분석 정보/악성코드 분석 정보

[주의]제우스봇 유니코드 확장자 변조 기법을 이용하여 전파 중

TACHYON & ISARC 2012. 4. 16. 11:43
1. 개요


잉카인터넷 대응팀은 최근 일명 제우스봇(Zeus Bot/Zbot)으로 불리어지는 악성파일 변종이 전신송금(Wire Transfer) 취소 이메일처럼 위장하여 해외에서 유포된 것을 발견하였다. 인터넷 금융권을 표적으로 하는 Zeus 와 Spyeye 등은 국제적으로 꾸준히 발견되고 있으며, 대표적인 사이버 범죄형 악성파일로 분류되는 종류이다. 특히, 이번에 발견된 악성파일은 사용자로 하여금 정상적인 PDF 문서 파일처럼 보이도록 하기 위해서 유니코드 확장자 위변조 취약성을 이용하고 있다. 따라서 육안상으로는 EXE 파일로 식별하기 어려울 수 있으며, PDF 문서로 오인하여 악성파일을 직접 실행하지 않도록 각별히 주의하여야 한다.



- 금융권 사용자 표적형 악성파일 제우스 & 스파이아이 봇 꾸준히 유포 중
- EXE 확장명을 문서파일(PDF, DOC, TXT, XLS 등)로 보이도록 확장자 변조 수법 이용
- 이메일 첨부파일, 본문 링크 클릭 유도 등 고전적 방식의 악성파일 전파 유행

온라인 호텔 예약으로 사칭한 악성파일 해외 발견
http://erteam.nprotect.com/260

국내 유명 기업 표적 공격(APT)형 수법 공개
http://erteam.nprotect.com/249

국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

2. 악성파일 전파 사례

우선 악성파일은 불특정 다수의 이메일 사용자들에게 다음과 같이 해외 송금 서비스 취소 이메일처럼 위장된 내용으로 악성파일이 첨부된 메일을 무작위로 발송하게 된다.


이메일 제목과 본문에는 마치 정상적인 전신 송금(Wire Transfer) 서비스의 취소 이메일 내용처럼 꾸며져 있으며, 사용자로 하여금 자세한 내용을 확인할려면 첨부되어 있는 파일(Report.zip)을 열어보도록 유도하고 있다.

첨부파일은 ZIP 형태의 압축파일로서 WinZip v8.1 구 버전을 통해서 실행을 시도하게 되면 다음과 같이 인식하기 어려운 파일명이 있다고 안내 메시지 창이 출력되기도 한다.


WinZip v16.0 최신 버전을 통해서 실행을 시도하게 되면 다음과 같이 인식이 가능하지만 확장자는 PDF 문서파일로 보여지고, 형태(Type)에는 응용 프로그램(EXE)으로 구분하여 표기해 준다. 따라서 WinZip 최신 버전 사용자는 오히려 인식 불가 안내 메시지 창이 출력되지 않기 때문에 정상적인 압축파일로 판단할 수도 있다.


폴더 옵션의 확장명 숨기기 기능이 해제된 상태에서 ZIP 압축파일을 해제하면 다음과 같이 EXE 확장자가 PDF 확장자 처럼 조작되어 보이게 된다.


Report.zip 파일 내부 코드 구조를 살펴보면 다음과 같이 exe 확장자를 가진 파일이 존재하는 것을 간접적으로 확인해 볼 수 있다. 또한, 확장자를 속이기 위해서 지난 2005년 경 부터 일부 피싱에 사용된 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 기법을 이용하여 악성파일 확장자를 다른 형태로 보이도록 하는 수법이다.

http://viruslab.tistory.com/2249
http://www.fileformat.info/info/unicode/char/202E/index.htm
http://nedbatchelder.com/blog/200504/phishing_fun_with_unicode.html
http://dl.packetstormsecurity.net/papers/general/righttoleften-override.pdf


상기 그림에서 Hex Code(E2 80 AE)의 일부를 다음과 같이 유니코드 기능을 통해서 확장자를 조작하게 되는 것이다.


이 수법은 2010년도 국내의 유명 인터넷 기업을 표적으로 하는 공격(APT)에서도 사용되었던 이력이 있었고, 천안함 등 정치적 이슈를 가장한 악성파일에서도 보고된 사례가 있었다. 당시 발견되었던 파일명은 NKorea demands its own probe into ship sinking.RAR 이었으며, 압축을 해제하면 MS Word 문서인 .DOC 확인이 보여지지만, 실제로는 화면보호기용 실행파일 종류인 .SCR 확장자를 가진 악성파일이 생성되도록 만들어져 있었다.

참고로 유니코드 조작을 통해서 변조된 악성파일은 Windows Command Processor 상에서 다음과 같이 정상적인 EXE 확장자를 확인할 수 있고, PDF 문자가 거꾸로 FDP 순서로 표기되는 것도 확인해 볼 수 있다.


이외에도 TXT 확장자 등 다양한 형태로 조작된 경우가 발견된 바 있으므로, 확장자만을 통해서 악성파일 여부를 판단하는 실수를 범하지 않도록 하는 주의가 필요하다.

3. 마무리

이메일 압축파일로 내부에 포함된 실행파일 확장자(EXE, SCR, COM)가 문서파일(TXT, PDF, DOC, XLS, HWP 등)처럼 보이도록 하는 수법의 악성파일 전파 사례가 수년 간 꾸준히 발견되고 있다.

특히, 이러한 악성파일 조작 수법이 표적용 지능형 지속 위협(APT)에 은밀히 사용되고 있다는 점에서 각별한 주의가 필요하겠다.

이메일을 이용한 악성파일 유포 방식은 매우 고전적이면서도 최근까지 끊임없이 사용되는 지능적인 수법 중에 하나이다. 특히 지능형지속위협(APT)의 첫 번째 단계로 악성파일을 전파시킬 때도 자주 사용된다.

또한, 첨부파일이 실행파일(EXE, SCR, COM) 확장자를 가지고 있는 경우 십중팔구 악성파일일 가능성이 높다는 점을 유념하고, 신뢰할 수 있는 보안업체에 신고하는 등 적극적인 대응 자세가 중요하다.

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.