분석 정보/악성코드 분석 정보

[주의]핵안보정상회의 합의문으로 위장된 범국가적 표적공격(APT) 발견

TACHYON & ISARC 2012. 4. 17. 15:23
1. 개요


잉카인터넷 대응팀은 2012년 03월 26일부터 27일까지 서울에서 진행되었던 서울 핵안보정상회의 관련하여 유엔 웹 사이트 등에 등록되어 있는 정상 합의문을 위장한 악성파일이 해외의 4개국에서 공통적으로 보고된 것을 확인하였다. 국제적 행사내용의 합의문을 악용한 부분과 3개국 이상에서 동시다발적으로 발견된 것을 미루어보아 다국적 국가 기관을 상대로 한 표적 공격(APT)에 사용된 악성파일로 추정되고 있다. 특히, 이 문서는 실제 국제연합(UN:United Nations) 웹 사이트에 정상적인 문서가 등록되어 있고, 이 문서파일에 악성파일을 몰래 심어서 악용했다는 점에서 범국가적 공격형 악성파일로 사용되었을 것으로 우려되고 있다.



새뮤얼 라크리어 미국 태평양 사령관은 북한이 3차 핵실험을 시도할 경우 핵실험 기지에 대한 정밀 타격을 포함한 모든 방법을 강구하겠다고 2012년 04월 17일 용산 한미연합사에서 진행된 기자회견에서 밝혔다. 이처럼 최근 북한의 광명성 3호 발사 실패 이후 국제사회에서 북한에 대한 제재가 진행될 것이라는 내용이 발표되면서 북한이 3차 핵실험을 강행할 수 있을 것이다라는 우려 섞인 목소리가 나오고 있는 실정이다.

- 북한의 3차 핵실험 진행 여부 관심 집중
- 미국 라크리어 태평양 사령관 북한 핵실험 진행시 기지 정밀 타격도 고려 대상
- 광명성 3호 발사, 국제사회의 대북 제재 임박에 대한 벼랑 끝 전술로 핵실험 도발 우려
- UN 안보리, 의장성명 통해 북한 강력 규탄 만장일치 채택
- PDF 문서 취약점을 이용하여 다국적 대상의 표적 공격(APT)

이와같이 핵안보에 대한 관심이 국제적으로 높아지고 있는 시점이기 때문에 악성파일이 사회공학기법을 포함해서 다양한 형태로 유포될 수 있다는 점을 유념해야 할 것으로 보인다. 특히, 국가를 상대로 한 표적 공격 등에 이용되고 있는 것으로 추정되는 만큼 범국가적 대응 태세가 필요할 듯 싶다.


인도의 대륙간 탄도미사일 아그니 5호 관련 악성파일 등장
http://erteam.nprotect.com/264

북한 핵실험 및 광명성 3호 발사와 관련된 악성파일 발견
http://erteam.nprotect.com/263

국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

2. 악성파일 내용

악성파일은 유엔(UN) 웹 사이트에 등록되어 있는 Seoul_Communique.pdf 정상파일과 동일한 내용으로 구성되어 있지만, 유포된 악성파일명은 Seoul Communique_FINAL.pdf 이고 ▶캐나다, ▶프랑스, ▶벨기에, ▶인도 등지에서 동시에 발견된 상태이다.


정상파일 등록 주소 : http://www.un.org/disarmament/content/spotlight/docs/Seoul_Communique.pdf

정상 PDF 파일은 약 70KB 정도의 크기를 가지고 있지만, PDF 보안취약점을 이용하고, 별도의 악성파일을 포함하고 있는 악성 PDF 파일은 약 258KB 크기로 상대적으로 크다는 것을 확인할 수 있다.


악성파일이 실행되면 임시폴더(Temp) 경로에 Adobe.pdf 파일을 생성하고 실행한다. 이 파일은 70KB 크기를 가지고 있는 정상 문서파일이다. 사용자에게는 정상 PDF 문서 내용을 보여주어 악성파일이 아닌 것처럼 속이기 위한 과정이다.


사용자에게 PDF 취약점이 있는 상태라면 정상 문서 내용이 보여지면서 하기 경로에 "wininit32.exe", "wininit.dll" (숨김속성) 이름의 악성파일을 생성하고 실행한다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Application Data\Microsoft


wininit.dll 악성파일은 정상 explorer.exe 파일에 Injection 된 상태로 실행이 되면서 중국의 특정 호스트로 접속을 시도하고 추가 명령을 대기한다.


악성파일은 explorer.exe 파일을 통해서 중국의 특정 호스트(C&C)로 접속을 시도하여 악의적인 추가 명령을 수행하게 된다. 이러한 과정에서 원격제어 등 다양한 피해를 입을 수 있다.


3. 마무리

다수의 국가를 노린 지능형 지속 위협(APT)은 정치적, 국가적으로 매우 민감한 사안이 될 수 있다. 악성파일이 접근하는 국가가 중국이라고 하여 공격지가 중국이라고 단정짓기는 어렵다. 발견된 악성파일이 국제적 이슈를 활용했고 다국적으로 발견 보고가 있었다는 점에서 글로벌 대상의 보안위협 사례라는 부분이 주목된다.

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.