Player와 같은 응용프로그램의 보안패치도 중요하지만 최근 편리성으로 인해 사용이 잦아진 ▶단축주소(Short URL)에 대해 위에서 설명한 확인방법 등을 참고하여 활용한다면 더욱 안전하게 PC를 사용하는 방법이 될 수 있다. 물론 ▶신뢰할 수 있는 백신 사용과 최신 엔진 및 패턴 버전을 위한 업데이트 생활화는 기본이다.

저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

1인 체제의 미디어와 커뮤니티를 형성하여 실시간으로 다양한 정보를 공유하고 소통할 수 있는 마이크로 블로그 서비스인 SNS(Social Network Service)가 전 세계의 수 많은 사람들에게 폭발적인 호응을 얻고 있는 가운데 트위터(Twitter) 와 페이스북(Facebook) 등의 이용자를 대상으로 하는 악의적인 공격 형태가 지속적으로 등장하고 있어 사용자들의 각별한 주의가 요구된다.

특히, 소셜 네트워크 서비스는 아이폰과 안드로이드폰 등 각종 스마트폰의 수요 급증과 맞물려 SNS 활용 범위가 웹에서 모바일까지 점차 확대되어지고 있다. 이는 다양한 인맥채널를 통하여 새로운 정보가 신속하게 전파될 수 있는 기반이 충족되었다는 것을 의미한다.

이러한 이유로 소셜 네트워크 서비스는 악의적인 의도를 가진 사이버 범죄자들에게 새로운 공격 매개체로 주목을 끌고 있는 것이며, 주요 표적이 되는 조건이 충분히 성립되어 있다고 할 수 있다.

※ 소셜 네트워크 서비스가 사이버 범죄자들에게 표적이 되는 주요 이유는?

a. 세계적으로 많은 이용자가 사용 중
b. 신속하게 정보 전파 가능
c. 이용자들간에 신뢰도가 구축
d. Short URL 등 변형 주소 사용 가능
e. 사회 공학적 기법 사용 용이
f. 사진이나 동영상 파일의 링크 클릭 유도 

가장 근래에 목격되고 있는 공격 유형은 허위 사실을 SNS 나 불특정 다수의 E-Mail 주소 등으로 무차별 배포하며 인터넷 사용자들이 최대한 신뢰할 수 있도록 위장하고 현혹시킬 수 있는 문구나 이미지 등을 사용하고 있다. 그래서 수신자로 하여금 무심결에 유해성 내용을 직접적으로 실행하도록 유도하는 방식이 사용되어지고 있다.

2010년 06월 15일에는 SNS의 대표적 서비스인 트위터(Twitter)와 페이스북(Facebook) 내용으로 위장한 형태가 국내에서 동시에 발견되기도 하였다.

먼저 트위터의 사용자 암호 변경 내용처럼 조작된 가짜 내용을 마치 트위터 팀(The Twitter Team)에서 공식적으로 발송한 이메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하여 유포된 형태가 국내에 유입된 사례가 있었다.

 
트위터 위장 내용과 마찬가지로 페이스북 사용자의 암호 변경 내용처럼 조작된 형태도 함께 발견되었고, 첨부파일명을 index.html 에서 facebook_newpass.html 이라는 이름으로 변경하여 유포하였다.

첨부되어 있었던 html 파일들은 모두 악의적인 스크립트 코드로 구성되어 있고 일반 사용자가 보고 코드의 악성유무를 판단하기 어렵도록 부분적으로 난독화(암호화)되어 있고, 첨부파일을 수신한 사용자가 아무런 의심없이 무심코 파일을 실행할 경우 잠재적인 보안 위협에 노출되게 된다.

아래 화면은 스크립트 파일의 모습 중 하나이다. (일부 모자이크 처리)


2010년 06월 07일에는 메일 본문 등도 트위터 화면처럼 스킨을 조작한 형태가 국내에 유입되었는데, 첨부된 파일은 존재하지 않고 이메일 본문에 트위터 URL 주소처럼 위장된 링크 주소를 통해서 사용자의 클릭과 특정 사이트를 방문하도록 유도하는 형태이다.

실제로 파일이 링크된 곳은 트위터쪽 주소가 아니라 악성코드가 존재하는 또 다른 사이트이다.


본문에 포함되어 있는 http://twitter.com/Twitter_security_model_setup.zip 주소는 실제 트위터 도메인으로 오인할 수 있지만 이것 역시 조작되어 위장된 것으로 링크를 클릭하게 되면 아래와 같이 구글 그룹 사이트로 연결되고 악성코드가 존재하는 또 다른 URL 링크를 클릭하도록 유도한다.

 
구글 그룹 사이트를 악용한 것 역시 사용자에게 조금이나마 링크된 주소를 신뢰할 수 있도록 하기 위한 악성코드 유포자의 수법 중에 하나이며, 링크된 주소를 클릭하면 다음과 같이 악성코드 파일이 다운로드 시도된다.


※ 구글 그룹 도메인을 악용한 악성코드 내용
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=87

2010년 06월 07일에는 미국의 유명 영화배우인 Angelina Jolie 로 부터 페이스북 초대 내용처럼 위장한 형태가 국내에 유입되었다.


본문에 포함되어 있는 페이스북 링크도 허위로 조작된 것이며, 또 다른 악성코드 유포 사이트로 연결이 되도록 만들어져 있다.

이외에도 트위터 사용자들을 대상으로 DM(Direct Message) 쪽지 기능을 악용한 피싱(Phishing) 메시지가 지속적으로 전파되고 있어 각별한 주의가 필요하다. 

※ 피싱(Phishing)이란? 

금융기관, 공공기관, 국가기관이나 특정 웹사이트 등 신뢰할 수 있는 것처럼 위장된 내용을 악용하여 특정 개인의 암호, 인증번호나 신용카드 번호, 금융 계좌 정보 등을 탈취해서 이를 불법적으로 이용하는 사기 수법이다. 개인정보(Private Data)와 낚시(Fishing)을 합성한 용어로 "개인 정보를 훔쳐낸다."는 의미를 가진다. 


최근에도 트위터 쪽지(DM) 기능을 통해서 개인정보 수집 및 인터넷 광고, 악성코드 유포 목적으로 URL 전파가 지속적으로 증가하고 있는 추세이므로, 이러한 유사 내용을 쪽지로 받는 경우 URL 주소를 클릭하기 전에 세심한 주의가 필요하다.

국내에 다수 전파되었던 사례중 트위터 쪽지에 포함되어 있던 특정 URL 주소를 클릭하면 다음과 같은 팝업창이 보여지며, Click to Play Now! 버튼 클릭을 유도하는 형태가 존재한다. 트위터 쪽지를 통해서 퍼지고 있는 URL 주소는 매우 다양하기 때문에 유사한 패턴을 미리 알고 있으면 도움이 된다.


버튼을 누르게 되면 트위터 로그인 화면으로 변경된다.


여기에 트위터 사용자가 로그인을 하게 되면 계정과 암호가 외부로 무단 유출되어 또 다른 Follower 들에게 해당 광고 쪽지를 발송하는 가해자가 될 수 있으므로, 트위터 쪽지 등으로 상기와 같은 내용을 접하게 되면 보낸이에게 유해성 및 관련 내용을 전달하여 트위터 암호나 계정을 신속하게 변경하도록 권고해 주는 것이 안전하다.

지금까지 국내외에서 발견되고 있는 SNS 관련 악성코드들은 nProtect Anti-Virus/Spyware 제품에서 완벽하게 진단 및 치료가 가능하며, 계속해서 변형이 제작 유포되고 있는 상황이오니, 항시 최신 패턴으로 업데이트를 유지하도록 하여야 한다.




저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect