[주의]크리스마스 시즌 악성파일 다수 등장 (Update #1)

1. 개 요 

잉카인터넷 대응팀은 2011년 크리스마스 시즌과 관련하여 집중 보안 모니터링을 한 결과 해외에서 악성파일이 전파된 것을 발견하였다. 악의적인 해커들은 크리스마스와 연말연시 시즌 등 이용자들의 들뜬 사회적 분위기와 심리적으로 많은 관심을 가지는 특정 키워드 등을 노려 교묘하게 악성파일 유포를  시도하고 있다. "크리스마스, 연말연시 등과 관련된 내용의 동영상 링크, 축하 카드(연하장), SNS 메시지나 단축 URL 등에 각별한 주의가 필요하다". 특히, 첨부파일이나 URL 링크가 포함된 이메일을 수신할 경우에는 악의적인 경우가 많으므로, 각별한 주의가 요구된다.

연말연시 기간 중 악성파일 유포자들은 사회공학적 기법과 함께 심리적 요소 등을 이용하여 크리스마스와 새해와 관련된 내용으로 위장한 악성파일을 다수 전파하는 사례가 매년 보고된 바 있다.

잉카인터넷 시큐리티 대응센터 대응팀은 크리스마스 시즌에 다수의 악성파일이 전파될 것을 대비하여, 휴일 기간 보안 모니터링을 강화하였고, 특별히 국내에 유포된 사례는 발견되지 않았지만, 일부 악성파일이 해외에서 유포 된 것을 발견하였다.

연말연시 사회공학 기법을 통해 유포될 수 있는 악성파일 주의
☞ http://erteam.nprotect.com/219

2011년 주요 보안 이슈 정리 및 2012년 보안 이슈 전망
☞ http://erteam.nprotect.com/218

2. 크리스마스 관련 악성파일 전파 사례

이번 크리스마스에는 다음과 같이 MS Word 취약점을 이용한 형태와 크리스마스 장식 프로그램 처럼 위장한 형태 등이 발견되었고, Merry Christmas.pdf 파일명 등을 이용하는 형태도 다수 발견되었다.

■ 사례1 - THIS XMAS SAY NO TO MADE IN CHINA

2011년 12월 24일 다수의 수신자 리스트가 포함된 이메일 형식으로 전파된 이 종류는 중국 남서부에 위치하고 있는 티벳 자치구와 관련된 내용의 MS Word 문서파일을 포함하고 있는데, 첨부되어 있는 "THIS XMAS SAY NO TO MADE IN CHINA.doc" 파일은 보안 취약점을 보유하고 있는 악의적인 Word 파일이며, 취약점에 의해서 악성파일을 사용자 몰래 설치하게 된다.

수신자의 목록에 포함된 사용자들에게 악성파일을 고의적으로 유포하고자 한 것으로 추정되며, 수신자의 메일 주소에는 인도, 네팔, 스위스, 일본, 캐나다, 프랑스, 러시아 등 다국적으로 포함되어 있는 것이 특징이고, 대부분이 티벳과 관련된 도메인이라는 것을 알 수 있다. 따라서 공격자는 티벳과 관련된 사용자들을 해킹하고자 한 것으로 추정된다.

첨부파일을 실행할 경우 우선 정상적인 문서 파일을 생성하고 실행하여 보여주고, 사용자 몰래 또 다른 악성파일을 추가로 생성하고 실행하게 된다.

아래와 같이 실제 화면에 보여지는 화면은 크리스마스 시즌과 관련하여 티벳과 중국에 대한 내용들이 언급되어 있다.

해당 파일은 사용자의 임시폴더(Temp)에 생성되고 실행되며, wordupgrade.exe 라는 악성파일도 사용자 몰래 함께 설치하고 실행시킨다. 그리고 배치파일 명령을 이용해서 스스로 삭제되도록 만들어 사용자에게 들키지 않도록 조치한다. 1차 생성 악성파일의 이름은 워드 파일의 업그레이드 기능처럼 교묘하게 위장하고 있다.

"wordupgrade.exe" 악성파일이 실행되면 다음과 같이 인터넷 서비스기능의 파일처럼 위장한 악성파일을 추가로 설치하고, "wordupgrade.exe" 파일은 배치파일 명령에 의해서 스스로 삭제된다.

C:\Program Files\Online Services\Internet Services.exe

"Internet Services.exe" 파일이 실행되면 다시 다음과 같은 악성파일을 추가 생성하고 실행하며, 이 파일들도 배치파일 명령에 의해서 스스로 삭제된다.

이후에 정상적인 인터넷 익스플로러 파일을 이용해서 특정 호스트로 원격 접속을 하여 추가 명령을 대기하는데, 보통 이러한 경우 원격 제어 등의 Backdoor 기능이 수행되어 사용자의 모든 정보가 외부로 노출되는 위협에 놓일 수 있다.

■ 사례2 - 크리스마스 장식 프로그램으로 위장된 악성파일

크리스마스와 관련하여 두번째로 발견된 사례는 크리스마스 트리 장식 프로그램으로 위장한 형태로, 실행되면 다음과 같이 바탕화면 우측 하단에 크리스마스 트리 화면이 보여진다.

이 프로그램은 공개적으로 http://get-xmas.com/ 사이트에서 무료로 다운로드가 가능한 형태인데, 악성파일 제작자는 이 정상파일에 악성파일을 추가로 압축하여 배포하였다.

악성파일은 WinRAR SFX(Self-extracting) 방식을 사용하였으며, 내부에 정상파일인 mas.exe 외에 악성파일이 다수 포함되어 있다.

해당 파일이 실행되면, 위의 압축 내부 화면과 같이 시스템 폴더에 udp.exe, taskngr.exe, drv.cmd, mas.exe, spoolcv.exe, svghost.exe 파일 등이 다수 생성되고, 특정 도메인으로 접속해서 악성파일을 추가 업데이트하기도 한다.

 

http://pi(생략).ge/p(생략)/svghost.exe
http://pi(생략).ge/p(생략)/udp.exe
http://pi(생략).ge/p(생략)/install_flash_player.exe

 

특히, 특정 웹에서 다운로드가 시도되고 있는 install_flash_player.exe 파일은 플래시 플레이어 설치 파일처럼 위장하고 있는 것이 특징이며, 크리스마스 장식프로그램 위장 방식과 동일하게 WinRAR SFX 구조를 가지고 있으며, 내부에 포함된 파일도 mas.exe 외에는 거의 유사하다.

크리스마스 위장 형식 악성파일이 플래시 플레이어 위장 형식을 추가로 다운로드하고 있고, 지속적으로 동일 기법을 이용하여 새로운 악성파일을 유포하고 있다. 다수의 악성파일을 설치하고 있기 때문에 예기치 못한 정보 유출 및 피해를 입을 수 있다.

■ 사례3 - Merry Christmas 파일명의 PDF 취약점을 이용한 악성파일

다음으로 Merry Christmas.pdf 라는 파일명으로 전파된 방식은 Adobe Reader 프로그램의 보안 취약점을 이용해서 악성파일을 사용자 몰래 설치하는 방식이다.

Merry Christmas.pdf 악성파일이 실행되면 다음과 같이 크리스마스 트리 화면을 보여주면서, 사용자 몰래 악성파일을 추가로 설치하고 감염시킨다.

악성 PDF 파일이 실행되면 사용자 임시폴더(Temp) 경로에 정상적인 Adobe.pdf 파일을 생성하고 실행하여 위와 같은 정상정인 문서내용을 보여주어 사용자로 하여금 악성파일로 의심하지 않도록 위장하게 된다.

그리고 updates.js, Winword.js 등의 Embedded JavaScript 등을 이용하여 Application Data 폴더에 gupdater.exe 이름의 악성파일을 추가로 설치하고 실행시킨다.

3. 예방 조치 방법

크리스마스 시즌 등에 자주 악용되는 사회공학 기법은 이메일, SNS 뿐만 아니라 매우 다양한 형태로 일반 사용자에게 찾아올 수 있으며, 이렇게 악용될 수 있는 사회공학 기법에 제대로 대처하지 못한다면 악성파일에 쉽게 감염되어 예측할 수 없는 피해를 입을 뿐만 아니라 본인의 부주의로 인해 다양한 대상에게서 여러 가지 피해 상황이 발생할 수 있다. 

이러한 사회공학 기법을 이용한 악성파일의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.