분석 정보/악성코드 분석 정보

[주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가

TACHYON & ISARC 2012. 5. 30. 10:41
1. 개요


잉카인터넷 대응팀에서는 사진파일로 사칭하여 국내로 유입시도되고 있는 악의적 이메일을 꾸준히 발견하고 있다. 근래에 국내 이메일로 수신된 사례가 증가하고 있으므로, 충분한 대비와 각별한 주의가 요망된다. 이러한 종류의 보안위협은 대부분 해외에서 제작된 형태라서 영어로 작성된 것이 일반적이고, 이메일 제목과 본문, 첨부파일명은 수시로 변경되어 전파된다. 특징적으로 첨부파일은 사용자의 눈을 속이기 위해서 압축한 형태를 띄며, 내부에 실행파일 형식의 악성파일을 포함하고 있는 것이 대표적이다. 만약 악성파일로 의심되는 파일인데도 보안제품이 진단하지 못할 경우 해당 업체 등에 파일을 전송하여 분석 의뢰를 해 보는 것도 좋은 방법 중에 하나이다.



▶ 사진 파일 위장! 악성파일 제작자들은 꼭 이런다! 으~~ 초등학생 마인드.
▶ 영문 이메일에 압축(실행) 첨부파일, 십중팔구 악성파일!
▶ 사진 파일로 현혹하여 감염을 유도하는 고전적 악성파일 전파방식
▶ 수신된 이메일의 실체, 보안불감증 알고보니 악성파일! '충격'
▶ 사진 파일 위장 침투수법을 이용하는 짐재적 악성파일의 속임수


2. 악성파일 전파 사례 및 내용

조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입
http://erteam.nprotect.com/281

초상권 침해 내용으로 유혹 중인 악성파일 국내 발견
http://erteam.nprotect.com/276

거래개선협회 내용으로 위장한 악성 이메일 국내 유입
http://erteam.nprotect.com/275

최근 국내 이메일로 유입된 형태는 매우 다양하며, 제목과 본문 첨부파일 등이 계속 가변적으로 변경되어 유포되고 있다. 따라서 이메일 형식의 패턴을 보고 유사한 형태에 대한 대비를 하는 것이 무엇보다 중요하다.

 



첨부되어 있는 압축파일 내부에는 이미지(IMG) 사진파일처럼 위장한 악성파일이 EXE 형태로 포함되어 있고, 이용자가 압축을 해제 후 EXE 파일을 실행하면 악성파일에 감염되게 된다.


악성파일 중 일부는 다음과 같이 일반적인 응용프로그램 아이콘을 사용하기도 하고, 미국 유명 TV 만화시리즈인 심슨네 가족들의 인기 캐릭터인 바트 심슨의 아이콘을 사용하고 있기도 하다.

 
악성파일이 실행되어 감염 동작을 시작하면, 한글 Windows XP SP3 OS 기준으로 All Users 폴더에 파일명을 마치 시스템파일 처럼 보이도록 하기 위해서 "svchost.exe" 이름으로 복사본을 생성하고 실행한다.


이후에 아래와 같이 레지스트리에 Java 업데이트 관련 내용처럼 위장하여 값을 추가하여 재부팅 시 자동으로 실행되도록 조작한다.

키 경로 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
값 이름 : SunJavaUpdateSched
값 데이터 : C:\Documents and Settings\All Users\svchost.exe


분석시점 당시 악성파일은 특정 원격 호스트로 접속을 하지는 않았지만 TCP 연결 대기를 하고 있다. 악성파일은 부수적인 명령에 따라 다양한 악성 Bot 기능을 수행할 수 있을 것으로 추정된다.


3. 마무리

이메일의 첨부파일을 통한 악성파일 전파수법은 매우 오래된 구식적인 방식이지만, 아직도 많은 이용자들이 아무 의심없이 이러한 악성파일을 너무나 쉽게 열어보고 있다. 그로인해 각종 보안위협에 노출되는 피해가 반복되고 있는 것이다. 이러한 때문에 악성파일 제작자들들도 끊임없이 이메일 첨부파일 전파 수법을 공격방식으로 꾸준히 사용하는 이유이기도 하다.

사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.