분석 정보/악성코드 분석 정보

[주의]유명 연예인 사생활 동영상 내용으로 악성 파일 전파 중

TACHYON & ISARC 2011. 12. 8. 10:31

1. 개 요 

2011년 12월 07일경 유명 연예인의 사생활이 담긴 동영상 유출 파문과 관련된 내용으로 악성 파일이 국내에 전파 중인 것이 잉카인터넷 대응팀 보안 관제 중 발견되었다. 해당 파일에는 유명 연예인의 개인적인 사진과 동영상이 함께 포함되어 있으며, 최근 해당 동영상을 찾고자 하는 사람들이 많다는 점을 유포자가 악용한 사례이다. 특히 실제 동영상 파일과 사진 파일들이 함께 포함되어 있고, 해당 동영상을 받은 사람들에게 재배포를 권장하고 있어 이용자들간에 악성 파일이 지속적으로 공유될 수 있어 각별한 주의가 요구되고 있다.

  


유명 연예인의 개인적 사생활 내용이 담긴 동영상이 유출되었다는 소식에 많은 사람들이 사회적 호기심 등에 의해서 해당 동영상을 보고자 검색율이 증가되고 있고, 일시적으로 포털 사이트의 실시간 급상승 검색어 등에도 랭크되기도 하였다. 이러한 사람들의 관심도를 악용하여 해당 동영상과 사진 파일들을 포함하여 교묘하게 악성 파일을 유포 중인 것이 발견되었다.

악성 파일 전파와 함께 특정 개인의 사생활이 담긴 동영상도 동시에 배포되고 있다는 점에서 신속한 대처가 필요할 것으로 판단된다.




2. 전파 방법

해당 악성 파일은 사회공학적 기법을 활용하여, 사회적 이슈나 관심도가 높은 대상을 이용하여 악성 파일을 직간접으로 유포하는 방법 중에 하나이다. 불특정 다수를 감염 대상으로 하는 악성 파일 유포자는 짧은 시간에 많은 사람에게 악성 파일을 감염시키고자 하는 것이 일반적인 목적을 가지고 있다.


악성 파일이 유포되고 있는 곳은 회원수가 약 7만명 정도가 가입되어 있는 포털 사이트의 인터넷 카페이며, 많은 회원이 활동을 하고 있어 다수의 감염자가 발생하고 있을 것으로 추정된다. 악성 파일이 유포되고 있는 IP 주소를 한국인터넷진흥원(KISA)에 신고하여 차단을 요청하였고, 현재는 차단이 된 상태이다. 그러나 다양한 방식으로 또 다른 유포지가 다수 존재할 가능성이 높으므로, 유사한 형태에 조심하는 것이 중요하다.

악성 파일은 다음과 같이 연예인 이슈와 관련된 게시글에 덧글 형식으로 올려져 있었으며, 유포자는 이외에도 다양한 방법으로 악성 파일을 유포 시도하고 있을 것으로 예상된다.

일부 모자이크 처리


트위터 등 SNS 등으로도 동일한 URL 주소가 전파되고 있으며, 유포자는 다양한 방식으로 지속적인 유포를 진행 중에 있다.

URL 링크를 클릭할 경우 ZIP 압축 파일이 다운로드되며, 압축 파일을 해제하면 내부에 8장의 JPG 사진 파일과 1개의 EXE 파일, 그리고 1개의 TXT 문서 파일이 있다.

 

압축을 해제하면 실제 유출 동영상의 일부분을 캡처한 사진 파일들이 함께 포함되어 있으며, 이것은 다운로드 받은 사용자로 하여금 악성 파일이 아닌 것처럼 신뢰하도록 안심시킨 후에 내부에 포함되어 있는 별도의 악성 파일을 실행하도록 유도시키는 방법 중에 하나이다.



사진 파일외에 동영상 파일처럼 위장되어 있는 EXE형 SFX 압축 파일이 실행되면 아래 화면과 같이 특정 위치에 압축을 해제하고 실제 동영상과 사진 파일들을 다시 생성해 준다. 또한, 다른 사람에게 공유할 때도 악성 파일이 포함되어 있는 EXE 파일을 공유하도록 유도하는 문서 파일도 함께 생성한다.


그 과정에서 netsecurity.exe 라는 파일이 사용자 모르게 함께 생성되고 실행되며, 시스템 폴더에 netdrvsrty.exe 파일을 추가로 생성시킨다. 이후에 netsecurity.exe 는 스스로 삭제하여 사용자에게 들키지 않을려고 한다.


악성 파일 유포 문제외에도 실제 연예인 노출 동영상 파일이 MP4 형식으로 포함되어 있어, 불특정 다수에게 무분별하게 유포되고 있다는 점도 개인 사생활 침해 부분에서 매우 우려가 되는 부분이다.


netsecurity.exe 파일은 시스템 폴더에 다음과 같이 netdrvsrty.exe 라는 파일을 추가로 생성시키고, 특정 도메인(C&C)으로 접근을 시도한다. 분석 중인 현재는 특별한 명령을 수행하고 있지 않으나, 제작자가 계획 중인 시간에 따라 다양한 추가 명령이 내려질 수 있을 것으로 보여진다. 잉카인터넷 대응팀은 이 파일이 국내를 타깃으로 하고 Adware 기능 등을 통한 수익을 노린 악성 파일 형태로 추정하고 있다.

 

 

또한, "exe파일을클릭하면압축이풀립니다.다른분한테줄때도이파일을그대로주어야추적이되지않습니다.txt" 라는 파일을 통해서 다운로드 한 사용자에게 재배포를 유도하고 있어 사용자간 악성 파일 공유의 위험성이 존재한다.

 


3. 마무리
 
위와 같은 악성 파일은 사회적으로 관심을 끌고 있는 이슈 등을 악용하여 악의적인 파일을 배포하는데 사용하는 사회공학적 기법의 일반적인 방법이지만, 실제 유출된 연예인 사생활 동영상과 사진 파일들을 함께 배포하고 있다는 점에서 주의할 부분이고, 사용자들에게 또 다시 배포를 유도하고 있다는 점에서 급속한 전파가 이뤄질 수도 있다는 점이 주목된다.

이러한 사회공학 기법을 이용한 악성파일의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.