최신 보안 동향

[주의]이메일 형태로 위장한 악성파일 유포 기승

TACHYON & ISARC 2011. 5. 31. 17:38

1. 개 요


최근 정상적인 이메일로 위장해 악성파일을 유포하는 형태의 기법이 기승을 부리고 있다. 일반 사용자들은 평소 다양한 광고 형태의 이메일을 자주 받는다. 때문에 별다른 의심 없이 이러한 이메일의 열람 및 첨부 파일에 대한 다운로드 및 실행을 할 수 있어 각별한 주의가 요망되고 있다. 이번 글에서는 세계적인 물류 배송 업체 DHL에서 보낸 이메일로 위장한 형태의 사례를 살펴보고 이러한 보안 위협에 미리 대비할 수 있는 시간을 가져보도록 하자.

2. 감염 경로 및 증상

위와 같은 악성파일 유포 기법은 제목과 같이 말 그대로 정상적인 이메일로 자신을 위장해 첨부 파일 형태로 된 악성파일을 사용자로 하여금 다운로드 및 실행할 수 있게 유도한다.

이러한 악성파일 유포 기법은 대표적으로 아래의 그림과 같이 정상적인 이메일로 위장되어 다수의 일반 사용자에게 발송된다.

"첨부 :" 부분에서 악성파일을 포함한 압축파일이 첨부되어 있는 것을 확인할 수 있으며, 이메일의 본문 하단 적색박스를 살펴보면 "2010"으로 표시되어 있는 부분 또한 확인이 가능하다. 참고로 메일이 도착한 일시는 "2011년 5월 17일 화요일"이다.

메일 본문을 살펴보면 고객의 주소가 잘못되었다는 내용과 함께 첨부 파일에 대한 다운로드 및 실행을 유도하고 있다. 첨부되어 있는 압축파일을 다운로드 후 압축을 해제하면 아래의 그림과 같은 파일을 확인할 수 있다.

파일명 또한 DHL로 위장하고 있음을 확인할 수 있다. 해당 파일을 실행하게 되면 레지스트리 값 수정 및 아래와 같은 경로에 파일을 생성하게 된다.

※ 생성파일
 - (사용자 계정 폴더)\Application Data\(임의의 영문자 폴더명)\(임의의 4자리 영문자).exe

※ 레지스트리 값 생성 및 수정
 - 이   름 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 - 데이터 : (사용자 계정 폴더)\Application Data\(임의의 영문자 폴더명)\(임의의 4자리 영문자).exe

※ (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자계정) 이다.

또한, 아래의 그림과 같이 explorer.exe를 통해 지속적으로 외부 사이트에 접속을 시도하게 되어 경우에 따라 추가적인 악성파일 다운로드 및 Bot 기능을 수행할 수 있다.

3. 예방 조치 방법

위와 같이 정상적인 이메일로 위장한 악성파일 유포의 경우 일반 사용자들이 쉽게 현혹되어 다양한 피해를 유발할 수 있다. 이러한 보안 위협은 넓은 범위에서의 사회공학 기법으로 해석할 수 있으며, 노출 범위 또한 상당히 넓다고 할 수 있다. 때문에 사용자 스스로 아래와 같은 보안 관리 수칙을 준수하는 방법이 안전한 PC 사용을 위한 최선의 노력일 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 응용 프로그램의 최신 보안패치 생활화

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하여 항상 실시간 감사 기능을 "ON" 상태로 유지해 사용

3. 발신처가 불분명한 이메일에 대한 열람 및 첨부 파일 다운로드 자제

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.