1. 개요
이러한 기념일이 다가오면서 티벳과 관련된 사용자들에게 악성 문서파일이 첨부된 이메일이 지속적으로 전달되고 있는 상황으로 확인되었다. 특히, 티벳과 관련된 이러한 지능형 지속 위협(APT:Advanced Persistent Threat)은 꾸준히 기승을 부리고 있는 것으로 잉카인터넷 대응팀은 파악하고 있다.
※ Tibetan Uprising Day (Wikipedia)
http://en.wikipedia.org/wiki/Tibetan_Uprising_Day
2. 유포 방식 및 증상
■ 사례 #1
티벳의 민중 봉기(Tibetan Uprising Day) 53주년을 기념하는 내용과 2012년 3월 10일 발표할 성명서를 첨부한 것처럼 교묘하게 내용을 위장하고 있으며, 보안이 적용된 메시지(PGP)로 발송한 것으로 조작되어 있다.
특히, 발신자의 이메일 도메인이 @Tibet.net 이라는 점에서 발신자의 이메일 계정도 도용되었을 가능성이 높고, APT 노출로 인한 2차 공격 상황일 것으로 추정된다. 이렇게 발신자가 신뢰할 수 있는 도메인으로 악성파일을 전송할 경우 2차, 3차 공격이 성공할 확률이 더욱 더 높아지게 된다.
이메일에 첨부되어 있는 MS Word 문서파일은 보안 취약점을 통해서 악성파일을 사용자 몰래 설치하는 기능을 수행하게 되는데, 수신자가 MS Office 프로그램의 취약점을 보유한 상태에서 "March 10th Statement.doc" 실행하면 다음과 같이 svchost.exe, linkinfo.dll 이름의 악성파일이 자동으로 생성되고 실행된다.
첨부파일은 MS10-087(CVE-2010-3333) 취약점을 가지고 있으며, 중국에서는 이미 해당 취약점을 가진 문서파일을 자동으로 생성하는 도구가 개발되어 공공연히 공유되고 있기도 하다.
Word 문서 파일이 실행되면 다음과 같이 화면이 나타나지만, 내부에는 전혀 성명서와 관련된 내용은 포함되어 있지는 않다.
보통 이런 경우 사용자는 잘못 작성되어진 문서로 인식하고 단순히 지나칠 수 있지만, 사용자가 인지하지 못하는 순간 또 다른 악성파일에 노출되는 수법이다. 그리고 공격자들은 사용자의 의심을 피하기 위해서 실제 내부에 관련된 내용을 포함시키는 경우도 많이 있고, 고의적으로 오류 메시지 등을 출력시켜 손상된 파일로 위장하는 경우도 많이 있다.
해당 메일에도 악의적인 DOC 문서파일이 첨부되어 있으며, 실행하면 다음과 같은 포스터 이미지가 포함된 문서내용을 보여주면서 악성파일을 설치한다.
이처럼 악성파일의 트랜드가 불특정 다수를 대상으로 하던 일반적 보안 위협과 함께 ▶은밀히 특정 표적을 공격 대상으로 삼고 국지적으로 공격하는 추세가 증가하고 있다는 점을 절대 잊어서는 안된다. 따라서 이와 유사한 각종 보안 위협으로 부터 사전에 완벽한 대비를 하고 충분한 예방을 하기 위해서는 ▶이미 알려진 취약점에 대한 신속한 보안 업데이트가 필수적 기반이 되어야 하며, 더불어 보안 패치가 공개되지 않은 최신 Zero-Day 공격 등도 예방하겠다는 꾸준한 관심과 보안 강화에 대한 다양한 노력이 절실히 필요하다.
3. 예방 조치 방법
위와 같은 악성파일은 특정 표적을 대상으로 삼아 공격하는 일종의 지능형 지속 위협(APT:Advanced Persistent Threat) 공격 형태로 다양한 보안 취약점과 수신자가 마치 정상적인 이메일과 문서파일로 속기 쉽도록 만들어져 위장하고 있다는 점이 고유한 특징이다.
상기 취약점은 MS Office 최신 버전 설치를 통해서 사전 예방이 가능하다.
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko
이러한 악성파일에 노출되지 않도록 하기 위해서는 주요 프로그램들의 최신 보안 업데이트를 설치하는 것이 매우 중요하다. 대표적으로 MS Windows OS, JAVA, Flash Player, Adobe Reader, MS Office, Hancom HWP 등을 들 수 있다.
더불어 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
이러한 기념일이 다가오면서 티벳과 관련된 사용자들에게 악성 문서파일이 첨부된 이메일이 지속적으로 전달되고 있는 상황으로 확인되었다. 특히, 티벳과 관련된 이러한 지능형 지속 위협(APT:Advanced Persistent Threat)은 꾸준히 기승을 부리고 있는 것으로 잉카인터넷 대응팀은 파악하고 있다.
※ Tibetan Uprising Day (Wikipedia)
http://en.wikipedia.org/wiki/Tibetan_Uprising_Day
2. 유포 방식 및 증상
■ 사례 #1
티벳의 민중 봉기(Tibetan Uprising Day) 53주년을 기념하는 내용과 2012년 3월 10일 발표할 성명서를 첨부한 것처럼 교묘하게 내용을 위장하고 있으며, 보안이 적용된 메시지(PGP)로 발송한 것으로 조작되어 있다.
특히, 발신자의 이메일 도메인이 @Tibet.net 이라는 점에서 발신자의 이메일 계정도 도용되었을 가능성이 높고, APT 노출로 인한 2차 공격 상황일 것으로 추정된다. 이렇게 발신자가 신뢰할 수 있는 도메인으로 악성파일을 전송할 경우 2차, 3차 공격이 성공할 확률이 더욱 더 높아지게 된다.
제목 :
March 10th Statement
내용 :
(일부생략)
Please find here attache with the Statement of Kalon Tripa Dr. Lobsang Sangay on the 53rd Anniversary of the Tibetan National Uprising Day.
With Tashi Delek
(일부생략)
첨부파일 (악성파일) :
March 10th Statement.doc
March 10th Statement
내용 :
(일부생략)
Please find here attache with the Statement of Kalon Tripa Dr. Lobsang Sangay on the 53rd Anniversary of the Tibetan National Uprising Day.
With Tashi Delek
(일부생략)
첨부파일 (악성파일) :
March 10th Statement.doc
이메일에 첨부되어 있는 MS Word 문서파일은 보안 취약점을 통해서 악성파일을 사용자 몰래 설치하는 기능을 수행하게 되는데, 수신자가 MS Office 프로그램의 취약점을 보유한 상태에서 "March 10th Statement.doc" 실행하면 다음과 같이 svchost.exe, linkinfo.dll 이름의 악성파일이 자동으로 생성되고 실행된다.
첨부파일은 MS10-087(CVE-2010-3333) 취약점을 가지고 있으며, 중국에서는 이미 해당 취약점을 가진 문서파일을 자동으로 생성하는 도구가 개발되어 공공연히 공유되고 있기도 하다.
Word 문서 파일이 실행되면 다음과 같이 화면이 나타나지만, 내부에는 전혀 성명서와 관련된 내용은 포함되어 있지는 않다.
보통 이런 경우 사용자는 잘못 작성되어진 문서로 인식하고 단순히 지나칠 수 있지만, 사용자가 인지하지 못하는 순간 또 다른 악성파일에 노출되는 수법이다. 그리고 공격자들은 사용자의 의심을 피하기 위해서 실제 내부에 관련된 내용을 포함시키는 경우도 많이 있고, 고의적으로 오류 메시지 등을 출력시켜 손상된 파일로 위장하는 경우도 많이 있다.
- C:\Documents and Settings\(로그인 계정)\Local Settings\Temp\svchost.exe (숨김 속성)
- C:\WINDOWS\linkinfo.dll
- C:\WINDOWS\linkinfo.dll
상기와 같은 악성파일은 사용자 컴퓨터에서 "개인정보 유출"을 시도하거나, 특정 호스트(C&C 서버)로 접속하여 공격자로 부터 다양한 추가 명령을 받는 "Backdoor 기능" 등을 수행할 수 있다.
■ 사례 #2
티벳 기념일과 관련하여 발견된 2번째 악성 이메일도 악의적인 DOC 문서파일을 첨부하고 있으며, 53rd Tibetan National Uprising Day March 10th 2012 포스터(http://standupfortibet.org/) 파일도 함께 첨부되어 있다.
해당 메일에도 악의적인 DOC 문서파일이 첨부되어 있으며, 실행하면 다음과 같은 포스터 이미지가 포함된 문서내용을 보여주면서 악성파일을 설치한다.
이처럼 악성파일의 트랜드가 불특정 다수를 대상으로 하던 일반적 보안 위협과 함께 ▶은밀히 특정 표적을 공격 대상으로 삼고 국지적으로 공격하는 추세가 증가하고 있다는 점을 절대 잊어서는 안된다. 따라서 이와 유사한 각종 보안 위협으로 부터 사전에 완벽한 대비를 하고 충분한 예방을 하기 위해서는 ▶이미 알려진 취약점에 대한 신속한 보안 업데이트가 필수적 기반이 되어야 하며, 더불어 보안 패치가 공개되지 않은 최신 Zero-Day 공격 등도 예방하겠다는 꾸준한 관심과 보안 강화에 대한 다양한 노력이 절실히 필요하다.
3. 예방 조치 방법
위와 같은 악성파일은 특정 표적을 대상으로 삼아 공격하는 일종의 지능형 지속 위협(APT:Advanced Persistent Threat) 공격 형태로 다양한 보안 취약점과 수신자가 마치 정상적인 이메일과 문서파일로 속기 쉽도록 만들어져 위장하고 있다는 점이 고유한 특징이다.
상기 취약점은 MS Office 최신 버전 설치를 통해서 사전 예방이 가능하다.
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko
이러한 악성파일에 노출되지 않도록 하기 위해서는 주요 프로그램들의 최신 보안 업데이트를 설치하는 것이 매우 중요하다. 대표적으로 MS Windows OS, JAVA, Flash Player, Adobe Reader, MS Office, Hancom HWP 등을 들 수 있다.
더불어 안전한 컴퓨터 사용을 위해서는 반드시 아래와 같은 기본적인 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
4. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
※ 잉카인터넷(대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다. (0) | 2012.03.21 |
|---|---|
| [긴급]MS12-020 RDP 보안취약점 공격도구 다수 발견 (#Update 02) (0) | 2012.03.17 |
| [주의]일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견 (0) | 2012.03.06 |
| [주의]페이스북 채팅창을 이용한 악성파일 유포 시도 (0) | 2012.02.24 |
| [주의]MIDI 파일 취약점을 이용한 악성파일 등장 (0) | 2012.01.27 |