1. 개요
2. 악성파일 전파 사례
- http://atlanta.bbb.org/article/its-back-fake-bbb-complaint-email-makes-rounds-in-2012-32038
악성 이메일은 보낸 사람이 Better Business Bureau <info@bbb.org>로 조작되어 있으며, 제목과 본문 그리고 첨부파일들이 모두 실제 BBB 내용처럼 보이도록 만들어져 있지만 전부 허위로 구성된 내용이다.
수신자로 하여금 이메일에 첨부되어 있는 "BBB Report.zip" 압축파일을 열어보도록 유도하고 있는데, ZIP 파일 내부에는 "BBB report.exe" 라는 이름의 문서(Report)가 아닌 실행 가능한 악성파일이 포함되어 있다.
BBB report.exe 악성파일이 실행되면 All Users 경로에 svchost.exe 이름으로 복사본을 생성한다.
레지스트리를 추가하여 재부팅시 자동으로 실행되도록 만든다.
svchost.exe 파일은 TCP/IP 접속을 시도하지만 분석당시 특별한 호스트 연결 내용은 확인되지 않았다. 하지만 이러한 악성파일은 공격자의 다양한 추가 명령에 따라서 부수적인 공격 피해를 입을 수 있는 위험한 형태의 악성파일 종류라 할 수 있다.
3. 마무리
유명 기업이나 국제적 이슈 등으로 위장하여 악성파일을 첨부한 후 유포하는 사회공학적 기법은 매우 고전적인 악성파일 전파 수법 중에 하나이지만, 아직도 많은 사용자들에 해당 위협에 쉽게 노출되고 있는 것이 현실이다.
인터넷 사용자들은 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 URL 링크 주소 등이 악의적인 내용일 수 있다는 점을 절대로 잊어서는 안된다. 사용자 스스로 이러한 방식의 보안 위협에 피해를 입지 않기 위해서는 항상 주의하고 의심해 보는 습관이 중요하다고 할 수 있다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
- 거래개선협회(BBB:Better Business Bureau) 내용으로 가장한 악성 이메일 국내 유입
- BBB Report.zip (BBB report.exe) 이름의 악성파일 첨부
- BBB Report.zip (BBB report.exe) 이름의 악성파일 첨부
2. 악성파일 전파 사례
- http://atlanta.bbb.org/article/its-back-fake-bbb-complaint-email-makes-rounds-in-2012-32038
악성 이메일은 보낸 사람이 Better Business Bureau <info@bbb.org>로 조작되어 있으며, 제목과 본문 그리고 첨부파일들이 모두 실제 BBB 내용처럼 보이도록 만들어져 있지만 전부 허위로 구성된 내용이다.
수신자로 하여금 이메일에 첨부되어 있는 "BBB Report.zip" 압축파일을 열어보도록 유도하고 있는데, ZIP 파일 내부에는 "BBB report.exe" 라는 이름의 문서(Report)가 아닌 실행 가능한 악성파일이 포함되어 있다.
BBB report.exe 악성파일이 실행되면 All Users 경로에 svchost.exe 이름으로 복사본을 생성한다.
레지스트리를 추가하여 재부팅시 자동으로 실행되도록 만든다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched c:\documents and settings\all users\svchost.exe
SunJavaUpdateSched c:\documents and settings\all users\svchost.exe
svchost.exe 파일은 TCP/IP 접속을 시도하지만 분석당시 특별한 호스트 연결 내용은 확인되지 않았다. 하지만 이러한 악성파일은 공격자의 다양한 추가 명령에 따라서 부수적인 공격 피해를 입을 수 있는 위험한 형태의 악성파일 종류라 할 수 있다.
3. 마무리
유명 기업이나 국제적 이슈 등으로 위장하여 악성파일을 첨부한 후 유포하는 사회공학적 기법은 매우 고전적인 악성파일 전파 수법 중에 하나이지만, 아직도 많은 사용자들에 해당 위협에 쉽게 노출되고 있는 것이 현실이다.
인터넷 사용자들은 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 URL 링크 주소 등이 악의적인 내용일 수 있다는 점을 절대로 잊어서는 안된다. 사용자 스스로 이러한 방식의 보안 위협에 피해를 입지 않기 위해서는 항상 주의하고 의심해 보는 습관이 중요하다고 할 수 있다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]CVE-2012-0779 취약점과 한글을 이용한 APT 공격용 발견 (4) | 2012.05.08 |
---|---|
[주의]초상권 침해 내용으로 유혹 중인 악성파일 국내 발견 (0) | 2012.05.08 |
[주의]유명 물류 배송을 사칭한 용감한 녀석들! (0) | 2012.04.30 |
[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다. (2) | 2012.04.27 |
[주의]성인 동영상으로 위장한 악성파일 기승! (1) | 2012.04.23 |