아그니(Agni)는 "불의 신"을 의미하며, 인도 탄도미사일 시리즈에 붙여진 이름이다. 인도가 아그니 5호 시험 발사에 성공하면 미국과 러시아, 중국, 영국, 프랑스 등에 이어 세계에서 6번째 대륙간 탄도 미사일을 보유하는 국가가 된다. 더불어 인도는 내년까지 아그니 5호를 3~4차례 더 시험 발사한 뒤 2014년쯤에 실전에 배치할 것으로 알려졌다.
북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견
☞ http://erteam.nprotect.com/263
국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249
일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
☞ http://erteam.nprotect.com/247
3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견
☞ http://erteam.nprotect.com/248
2. 악성파일 내용
발견된 악성파일은 MS Office 워드 문서처럼 위장하였으며, 문서형 취약점 중 가장 많이 사용되고 있는 CVE-2010-3333 보안취약점을 사용하고 있다.
취약점을 보유한 파일의 이름은 "First test of nuclear missile Agni-V in a fortnight DRDO chief.doc" 이며, 마치 인도 국방연구개발기구(DRDO:Defence Research and Development Organisation)에서 작성된 문서처럼 위장하고 있다.
최신 보안 업데이트가 적용되어 있지 않은 MS Office 사용자가 해당 문서파일을 실행하게 되면 아래 화면과 같이 워드 화면이 보여지지만 실제로는 사용자 몰래 악성파일을 추가 설치하게 된다. (워드 문서에는 특별한 내용은 보여지지 않았다.)
위의 화면이 보여지면서 사용자 계정의 임시폴더(Temp)에는 msb.exe 이름의 악성파일이 생성되고 실행되게 된다. 이후에 해당 파일은 Application Data 폴더에 svchost.exe 로 복사 생성시키고, msb.exe 원본은 삭제한다.
악성파일은 미국의 특정 호스트로 지속적인 접속을 시도하며, 명령제어 서버(C&C)에 따라서 추가적인 명령을 대기하게 된다.
접속하는 서버는 미국의 특정 IP주소로 확인되고 있다.
3. 마무리
표적공격은 보안 사각지대가 존재하는 기존의 인프라 기반의 보안구조에서 탈피하고, 휴먼 정보중심의 지속적인 보안교육, 관리감독, 모니터링 등이 삼위일체가 되어야 한다. 따라서 점차 지능적으로 급변하는 사이버 위협 환경변화에 따라 새로운 보안 접근 방식이 필요한 시점이라 할 수 있다. 기존 인프라 기반의 보안 태세와 더불어 표적공격형 보안전략을 수립하고 일회성이 아닌 꾸준한 관리와 연속성을 지닌 보안전략이 필요하다.
단계별 지능형 지속 위협(APT)에 능동적으로 대처하기 위해서 융복합적인 솔루션을 통한 대응시스템 마련이 필요하며, 무엇보다 안전을 위협하는 유해 패러다임 방어에 적합하고 보안 대응을 중심으로 내부에 은밀하게 상존하는 악의적 요소들을 발본색원하고자 하는 확고한 의지와 노력이 함께 수반되어야 한다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]핵안보정상회의 합의문으로 위장된 범국가적 표적공격(APT) 발견 (0) | 2012.04.17 |
---|---|
[주의]제우스봇 유니코드 확장자 변조 기법을 이용하여 전파 중 (0) | 2012.04.16 |
[주의]북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견 (1) | 2012.04.12 |
[주의]2012년 런던 올림픽 내용의 보안 위협 등장 (0) | 2012.04.12 |
[주의]온라인 호텔 예약으로 사칭한 악성파일 해외 발견 (0) | 2012.04.09 |