1. 개요
최근 CVE-2012-0754 취약점을 이용한 악성 문서파일이 다수 발견되고 있어, 사용자들은 문서파일을 열 때 악성여부를 의심하는 높은 관심도가 요구된다. 아래 화면은 잉카인터넷 대응팀이 입수한 CVE-2012-0754 취약점을 이용한 다양한 악성 문서 파일들이다.
상기 일본어 내용의 이메일을 한글로 번역(일부 생략)하면 다음과 같다.
MS Office 프로그램 사용자가 취약점이 존재하는 상태에서 地域デザイン学会の名簿.xls 첨부파일을 실행할 경우 화면에는 잠시 악성 플래시가 포함된 문서 내용이 보여진다.
상기 화면이 보여지는 동시에 특정 웹 사이트로 접속하여 CVE-2012-0754 취약점을 가지고 있는 syoukai.mp4 파일을 다운로드하여 실행하고, Temp 폴더에 Bladex_reg.exe 라는 악성파일을 사용자 몰래 추가로 생성하고 실행하게 된다.
이후에 다시 다음과 같은 경로에 plugin_containor.exe 라는 악성파일을 숨김 속성으로 생성하고 실행한다.
plugin_containor.exe 파일은 지속적으로 특정 원격지(C&C)로 접속을 시도하며 공격자의 추가적인 명령을 대기한다. 이러한 악성파일에 노출되면 Backdoor 및 원격제어 기능 등을 통해서 사용자의 중요 정보 및 자료 유출의 위험에 놓이게 된다.
3. 예방 조치 방법
위와 같은 악성파일은 특정 표적을 대상으로 삼아 공격하는 일종의 지능형 지속 위협(APT:Advanced Persistent Threat) 공격 형태로 최신 취약점과 수신자가 마치 정상적인 이메일처럼 속기 쉽도록 만들어져 위장하고 있다는 점이 특징이다.
상기 취약점은 Adobe Flash Player 최신 버전 설치를 통해서 사전 예방이 가능하다.
http://get.adobe.com/kr/flashplayer/
이러한 악성파일에 노출되지 않도록 하기 위해서는 주요 프로그램들의 최신 보안 업데이트를 설치하는 것이 매우 중요하다. 대표적으로 MS Windows OS, JAVA, Flash Player, Adobe Reader, MS Office, Hancom HWP 등을 들 수 있다.
더불어 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
최근 CVE-2012-0754 취약점을 이용한 악성 문서파일이 다수 발견되고 있어, 사용자들은 문서파일을 열 때 악성여부를 의심하는 높은 관심도가 요구된다. 아래 화면은 잉카인터넷 대응팀이 입수한 CVE-2012-0754 취약점을 이용한 다양한 악성 문서 파일들이다.
■ CVE-2012-0754 정보
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754
2. 유포 방식 및 증상
악성파일은 일본 국토지리원의 특정 이메일 사용자에게 다음과 같은 형식으로 발송되었으며, "地域デザイン学会の名簿.xls"라는 이름의 악성 첨부파일을 포함하고 있다. 발신자는 일본 동해(토우카이)대학 정치경제학부 경제학과 소속으로 소개되어 있으며, 지역 디자인 학회 명단 리스트를 전달하는 본문 내용을 가지고 있다.
상기 일본어 내용의 이메일을 한글로 번역(일부 생략)하면 다음과 같다.
제목 :
지역 디자인 학회 명단 리스트에 대해서
본문 :
동해(토우카이) 대학의 *** 입니다.
2월 27일 현재 지역 디자인 학회 명단 리스트를 보내드립니다. 이번 달에는 신규 회원 승인은 필요하지 않다고 하였기 때문에 현재 상황을 보고해 드립니다.
또한, 명단 리스트의 공유 방법에 대해서는 **** 선생님이 가르쳐 주셨습니다. 그러나 아직 설정이 되어 있지 않습니다. 그러므로 출장에서 돌아오신 후 공유할 수 있도록 해드리겠습니다.
정말 죄송합니다만, 제가 2월 28일~3월 6일, 8일~10일, 12일은 출장 등의 이유로 부재입니다. 그러므로 이 기간동안에는 메일 확인을 할 수 없습니다. 죄송합니다.
서둘러서 우선 급한대로 메일로 먼저 연락 드립니다.
첨부파일 :
지역 디자인 학회 명단 리스트.xls
지역 디자인 학회 명단 리스트에 대해서
본문 :
동해(토우카이) 대학의 *** 입니다.
2월 27일 현재 지역 디자인 학회 명단 리스트를 보내드립니다. 이번 달에는 신규 회원 승인은 필요하지 않다고 하였기 때문에 현재 상황을 보고해 드립니다.
또한, 명단 리스트의 공유 방법에 대해서는 **** 선생님이 가르쳐 주셨습니다. 그러나 아직 설정이 되어 있지 않습니다. 그러므로 출장에서 돌아오신 후 공유할 수 있도록 해드리겠습니다.
정말 죄송합니다만, 제가 2월 28일~3월 6일, 8일~10일, 12일은 출장 등의 이유로 부재입니다. 그러므로 이 기간동안에는 메일 확인을 할 수 없습니다. 죄송합니다.
서둘러서 우선 급한대로 메일로 먼저 연락 드립니다.
첨부파일 :
지역 디자인 학회 명단 리스트.xls
MS Office 프로그램 사용자가 취약점이 존재하는 상태에서 地域デザイン学会の名簿.xls 첨부파일을 실행할 경우 화면에는 잠시 악성 플래시가 포함된 문서 내용이 보여진다.
상기 화면이 보여지는 동시에 특정 웹 사이트로 접속하여 CVE-2012-0754 취약점을 가지고 있는 syoukai.mp4 파일을 다운로드하여 실행하고, Temp 폴더에 Bladex_reg.exe 라는 악성파일을 사용자 몰래 추가로 생성하고 실행하게 된다.
이후에 다시 다음과 같은 경로에 plugin_containor.exe 라는 악성파일을 숨김 속성으로 생성하고 실행한다.
경로 : C:\Documents and Settings\(사용자명)\Application Data\Microsoft
이름 : plugin_containor.exe
이름 : plugin_containor.exe
plugin_containor.exe 파일은 지속적으로 특정 원격지(C&C)로 접속을 시도하며 공격자의 추가적인 명령을 대기한다. 이러한 악성파일에 노출되면 Backdoor 및 원격제어 기능 등을 통해서 사용자의 중요 정보 및 자료 유출의 위험에 놓이게 된다.
3. 예방 조치 방법
위와 같은 악성파일은 특정 표적을 대상으로 삼아 공격하는 일종의 지능형 지속 위협(APT:Advanced Persistent Threat) 공격 형태로 최신 취약점과 수신자가 마치 정상적인 이메일처럼 속기 쉽도록 만들어져 위장하고 있다는 점이 특징이다.
상기 취약점은 Adobe Flash Player 최신 버전 설치를 통해서 사전 예방이 가능하다.
http://get.adobe.com/kr/flashplayer/
이러한 악성파일에 노출되지 않도록 하기 위해서는 주요 프로그램들의 최신 보안 업데이트를 설치하는 것이 매우 중요하다. 대표적으로 MS Windows OS, JAVA, Flash Player, Adobe Reader, MS Office, Hancom HWP 등을 들 수 있다.
더불어 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]MS12-020 RDP 보안취약점 공격도구 다수 발견 (#Update 02) (0) | 2012.03.17 |
|---|---|
| [주의]3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견 (0) | 2012.03.07 |
| [주의]페이스북 채팅창을 이용한 악성파일 유포 시도 (0) | 2012.02.24 |
| [주의]MIDI 파일 취약점을 이용한 악성파일 등장 (0) | 2012.01.27 |
| [주의]버전(version.dll)파일을 교체하는 악성파일 출현 (2) | 2012.01.18 |