1. 개요
이메일을 이용한 악성파일 유포 수법은 보통 표적공격에 은밀히 사용되기도 하지만, 불특정 다수를 노린 악성파일 전파에도 오랜 기간 사용되고 있는 방식이다. 사회적으로 유명한 이슈내용 처럼 위장하거나 인터넷 송금서비스, 물품 배송 서비스 등처럼 위장한 형태가 다수 존재한다. 또한, SNS 서비스의 친구요청이나 초대메일처럼 사칭하여 악의적인 링크를 클릭하도록 유도하는 방식도 매우 고전적이면서 지속적으로 악용되는 수법 중에 하나라고 할 수 있다.
2. 악성파일 유포수법
Booking.com 사이트는 아래 화면과 같이 한국어 서비스를 지원하고 있으며, 해외 호텔을 예약할 때 국내에서도 자주 이용되는 서비스 중 하나로 알려져 있다. 그러나 국내보다는 해외에서 더 많이 사용되는 온라인 호텔 예약 서비스로 악의적 이메일 역시 해외 사용자를 표적으로 제작되어 유포된 것으로 추정된다.
악성파일을 첨부한 이메일은 마치 booking.com 도메인에서 정상적으로 발송한 것처럼 발신자 주소를 위장하고 있지만, 모두 조작된 것이며 제목과 본문 내용들도 실제 호텔 예약 서비스와 관련된 내용처럼 만들어서 수신자가 속기 쉽도록 구성하고 있다.
또한, 첨부되어 있는 "Reservation-Details-From-Booking-Com_03291295155.zip" 압축파일도 파일명을 관련된 예약내용 처럼 위장하고 있다.
이메일에 첨부되어 있는 ZIP 압축파일 내부에는 호텔 예약과 관련된 내용은 포함되어 있지 않으며, 실행파일(EXE) 형태의 악성파일이 숨겨져 있다.
3. 마무리
이메일을 이용한 악성파일 유포 방식은 매우 고전적이면서도 최근까지 끊임없이 사용되는 지능적인 수법 중에 하나이다. 특히 지능형지속위협(APT)의 첫 번째 단계로 악성파일을 전파시킬 때도 자주 사용된다.
또한, 공격자는 수신자들이 첨부파일이나 URL 링크 주소를 좀더 신뢰한 상태에서 접근하도록 다양한 유도 방식을 사용하게 되는 것이 일반적이다. 따라서 사용자들은 첨부파일이 존재하거나, 이메일 본문에 URL 링크 주소가 포함되어 있는 등 수상한 이메일을 받았을 경우에는 꼭 한번 쯤 악성 여부를 의심해 보고, 최신 Anti-Virus 제품 등으로 검사를 수행해 보는 노력이 필요하다.
특히, 첨부파일이 실행파일(EXE, SCR, COM) 확장자를 가지고 있는 경우 십중팔구 악성파일일 가능성이 높다는 점을 유념하고, 신뢰할 수 있는 보안업체에 신고하는 등 적극적인 대응 자세가 중요하다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
이메일을 이용한 악성파일 유포 수법은 보통 표적공격에 은밀히 사용되기도 하지만, 불특정 다수를 노린 악성파일 전파에도 오랜 기간 사용되고 있는 방식이다. 사회적으로 유명한 이슈내용 처럼 위장하거나 인터넷 송금서비스, 물품 배송 서비스 등처럼 위장한 형태가 다수 존재한다. 또한, SNS 서비스의 친구요청이나 초대메일처럼 사칭하여 악의적인 링크를 클릭하도록 유도하는 방식도 매우 고전적이면서 지속적으로 악용되는 수법 중에 하나라고 할 수 있다.
국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249
국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
☞ http://erteam.nprotect.com/249
국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
2. 악성파일 유포수법
Booking.com 사이트는 아래 화면과 같이 한국어 서비스를 지원하고 있으며, 해외 호텔을 예약할 때 국내에서도 자주 이용되는 서비스 중 하나로 알려져 있다. 그러나 국내보다는 해외에서 더 많이 사용되는 온라인 호텔 예약 서비스로 악의적 이메일 역시 해외 사용자를 표적으로 제작되어 유포된 것으로 추정된다.
악성파일을 첨부한 이메일은 마치 booking.com 도메인에서 정상적으로 발송한 것처럼 발신자 주소를 위장하고 있지만, 모두 조작된 것이며 제목과 본문 내용들도 실제 호텔 예약 서비스와 관련된 내용처럼 만들어서 수신자가 속기 쉽도록 구성하고 있다.
또한, 첨부되어 있는 "Reservation-Details-From-Booking-Com_03291295155.zip" 압축파일도 파일명을 관련된 예약내용 처럼 위장하고 있다.
이메일에 첨부되어 있는 ZIP 압축파일 내부에는 호텔 예약과 관련된 내용은 포함되어 있지 않으며, 실행파일(EXE) 형태의 악성파일이 숨겨져 있다.
3. 마무리
이메일을 이용한 악성파일 유포 방식은 매우 고전적이면서도 최근까지 끊임없이 사용되는 지능적인 수법 중에 하나이다. 특히 지능형지속위협(APT)의 첫 번째 단계로 악성파일을 전파시킬 때도 자주 사용된다.
또한, 공격자는 수신자들이 첨부파일이나 URL 링크 주소를 좀더 신뢰한 상태에서 접근하도록 다양한 유도 방식을 사용하게 되는 것이 일반적이다. 따라서 사용자들은 첨부파일이 존재하거나, 이메일 본문에 URL 링크 주소가 포함되어 있는 등 수상한 이메일을 받았을 경우에는 꼭 한번 쯤 악성 여부를 의심해 보고, 최신 Anti-Virus 제품 등으로 검사를 수행해 보는 노력이 필요하다.
특히, 첨부파일이 실행파일(EXE, SCR, COM) 확장자를 가지고 있는 경우 십중팔구 악성파일일 가능성이 높다는 점을 유념하고, 신뢰할 수 있는 보안업체에 신고하는 등 적극적인 대응 자세가 중요하다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견 (1) | 2012.04.12 |
|---|---|
| [주의]2012년 런던 올림픽 내용의 보안 위협 등장 (0) | 2012.04.12 |
| [긴급]국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중 (0) | 2012.04.05 |
| [주의]바이러스가 포함된 보안서비스의 불편한 진실 (0) | 2012.04.04 |
| [주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다. (0) | 2012.03.21 |