1. 개요
이번에 국내에 유입된 형태는 Adobe Reader(PDF), Java(JAR) 등 다양한 보안 취약점을 이용하여 추가적인 악성파일을 설치하고 있어 최신 보안패치를 설치하지 않은 경우 감염대상이 될 수 있으므로, 각별한 주의가 요망된다.
- 링크드인 사칭 개인용 메시지는 맞춤형 개인용 악성파일?
- 허위 SNS 인맥은 악성파일 전파의 좋은 수단이자 먹이감!
- 소셜네트워크 서비스를 이용한 사회공학기법
- 보이는 것이 전부 사실은 아닌 악성파일 링크의 불편한 진실
2. 유포 방식 및 감염 과정
그동안 소셜네트워크서비스(SNS) 방식처럼 교묘하게 위장된 악성 이메일은 다양하게 발견된 바 있다. 대표적으로 ▶트위터(Twitter), 페이스북(Facebook)에서 발송한 공지내용, ▶개인정보 변경 요청 내용으로 가장하여 악성파일을 첨부하거나 링크를 클릭하도록 유도하는 형태가 있었고, ▶친구추가 신청 내용처럼 위장한 형태도 다수 있었다. 링크드인(LinkedIn)으로 위장한 형태로는 성인약품(비아그라 등)을 홍보하기 위한 목적의 Spam Mail 광고성 형태가 보고되었다.
가장 최근에 국내에 유입된 것으로 확인된 형태는 다음과 같이 링크드인 친구(Classmate)가 보낸 메시지처럼 위장하고 있고, 이메일 본문에 포함되어 있는 다수의 링크(적색 표시)가 악성 사이트로 연결되도록 조작된 것을 확인할 수 있다.
본문에 포함된 링크는 특정 불가리아 사이트로 연결되는 것을 확인할 수 있고, 사용자가 이메일 본문에 포함되어 있는 URL 주소를 클릭하여 addon.html 파일이 실행되면 악의적 스크립트 코드가 실행 된다.
해당 웹 사이트로 연결이 이뤄지면 아래와 같은 화면을 보여주어, 마치 정상적인 친구초대의 알림 내용처럼 문구를 보여주지만 실제로는 내부에 포함된 악성 스크립트 코드가 사용자 몰래 실행된다.
"addon.html" 내부는 다음과 같이 정상적인 내용처럼 보이도록 조작된 링크드인 관련 문구와 더불어 별개의 스크립트가 실행되도록 구성되어 있다.
스크립트가 정상적으로 실행되면 다음과 같이 또 다른 사이트로 접속하여 "main.php" 코드를 실행하게 된다.
- hxxp://h(일부생략)lub.net/main.php?page=d72ac4be16dd8476
"main.php" 코드에 의해서 추가로 "ap2.php", "Edu.jar" 등의 악성 명령어가 실행되고, Adobe Reader Exploit Code 부분과 Java Applet Exploit Code(CVE-2012-0507) 부분이 실행된다.
- hxxp://h(일부생략)lub.net/data/ap2.php : a9513.pdf (파일명은 임의의 숫자와 알파벳 조합 5자리로 구성)
- hxxp://h(일부생략)lub.net/Edu.jar
Exploit 코드가 실행되면 특정 웹 사이트에서 추가적인 악성파일(EXE)을 다운로드하여 설치하고, 실행하게 되며, Application Data 폴더에 다음과 같이 복사본을 생성된다.
악성파일에 감염되면 특정 호스트로 접속을 시도하고, 공격자의 추가 명령 등에 의해서 다양한 피해를 입을 수 있을 수 있으므로, 각별한 주의가 필요하다.
3. 마무리
소셜네트워크서비스(SNS) 등이 활성화되고 전 세계적으로 사용자가 많아짐에 따라 악성파일 제작자 및 유포자들은 정상적인 SNS 내용처럼 교묘하게 사칭하여 악성파일 전파에 악용하는 사례가 끊임없이 지속되고 있다.
따라서 해당 서비스와 관련된 내용으로 수신되는 내용 중에 허위로 조작된 악성파일 전파수법이 존재할 수 있다는 점을 잊지말고, 유사한 내용에 쉽게 현혹되어 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 링크 클릭시 각별한 주의가 필요하겠다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
이번에 국내에 유입된 형태는 Adobe Reader(PDF), Java(JAR) 등 다양한 보안 취약점을 이용하여 추가적인 악성파일을 설치하고 있어 최신 보안패치를 설치하지 않은 경우 감염대상이 될 수 있으므로, 각별한 주의가 요망된다.
- 링크드인 사칭 개인용 메시지는 맞춤형 개인용 악성파일?
- 허위 SNS 인맥은 악성파일 전파의 좋은 수단이자 먹이감!
- 소셜네트워크 서비스를 이용한 사회공학기법
- 보이는 것이 전부 사실은 아닌 악성파일 링크의 불편한 진실
2. 유포 방식 및 감염 과정
초상권 침해 내용으로 유혹 중인 악성파일 국내 발견
☞ http://erteam.nprotect.com/276
거래개선협회 내용으로 위장한 악성 이메일 국내 유입
☞ http://erteam.nprotect.com/275
☞ http://erteam.nprotect.com/276
거래개선협회 내용으로 위장한 악성 이메일 국내 유입
☞ http://erteam.nprotect.com/275
그동안 소셜네트워크서비스(SNS) 방식처럼 교묘하게 위장된 악성 이메일은 다양하게 발견된 바 있다. 대표적으로 ▶트위터(Twitter), 페이스북(Facebook)에서 발송한 공지내용, ▶개인정보 변경 요청 내용으로 가장하여 악성파일을 첨부하거나 링크를 클릭하도록 유도하는 형태가 있었고, ▶친구추가 신청 내용처럼 위장한 형태도 다수 있었다. 링크드인(LinkedIn)으로 위장한 형태로는 성인약품(비아그라 등)을 홍보하기 위한 목적의 Spam Mail 광고성 형태가 보고되었다.
가장 최근에 국내에 유입된 것으로 확인된 형태는 다음과 같이 링크드인 친구(Classmate)가 보낸 메시지처럼 위장하고 있고, 이메일 본문에 포함되어 있는 다수의 링크(적색 표시)가 악성 사이트로 연결되도록 조작된 것을 확인할 수 있다.
본문에 포함된 링크는 특정 불가리아 사이트로 연결되는 것을 확인할 수 있고, 사용자가 이메일 본문에 포함되어 있는 URL 주소를 클릭하여 addon.html 파일이 실행되면 악의적 스크립트 코드가 실행 된다.
해당 웹 사이트로 연결이 이뤄지면 아래와 같은 화면을 보여주어, 마치 정상적인 친구초대의 알림 내용처럼 문구를 보여주지만 실제로는 내부에 포함된 악성 스크립트 코드가 사용자 몰래 실행된다.
"addon.html" 내부는 다음과 같이 정상적인 내용처럼 보이도록 조작된 링크드인 관련 문구와 더불어 별개의 스크립트가 실행되도록 구성되어 있다.
스크립트가 정상적으로 실행되면 다음과 같이 또 다른 사이트로 접속하여 "main.php" 코드를 실행하게 된다.
- hxxp://h(일부생략)lub.net/main.php?page=d72ac4be16dd8476
"main.php" 코드에 의해서 추가로 "ap2.php", "Edu.jar" 등의 악성 명령어가 실행되고, Adobe Reader Exploit Code 부분과 Java Applet Exploit Code(CVE-2012-0507) 부분이 실행된다.
- hxxp://h(일부생략)lub.net/data/ap2.php : a9513.pdf (파일명은 임의의 숫자와 알파벳 조합 5자리로 구성)
- hxxp://h(일부생략)lub.net/Edu.jar
Exploit 코드가 실행되면 특정 웹 사이트에서 추가적인 악성파일(EXE)을 다운로드하여 설치하고, 실행하게 되며, Application Data 폴더에 다음과 같이 복사본을 생성된다.
악성파일에 감염되면 특정 호스트로 접속을 시도하고, 공격자의 추가 명령 등에 의해서 다양한 피해를 입을 수 있을 수 있으므로, 각별한 주의가 필요하다.
3. 마무리
소셜네트워크서비스(SNS) 등이 활성화되고 전 세계적으로 사용자가 많아짐에 따라 악성파일 제작자 및 유포자들은 정상적인 SNS 내용처럼 교묘하게 사칭하여 악성파일 전파에 악용하는 사례가 끊임없이 지속되고 있다.
따라서 해당 서비스와 관련된 내용으로 수신되는 내용 중에 허위로 조작된 악성파일 전파수법이 존재할 수 있다는 점을 잊지말고, 유사한 내용에 쉽게 현혹되어 이메일에 첨부되어 있는 파일이나 본문에 포함되어 있는 링크 클릭시 각별한 주의가 필요하겠다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격 (0) | 2012.05.23 |
|---|---|
| [주의]한국 정부 기관을 표적으로 삼는 APT 공격 발견 (1) | 2012.05.15 |
| [주의]국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견 (4) | 2012.05.14 |
| [긴급]CVE-2012-0779 취약점과 한글을 이용한 APT 공격용 발견 (4) | 2012.05.08 |
| [주의]초상권 침해 내용으로 유혹 중인 악성파일 국내 발견 (0) | 2012.05.08 |