최신 보안 동향

[정보]첨부 파일형 악성 이메일에 대한 보안 위협

TACHYON & ISARC 2011. 10. 7. 14:44
1. 개요


정상적인 콘텐츠를 포함하고 있으며 악성파일을 첨부하여 발송되어지는 E-Mail(전자우편)이 지속적으로 발견되어지고 있다. 이러한 악성 E-Mail은 불특정 다수를 대상으로 무차별 발송이 되고 있으며 바이러스, 웜, 피싱, 스파이웨어 및 애드웨어 등을 동반하는 등 다양하고 지능화되어 인터넷 사용자들을 수시로 위협하고 있다. 오늘은 다양한 보안위협 가운데 첨부 파일형 악성 이메일에 대하여 좀더 알아 보는 시간을 가져보도록 하자.

※ 이메일을 통한 악성파일 유포 사례


▶ 한글 문서(HWP)취약점을 이용한 악성파일 발견
http://erteam.nprotect.com/176

▶ 신용카드 허위 정지 내용으로 전파중인 악성 이메일
http://erteam.nprotect.com/182

▶ 해외 호텔 예약 관련 악성 이메일 유포
http://erteam.nprotect.com/183

▶ 이메일 형태로 위장한 악성파일 유포 기승
http://erteam.nprotect.com/161

▶ 미국 연방수사국(FBI)에서 보낸 내용으로 위장된 악성파일
http://erteam.nprotect.com/153

▶ E-Mail 첨부 파일 형태로 전파되는 악성 파일 사례
http://erteam.nprotect.com/196

2. 전파 방식 및 사례

전자우편을 통한 악성파일 유포방식은 현재나 과거나 크게 달라진 점은 찾아 볼수 없다. 단지 악성파일 유포 목적으로 제작된 전자우편을 수신하였을때, 내부의 첨부파일이나 메일 본문의 링크 열람시 사용자 PC에 악성파일이 추가로 감염될 수 있다. 최근들어 각종 응용 프로그램 취약점으로 부터 발생 가능한 악성파일이 확인되어짐에 따라 보다 주의 깊고 안전한 인터넷 사용이 필요로 하고 있다.

※ 각종 보안 취약점 관련 정보

[Microsoft] Security TechCenter
http://technet.microsoft.com/en-us/security/bulletin

[Adobe] Security Bulletins and advisories
http://www.adobe.com/support/security/

[CVE] Common Vulnerabilities and Exposures
http://cve.mitre.org/

아래와 같이 이메일에 첨부되어진 악성 실행파일은 사용자 PC 감염을 통하여 Zeus Bot 또는 SpyEye Bot 과 같은 악의적인 행위를 유발하는 것으로 확인되었다.

① US 상공회의소 개발 협력 및 제안 내용으로 위장한 형태

국제 무역, 거래,  협력 또는 협약 체결 등과 같은 체결각서 내용을 포함한 경우나, 주요 정보기관을 사칭한 경우도 확인할 수 있다.

 


② 물품 배달 서비스 내용으로 위장한 형태

전세계적으로 잘 알려진 물류 회사 배송 문서로 위장된 형태로 DHL, Fedex, UPS 등으로 조작된 경우가 다수 존재한다.

 


위와 같이 전자우편을 이용한 악성파일 유포 기법을 다수 확인한 결과 다음과 같은 결과를 확인할 수 있었다.

1. 공격 대상 선정 

- 악성메일 유포자는 공격 대상자 선정을 위하여 일반 사용자에게도 잘 알려진 산업시설, 금융기관, 정부기관, 민간기업등과 같은 담당자 또는 내용을 사칭하여 불특정 다수에게 E-Mail을 발송한다.

2. 전자 우편 작성 및 발송

  - 악성파일 감염을 목표로 하기에 전자우편의 첨부파일(한글, MS office, PDF 등) 실행시 악성 프로그램이 사용자 PC에 설치되도록 첨부파일에 악성파일을 은닉하거나, 메일의 본문의 링크를 삽입하여 접근시 악성파일이 감염되도록 한다.

3. 악성파일 감염 및 악의적인 행동 유발

  - 전자우편 수신 후 첨부파일이나 링크를 실행하면 은닉된 악성 프로그램이 사용자 PC에 자동으로 설치되거나 감염되며 이로인하여 사용자의 주요 정보유출 또는 역접속이 가능한 백도어, 좀비 PC 등으로 활용될 수 있다. 첨부파일형 악성 전자우편의 경우 취약점(한글, DOC, Excel, PDF)문서 및 압축파일로 작성되어 있고, 열어보면 실제 문서 내용이 존재하므로 악성파일 포함여부를 판단하기 어렵기 때문에 자신이 감염된 사실조차 인지 하기 어렵다.


3. 예방 조치 방법

전자우편을 통한 악성파일 유포 방식은 정상적인 전자우편과 구분이 용이하지 않다는 점과 악의적인 파일을 첨부하여 사용자가 직접 실행한다는 점에서 사전 차단이 어려운 실정이다. 이와 같은 악성파일 감염으로 부터 좀더 안정성을 확보하기 위해서는 OS 및 각종 응용 프로그램에 대한 보안패치를 주기적으로 적용하고, 의심이 가는 메일 수신에 대해서는 의구심을 가질수 있도록 하는 판단력과 지속적인 주의가 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치를 주기적으로 적용

2. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드 및 실행을 자제한다.

3. 인스턴스 메신저 또는 SNS, 메일본문의 URL 통해 접근이 가능 링크 접속시 주의

4. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지하여 사용하며, 실시간 감시 기능을 항상 "ON" 상태로 유지할 수 있도록 한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이와 같은 악성파일로 부터 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

◆ 진단 현황
- Trojan-Spy/W32.SpyEyes.244224.B
- Trojan/W32.Agent.24576.BKX