1. 개요
공격자는 불특정다수가 아닌 특정 기업인을 정조준하였고, 항공우주산업 등과 같이 국가적으로 매우 중대하고 민감한 자료를 다루는 곳을 겨냥했다는 점에서 지능적인 표적공격(APT)의 한 일환으로 추정되고 있다.
첨부되어 있던 압축파일 내부에는 마릴린 먼로 얼굴모습의 아이콘을 가진 악성파일이 "MarilynMonroe2012.scr" 이라는 파일명으로 존재하며, 사용자가 해당 파일을 실행할 경우 정상적인 화면보호기 기능이 작동한다. 하지만 이것은 사용자를 속이기 위한 과정일 뿐, 실제로는 사용자 몰래 컴퓨터에 악성파일이 추가 설치된다.
악성파일이 실행되면 우선 임시폴더(Temp)에 정상적인 마릴린 먼로 화면보호기를 생성하고 실행시킨다. 이때 보여지는 화면보호기는 아래와 같다.
설치된 악성파일은 인터넷 익스플로러(iexplore.exe)를 이용해서 인도의 특정 호스트로 접속을 시도하는데, 해당 IP는 Myftp.org 서비스이다. (hostlist.myftp.org/search?)
3. 마무리
상기와 같이 업무 이외의 내용으로 악성파일이 은밀히 배포될 수 있다는 점을 명심하고, 악의적 실행파일로 사용되는 형태가 EXE 뿐만 아니라 SCR 확장자도 빈번하게 이용되고 있다는 점을 인지하고 이메일 첨부파일 수신 시 주의깊게 살펴보는 습관이 필요하다.
APT 공격이 나날이 지능화되고 있다는 점을 참고하고, 다양한 방식으로 악성파일이 유입될 수 있다는 점을 유념해야 한다. 또한, 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
공격자는 불특정다수가 아닌 특정 기업인을 정조준하였고, 항공우주산업 등과 같이 국가적으로 매우 중대하고 민감한 자료를 다루는 곳을 겨냥했다는 점에서 지능적인 표적공격(APT)의 한 일환으로 추정되고 있다.
2. 악성파일 감염 수법
악성파일은 아래와 같은 이메일로 전송이 되었고, 마릴린 먼로와 관련된 내용을 포함하고 있다. 이메일에 첨부되어 있는 "MarilynMonroe2012.zip" 압축파일은 내부에 화면보호기(Screen Saver)처럼 보이도록 하기 위해서 .SCR 확장자를 가진 악성파일을 포함하고 있다.
첨부되어 있던 압축파일 내부에는 마릴린 먼로 얼굴모습의 아이콘을 가진 악성파일이 "MarilynMonroe2012.scr" 이라는 파일명으로 존재하며, 사용자가 해당 파일을 실행할 경우 정상적인 화면보호기 기능이 작동한다. 하지만 이것은 사용자를 속이기 위한 과정일 뿐, 실제로는 사용자 몰래 컴퓨터에 악성파일이 추가 설치된다.
악성파일이 실행되면 우선 임시폴더(Temp)에 정상적인 마릴린 먼로 화면보호기를 생성하고 실행시킨다. 이때 보여지는 화면보호기는 아래와 같다.
화면보호기는 다양한 마릴린 먼로의 이미지를 순차적으로 보여주며, 2004년도에 제작된 정상적인 마릴린 먼로 화면보호기를 악성파일 제작자가 도용한 상태이다.
화면보호기가 작동하면서 다음과 같은 악성파일이 사용자 컴퓨터에 몰래 설치된다. 3개의 파일이 각각 다른 파일명으로 각기 다른 경로에 생성되지만 모두 동일한 파일이다.
- C:\Windows\System32\browser32.exe
- C:\Windows\System32\Dllcache\c77ux.sys
- C:\Windows\Installer\d287ee.msi
- C:\Windows\System32\Dllcache\c77ux.sys
- C:\Windows\Installer\d287ee.msi
설치된 악성파일은 인터넷 익스플로러(iexplore.exe)를 이용해서 인도의 특정 호스트로 접속을 시도하는데, 해당 IP는 Myftp.org 서비스이다. (hostlist.myftp.org/search?)
3. 마무리
상기와 같이 업무 이외의 내용으로 악성파일이 은밀히 배포될 수 있다는 점을 명심하고, 악의적 실행파일로 사용되는 형태가 EXE 뿐만 아니라 SCR 확장자도 빈번하게 이용되고 있다는 점을 인지하고 이메일 첨부파일 수신 시 주의깊게 살펴보는 습관이 필요하다.
APT 공격이 나날이 지능화되고 있다는 점을 참고하고, 다양한 방식으로 악성파일이 유입될 수 있다는 점을 유념해야 한다. 또한, 무엇보다 사용자 스스로 이와 유사한 보안위협에 노출되지 않도록 각별한 주의와 관심을 가지는 것이 중요하다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [이슈]중국 프랑스 대사관 공직자를 겨냥한 표적공격(APT) 발견 (0) | 2012.08.08 |
|---|---|
| [주의]대용량 성인동영상으로 둔갑한 Fusion 악성파일 당신을 노린다. (0) | 2012.08.06 |
| [정보]한글 취약점을 악용한 악성파일 유포 주의! (0) | 2012.07.25 |
| [긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도 (0) | 2012.07.18 |
| [긴급]국내 인터넷뱅킹 표적용 악성파일, 진화된 디지털 인해전술? (0) | 2012.07.16 |