분석 정보/악성코드 분석 정보

[주의]김정일 사망 관련 허위 정보 클릭 유도 및 악성파일 전파 중 (Update #3)

TACHYON & ISARC 2011. 12. 20. 17:35

1. 개 요 


2011년 12월 17일 북한 김정일 국방위원장의 사망 소식이 전해지면서 국내외 적으로 큰 관심사로 떠올랐다. 이에 따라 관련 소식이 실시간으로 보도되고 있는데,  이러한 사회 전반적인 이슈가 나올 때마다 악성파일을 전파하는데 악용하는 사례가 많아 잉카인터넷 대응팀은 이상 징후 발생에 대비하여 집중 보안 모니터링을 수행 중에 있다. 김정일 사망 및 시신과 관련된 내용 중에 허위 내용 등을 보여주어 사용자로 하여금 링크나 동영상 플레이어로 위장된 이미지를 클릭하도록 유도하는 형태가 발견되고 있으므로, 각별한 주의가 요망된다.

  


얼마전 있었던 유명 연예인 사생활 동영상과 함께 악성파일을 유포한 사례나 카다피 시신 사진을 이용한 악성 이메일, 스티브 잡스 애플 전 CEO 사망과 관련된 악성파일 이메일 등이 보고된 바 있다.

유명 연예인 사생활 동영상 내용으로 악성 파일 전파 중
http://erteam.nprotect.com/221

김정일 사진파일처럼 위장한 악성파일 추가 발견
http://erteam.nprotect.com/229


이처럼 사회적으로 관심을 가지고 있는 내용이나 키워드 등을 이용하여 악성파일이 기승을 부린 사례가 많으므로, 인터넷 이용자들은 이점을 철저히 경계하는 자세가 요구된다. 이는 매우 고전적인 수법이지만 이용자들이 무심코 링크를 클릭 할 경우에 예기치 못한 피해를 입을 수 있다.

2. 발견 사례

잉카인터넷 대응팀에서는 김정일 시신과 관련된 내용으로 사용자들의 관심을 불러일으킨 후에 특정 광고 목적 등으로 악용하는 실제 사례를 발견하였으며, 악성파일 유포에 대한 감시 체계도 강화하고 있다.

이 곳은 국내의 특정 포털 사이트에서 운영하는 인터넷 카페이며, 다음과 같이 "김정일 시신 분석"이라는 내용 등으로 혐오스런 특정 사진과 동영상처럼 보여지는 화면을 등록해 두었다.

동영상 재생 버튼으로 보여지는 화면은 마치 실제 클릭하면 동영상이 재생될 것처럼 보여지지만, 해당 화면은 동영상 재생기가 아니라 단순 그림 파일이고, 재생 버튼을 클릭하면 특정 사이트가 열리게 된다. 이러한 방식은 매우 단순하지만 이용자들로 하여금 특정 웹사이트로 연결을 바로 유도시킬 수 있다. 이것은 일종의 피싱 수법으로 악성파일 전파하는데도 다수 이용되는 수법이다.

부분 모자이크 처리


다음으로 해외에서는 김정일 사망과 관련된 You Tube 동영상에 덧글에 포함된 링크를 클릭하면 풀버전의 비디오를 볼 수 있다는 허위 내용으로 유도하여 광고성 파일이 설치되도록 유도하는 사례가 보고되었다.

동영상도 여러가지가 존재하는 것으로 확인된 상태이다.


덧글에 포함된 링크를 클릭하면 아래 화면처럼 실제 해당 블로그로 연결되지만, 잠시 후에 바로 또 다른 도메인으로 강제 리다이렉션된다.


아래 사이트가 바로 리다이렉션되는 웹 사이트이며, 동영상을 재생하기 위해서 특정 프로그램 설치를 유도한다. 일종의 광고성 웹 툴바 형태이다.


Start 버튼을 클릭하면 다음과 같이 특정 파일이 다운로드 시도되며, 사용자로 하여금 설치를 유도하게 된다.


해외에서는 김정일 사망과 관련된 내용으로 악성파일을 첨부한 이메일도 발견된 상태이며, 여러가지가 악성파일이 존재하는 것으로 파악되었다.

메일 제목 :
N Korean leader Kim Jong-il dies

메일 본문 :
[CNN]North Korean leader Kim Jong-il has died of a heart attack at the age of 69, state media have announced.

첨부 파일 :
brief_introduction_of_kim-jong-il.pdf.pdf

파일명은 다음과 같이 2가지 형태가 확인되었으며, PDF 취약점, RTF 취약점 파일을 각각 1개씩 확보하였고, 한국인터넷진흥원(KISA)에 신속하게 관련 샘플을 제공하여, 유관 기관과 실시간 공조 대응을 진행하였다.

PDF 파일은 Win32.CVE-2010-2883, CVE-2011-0611  취약점을 이용한 것으로 최신 Adobe Reader 사용자들은 보안 패치가 제공 중에 있으므로, 안심하여 되지만, Adobe Reader 8.0 버전처럼 최신 버전이 아닌 경우 악성파일에 감염되는 위험에 노출될 수 있다.

DOC 파일은 실제 RTF 파일의 구조를 가지고 있으며, RTF Stack Buffer Overflow (CVE-2010-3333) 취약점이 악용되었다.

Brief introduction of Kim Jong-il.pdf
Kim Jong-ils death affects N. Koreas nuclear programs.doc


PDF 취약점을 이용한 악성파일이 실행되면 다음과 같은 정상적인 문서를 보여주어, 사용자에게 마치 정상적인 파일처럼 이해하도록 만든다.


PDF 문서의 취약점이 정상적으로 작동되면, 사용자의 Local Settings 폴더에 다음과 같이 구글 업데이트 관련 파일처럼 위장한 악성파일 및 정상적인 PDF 문서 등을 사용자 몰래 설치하고 실행시키게 된다.

추가 생성되는 PDF 문서는 아래에 첨부한 파일이며, 이 문서는 정상적인 문서파일이다. 


Brief introduction of Kim Jong-il.pdf



fabc.scr 파일과 abc.scr 파일은 5 바이트가 다르며, fabc.scr 파일에 4D, 5A, 20, 0D, 0A Hex 값을 추가하면 동일한 파일이 되며, 해당 값은 log1.txt 파일이 보유하고 있다.




그 이후에 다음과 같은 폴더에 또 다른 악성파일을 추가로 생성한 후 abc.scr 파일은 스스로 삭제되고, GoogleUpdate.exe 파일이 추가로 생성된다.

C:\Documents and Settings\(사용자명)\Local Settings\Application Data\GoogleUpdate.exe

 


해당 악성 파일은 특정 호스트로 접속을 시도하여, 공격자의 추가 명령에 따라서 다양한 악의적인 행위를 수행할 수 있다.


잉카인터넷 대응팀에서도 해당 악성파일들을 신속하게 입수한 상태이며, 현재 긴급 업데이트를 완료한 상태이다.


3. 마무리
 
위와 같은 URL 및 동영상 클릭 유도는 사회적으로 관심을 끌고 있는 이슈 키워드 등을 이용하는 사회공학적 기법의 일반적인 방법이지만, 실제 악성파일 전파에도 악용될 가능성이 높다. 따라서 이메일이나, SNS, 웹 사이트 등에 올려진 URL 링크나 동영상 재생 등에 있어서 각별한 주의가 필요하다.

이러한 사회공학 기법을 이용한 속임수의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.