분석 정보/악성코드 분석 정보

[주의]한글 내용의 엑셀파일을 이용한 타겟공격형 악성파일

TACHYON & ISARC 2011. 9. 27. 13:55
1. 개 요


한글 엑셀(Excel) 문서파일의 취약점을 이용하여 국내 특정 사용자를 겨냥한 악성 파일이 최근 이메일로 유포된 것을 잉카인터넷 대응팀 보안 관제 중 발견되었다.
 해당 이메일은 보낸 사람과 받는 사람의 계정 모두가 국내 사용자이지만 발신자의 계정은 외부에 의해서 불법적으로 도용된 것으로 추정된다. 이메일에 첨부되어 있는 엑셀 파일은 정상적인 문서 파일의 내용까지 포함하고 있기 때문에 일반 사용자가 악성 여부를 쉽게 판별하기는 사실 상 어렵다. 이러한 타겟 공격형 악성 파일은 매우 교묘하고 점진적으로 지속공격을 시도하기 때문에 보안 취약점에 노출되거나 사회공학적인 수법에 현혹되지 않도록 하는 각별한 주의가 필요하다.



2. 유포 경로 및 감염 증상


악성 파일은 국내의 특정 사용자를 타겟으로 지정하고 있으며, 정상적인 이메일 내용과 첨부 파일처럼 보이도록 교묘하게 위장하고 있다. 취약점이 포함되어 있는 엑셀 문서 파일이 실행될 때 사용자 몰래 또 다른 악성 기능을 가진 파일이 설치되도록 해두었다. 또한, 사용자가 눈치채지 못하도록 정상적인 엑셀(xls) 문서 파일 내용 등도 함께 출력하도록 구성되어 있다.


유포에 사용된 이메일 내용은 아래의 화면과 같고, 발신자는 인터넷 무료 웹메일을 사용하였다. ▶수신자의 경우 특정 공무원 이메일 주소로 추정이 되며, 메일 내용 등에는 모두 한글로 표기되어 있다.


이메일에 첨부되어 있는 "주소록.xls" 파일은 보안 취약점을 가지고 있는 Exploit 형태의 악성파일로 사용자가 취약점이 있는 상태에서 실행할 경우 또 다른 악성파일이 사용자 몰래 추가로 설치되게 된다.


"주소록.xls" 파일이 실행되면 다음과 같이 정상적인 주소록 내용 등을 보여주어, 사용자로 하여금 최대한 신뢰를 하도록 만들지만 보안 취약점에 의해서 또 다른 악성파일이 사용자 몰래 감염된다.

보통 이러한 타겟 공격형태는 사용자가 수신할 내용 등에 실제 필요한 내용이나 관련된 용어나 문구 등을 삽입하여, 수신자로 하여금 좀더 쉽게 현혹되고 관심을 가지도록 하는 사회공학적인 기법이 자주 악용된다.


보안취약점이 존재하는 상태에서 "주소록.xls" 파일이 실행되면 정상적인 또 다른 주소록.xls 파일을 설치하고, 그외 tasksger.exe, 6to4vcs.dll 이름의 악성파일들이 설치된다. 이처럼 정상적인 파일도 함께 설치하고 실행해 주는 이유는 사용자로 하여금 해당 이메일을 "최대한 신뢰할 수 있도록 유도"하는 속임수 방식 중에 하나이다.

C:\Documents and Settings\(사용자계정)\Local Settings\Temp\주소록.xls (정상 파일)
C:\Documents and Settings\(사용자계정)\Local Settings\Temp\tasksger.exe (악성 파일)
C:\WINDOWS\system32\6to4vcs.dll (악성 파일)




 
  3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 마이크로 소프트사의 오피스군에서 제공하는 상용 어플리케이션 최신 보안 패치를 적용하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치
를 적용하도록 한다.

2. 출처가 불분명한 이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자재하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4. 인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면 및 진단 현황

- Trojan-Exploit/W32.Agent.632832
- Trojan/W32.Agent.9728.MV
- Trojan/W32.Agent.19968.PU