1. 개요
특히, 이메일 첨부파일 등으로 맥용 악성파일이 유입될 수 있으므로 유사한 방식을 목격하게 될 경우 신뢰할 수 있는 파일인지 꼼꼼하게 살펴보고 실행하는 습관이 필요하다.
2. 악성파일 공격 방식
2012년 06월 말경에 발견된 이 형식은 중국 정부가 공식적으로 인정한 56개 민족 중에 하나인 위구르족(Uyghur People)과 관련된 내용으로 위장한 이메일로 공격이 진행되었다.
[위키백과]위구르족
☞ http://ko.wikipedia.org/wiki/%EC%9C%84%EA%B5%AC%EB%A5%B4%EC%A1%B1
수신자의 이메일 사용자는 캐나다 도메인의 야후 웹메일을 쓰고 있지만, Uyghur 유니버셜 웹사이트에서 Uyghurmen 으로 활동하고 있는 것으로 보아 위구르인으로 보여지며, 이메일도 위구르어가 사용되었다.
이메일은 유사한 내용으로 2가지 형태로 제작되어 공격에 사용되었고, 첨부된 파일명은 "matiriyal.zip" 으로 동일하지만 한개는 맥용 악성파일이고, 또 하나는 윈도우용 악성파일이다.
먼저 아래 화면은 맥용 악성파일을 첨부하여 공격한 이메일 화면이다.
다음은 윈도우용 악성파일이 포함된 이메일 형식이다.
각각의 첨부파일에는 동일한 JPG 그림파일이 하나씩 포함되어 있고, 다음과 같은 화면을 가지고 있다.
해당 사진에 있는 여성은 레비야 카디르(Rebiya Kadeer)로서 재미 위구르 협회장이며, 수십년간 위구르인의 인권을 위해 싸워 온 공로를 인정받아 국제인권단체인 휴먼라이츠워치에 의해 2004년 올해의 인권운동가로 선정되었으며, 2006년 노벨평화상 후보로 추천받기도 하였다.
[위키백과]레비야 카디르
☞ http://en.wikipedia.org/wiki/Rebiya_Kadeer
맥용 악성파일은 "\matiriyal.app\Contents\MacOS\iCnat" 이라는 파일로 존재하며, 백도어(Backdoor) 기능을 수행하게 된다. 또한, 내부에는 "Recieve", "os verison", "memery" 등 오타 문자열이 다수 포함되어 있어, 악성파일 제작자의 자국어가 영어가 아님을 추정해 볼 수 있다.
악성파일은 중국의 특정 C&C서버로 접속을 시도하며, 공격자에 의해서 다양한 추가 명령을 수행할 수 있다.
윈도우용 악성파일인 "matiriyal.exe" 파일은 아이콘을 MS Word 처럼 위장하고 있으며, RAR SFX 로 실행압축되어 있다. 내부에는 "1.exe" 파일이 포함되어 있다.
"1.exe" 파일은 임시폴더(Temp) 경로에 "kbdmgr.exe" 파일을 생성하고 실행하며, [시작프로그램] 폴더를 숨김속성으로 변경하고, "kbdmgr.lnk" 바로가기 파일을 생성하고 연결하여 재부팅시 자동으로 악성파일이 실행되도록 만든다.
악성파일은 맥용과 윈도우용이 유사한 기능을 수행하도록 제작되어 있고, 윈도우용 악성파일 내부에는 DDoS 라는 문자열 등도 포함되어 있다.
3. 마무리
이처럼 맥용 악성파일이 APT 공격 등에 사용되고 있다는 점을 간과하지 말고, 유사한 형태의 위협에 참고하여 예방할 수 있도록 한다. 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
특히, 이메일 첨부파일 등으로 맥용 악성파일이 유입될 수 있으므로 유사한 방식을 목격하게 될 경우 신뢰할 수 있는 파일인지 꼼꼼하게 살펴보고 실행하는 습관이 필요하다.
[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297
[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
☞ http://erteam.nprotect.com/297
[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
2. 악성파일 공격 방식
2012년 06월 말경에 발견된 이 형식은 중국 정부가 공식적으로 인정한 56개 민족 중에 하나인 위구르족(Uyghur People)과 관련된 내용으로 위장한 이메일로 공격이 진행되었다.
[위키백과]위구르족
☞ http://ko.wikipedia.org/wiki/%EC%9C%84%EA%B5%AC%EB%A5%B4%EC%A1%B1
수신자의 이메일 사용자는 캐나다 도메인의 야후 웹메일을 쓰고 있지만, Uyghur 유니버셜 웹사이트에서 Uyghurmen 으로 활동하고 있는 것으로 보아 위구르인으로 보여지며, 이메일도 위구르어가 사용되었다.
이메일은 유사한 내용으로 2가지 형태로 제작되어 공격에 사용되었고, 첨부된 파일명은 "matiriyal.zip" 으로 동일하지만 한개는 맥용 악성파일이고, 또 하나는 윈도우용 악성파일이다.
먼저 아래 화면은 맥용 악성파일을 첨부하여 공격한 이메일 화면이다.
다음은 윈도우용 악성파일이 포함된 이메일 형식이다.
각각의 첨부파일에는 동일한 JPG 그림파일이 하나씩 포함되어 있고, 다음과 같은 화면을 가지고 있다.
해당 사진에 있는 여성은 레비야 카디르(Rebiya Kadeer)로서 재미 위구르 협회장이며, 수십년간 위구르인의 인권을 위해 싸워 온 공로를 인정받아 국제인권단체인 휴먼라이츠워치에 의해 2004년 올해의 인권운동가로 선정되었으며, 2006년 노벨평화상 후보로 추천받기도 하였다.
[위키백과]레비야 카디르
☞ http://en.wikipedia.org/wiki/Rebiya_Kadeer
맥용 악성파일은 "\matiriyal.app\Contents\MacOS\iCnat" 이라는 파일로 존재하며, 백도어(Backdoor) 기능을 수행하게 된다. 또한, 내부에는 "Recieve", "os verison", "memery" 등 오타 문자열이 다수 포함되어 있어, 악성파일 제작자의 자국어가 영어가 아님을 추정해 볼 수 있다.
악성파일은 중국의 특정 C&C서버로 접속을 시도하며, 공격자에 의해서 다양한 추가 명령을 수행할 수 있다.
윈도우용 악성파일인 "matiriyal.exe" 파일은 아이콘을 MS Word 처럼 위장하고 있으며, RAR SFX 로 실행압축되어 있다. 내부에는 "1.exe" 파일이 포함되어 있다.
"1.exe" 파일은 임시폴더(Temp) 경로에 "kbdmgr.exe" 파일을 생성하고 실행하며, [시작프로그램] 폴더를 숨김속성으로 변경하고, "kbdmgr.lnk" 바로가기 파일을 생성하고 연결하여 재부팅시 자동으로 악성파일이 실행되도록 만든다.
악성파일은 맥용과 윈도우용이 유사한 기능을 수행하도록 제작되어 있고, 윈도우용 악성파일 내부에는 DDoS 라는 문자열 등도 포함되어 있다.
3. 마무리
이처럼 맥용 악성파일이 APT 공격 등에 사용되고 있다는 점을 간과하지 말고, 유사한 형태의 위협에 참고하여 예방할 수 있도록 한다. 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술? (0) | 2012.07.16 |
|---|---|
| [이슈]항공사 내용으로 둔갑한 대만 APT 전격해부 (0) | 2012.07.10 |
| [긴급]CVE-2012-1889, Zero-Day 공격 증가 주의 Fix it 권고 (2) | 2012.06.29 |
| [주의]VISA 신용카드 사기성 내용으로 위장된 악성파일 등장 (0) | 2012.06.29 |
| [긴급]국내 유명 포털을 표적으로 한 APT 공격 발견 (#Update 02) (1) | 2012.06.29 |