분석 정보/악성코드 분석 정보

[주의]세계 환경의 날 문서로 위장된 표적형 악성파일 발견

TACHYON & ISARC 2012. 6. 4. 13:52
1. 개요


잉카인터넷 대응팀은 2012년 "세계 환경의 날[매년 06월 05일]"이 가까워지면서 관련된 내용의 이메일처럼 교묘히 위장된 지능적인 표적공격(APT)형 악성파일 유포 정황을 발견하였다. 해당 공격은 해외의 특정 조직을 대상으로 유포된 것으로 마이크로 소프트사 Office 제품군의 보안 취약점(MS12-027/CVE-2012-0158)을 이용하였다. 수신자가 이메일에 첨부되어 있는 MS Word 문서인 DOC 파일을 보안이 취약한 상태에서 열어보게 될 경우 문서파일에 숨겨져 있던 별도의 악성파일이 사용자 몰래 추가 설치되고, 악성파일 감염으로 인한 부수적인 피해를 입을 수 있게 된다. 이러한 악성파일은 최신 보안 업데이트만 설치하여도 사전에 악성파일에 노출되는 위기를 충분히 예방할 수 있다는 점에서 기본적인 보안 의식이 잠재적인 보안위협으로 부터 안전한 컴퓨터 환경을 만들 수 있다는 것을 반드시 유념해야 한다.



- 세계 환경의 날 악성 파일로부터 사이버 환경도 깨끗하게!
- MS Office 최신 업데이트 설치, Word 문서 취약점 패치 선택이 아닌 필수
- 표적 공격 지능적으로 지속되고 있지만 위협이 공개되는 사례는 빙산의 일각
- 사회공학적 기법과 결합된 보안위협 극성, "No"가 아닌 "Know"로 대응하자.


2. 악성파일 유포 기법

해외 전자 청구서 내용으로 위장된 악성 이메일 국내 전파 중
http://erteam.nprotect.com/287

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

CVE-2012-0779 취약점과 한글을 이용한 APT 공격용 발견
http://erteam.nprotect.com/278

악성 이메일은 불특정 다수에게 무차별적으로 배포되는 형식이 아닌, 사전에 지정된 특정 대상자에게만 발송되는 표적형 특성을 띄고 있다. 또한, 시기적으로 가까워진 2012년 06월 05일 세계 환경의 날이라는 기념일을 사회공학기법과 결합하여 악용하였다.


이메일 제목과 본문에는 세계 환경의 날(World Environment Day)과 관련된 이벤트 내용으로 꾸며져 있고, 사이클 대회 또는 마라톤 경주 옵션 중 하나를 선택하도록 첨부파일 열람을 유도하고 있다.

첨부되어 있는 "Event description for June 5th 2012.doc.doc" 파일은 2중 확장자로 되어 있지만 동일 확장자의 반복이라 확장자를 속이기 위한 기능은 아닌 것으로 추정되며, 제작자의 단순 실수로 인한 것으로 보인다.


악성 첨부파일을 사용자가 다운로드하여 보안취약점이 존재하는 상태에서 실행하게 되면, 아래와 같이 정상적인 문서 내용 출력을 시도하여, 사용자로 하여금 악성파일에 노출된 것을 인지하지 못하도록 만든 후에 악성파일을 추가로 설치한다.


제일 먼저 컴퓨터의 임시폴더(Temp)에 "Winword.exe" 이름의 악성파일을 생성하고 실행하여, Application 경로에 애플사의 아이튠즈 업데이트 프로그램처럼 위장된 "itunes.exe" 이름의 악성파일이 사용자 몰래 생성되고 실행된다.


참고로 실제 아이튠즈의 기본 설치 경로와 아이콘은 다음과 같고, 악성파일과는 보이는 내용 자체도 많이 다르다는 것을 누구나 쉽게 육안으로 확인할 수 있다.


악성파일은 미국의 특정 호스트로 접속을 하고, 명령 제어 서버(C&C)의 추가적인 명령을 대기한다. 악성파일 제작자의 명령에 따라서 사용자의 개인 정보 유출 및 다양한 악성파일 피해를 입을 수 있게된다.


3. 마무리

이메일에 보안취약점이 존재하는 문서파일을 첨부하여 특정 대상자에게 악성파일 공격을 수행하는 형태는 매우 은밀하면서도 조용하게 진행된다. 따라서 외부에 공개되는 경우는 매우 일부분이지만 이러한 보안위협이 끊임없이 진행되고 있다는 점을 주목해야 한다.

특히, 공격자는 자신이 원하는 특정 목적을 달성하기 위해서 지속적으로 공격을 감행하고 있다는 점에서 유사한 이메일 수신의 각별한 관심과 사용자 주의가 필수이다. 아울러 이미 알려져 있는 보안취약점을 이용하는 경우도 많으므로 운영체제의 최신 업데이트는 기본이며, 각종 소프트웨어(MS Office, Adobe Flash Player/Reader, JAVA, HWP 등)의 최신 업데이트도 반드시 설치해서 사용해야 하는 습관이 필요하다.

[칼럼]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250

거듭 강조하지만 무엇보다 사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.