1. 개 요
최근 북한은 광명성 3호(은하 3호) 발사 예정 발표와 더불어 정상적인 발사를 방해할 경우 3차 핵실험까지 강행하겠다는 등 국제 안보 정세에 다소 위협적인 입장 표명을 계속하고 있다. 잉카인터넷 대응팀은 북한의 광명성 3호 및 핵실험과 관련된 악성파일이 해외에서 다수 유포된 것을 발견한 상태이다. 악성파일들은 북한의 광명성 3호 및 핵실험과 관련된 문서 파일처럼 각각 위장하고 있으며, 몇몇 보안 취약점을 통해서 별도의 악성파일을 추가 감염시키는 기능을 수행한다.
북한 광명성 3호 발사 예정이 국내를 포함해서 국제적인 사회 문제와 직결되고 있다는 점에서 이용자들은 유사 악성파일 위협에 각별히 주의해야 할 것으로 보여진다.
☞ http://erteam.nprotect.com/228
2012년 런던 올림픽 내용의 보안 위협 등장
☞ http://erteam.nprotect.com/262
국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249
2. 사례별 악성파일
■ Sorean intelligence officials say North Korea may be preparing for nuclear test.doc
북한이 핵실험을 준비하고 있다는 내용으로 위장한 문서파일이지만 실제로는 MS Office 보안취약점을 이용한 악성파일이다.
위장된 DOC 문서파일은 CVE-2010-3333 보안 취약점을 이용하며, 해당 보안 업데이트가 설치되어 있지 않은 사용자가 문서파일을 실행할 경우 임시폴더에 WORD.exe 라는 악성파일과 정상적인 Wor.doc 문서파일을 생성시키고 실행한다.
정상적인 문서파일을 추가적으로 실행해 주기 때문에 사용자 화면에는 다음과 같이 북한 핵실험 관련 문서 내용이 보여진다.
또한, 시작 프로그램에 MSN Talk Start 라는 바로가기를 만들어 재부팅시마다 악성파일이 자동으로 실행되도록 구성한다.
■ North Korea.doc
북한의 인공위성 외교와 관련된 문서내용처럼 위장하고 있으며, MS DOC 문서파일 내부에 포함되어 있는 Flash Object(SWF)코드에 의해서 악의적인 사이트로 접속을 시도하게 되며, 사용자에게는 정상적인 문서 내용을 보여준다.
악의적인 웹 사이트로 접속을 하게 되면 다음과 같은 HTML 코드가 실행되며, CVE-2012-0507 취약점에 의해서 특정 웹 사이트에 등록되어 있는 ZA102498414.JPG 파일로 연결된다. 해당 파일은 그림파일 처럼 확장자를 위장하고 있지만 실제로는 EXE 실행파일이다. 또한, 파일의 등록 정보 중에 원본파일 이름도 "javacpl.exe" (JAVA Control Panel) 이고, 아이콘도 자바파일처럼 교묘하게 위장하고 있다.
자바 취약점 코드가 실행되면 바로 정상적인 마이크로 소프트사의 오피스 웹 사이트로 리다이렉션된다. 이는 사용자로 하여금 정상적인 웹 사이트 접근처럼 보이도록 하기 위한 속임수 수법이다.
감염된 악성파일은 특정 호스트(C&C)로 접속을 시도하여 추가적인 명령을 대기한다.
잉카인터넷 대응팀은 이외에도 "North Korea satellite launch eclipses that of Iran.doc" 등 북한 광명성 3호와 관련된 다수의 악성파일을 수집하여 nProtect Anti-Virus 제품에 진단/치료 기능을 추가한 상태이다.
3. 마무리
북한의 광명성 3호 발사 이슈 및 핵실험 등과 관련된 키워드가 국제적 관심사로 집중되고 있는 가운데 이와 관련된 내용처럼 꾸며 사용자들로 하여금 자극적인 호기심을 유발시켜 은밀히 악성파일을 전파시키는 시도가 증가할 수 있다.
사용자들은 이러한 악성파일 유포 수법에 쉽게 현혹되지 않도록 유사한 내용에 각별히 주의하는 노력이 필요하다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]제우스봇 유니코드 확장자 변조 기법을 이용하여 전파 중 (0) | 2012.04.16 |
---|---|
[주의]인도의 대륙간 탄도미사일 아그니 5호 관련 악성파일 등장 (0) | 2012.04.13 |
[주의]2012년 런던 올림픽 내용의 보안 위협 등장 (0) | 2012.04.12 |
[주의]온라인 호텔 예약으로 사칭한 악성파일 해외 발견 (0) | 2012.04.09 |
[긴급]국내 각종 포털 및 커뮤니티에서 안드로이드 악성파일 유포 중 (0) | 2012.04.05 |