분석 정보/악성코드 분석 정보

[이슈]중국 프랑스 대사관 공직자를 겨냥한 표적공격(APT) 발견

TACHYON & ISARC 2012. 8. 8. 09:49
1. 개요


잉카인터넷 대응팀은 글로벌 지능형지속위협(APT) 보안관제를 진행 하던 중 중국 포털 사이트에서 제공하는 웹메일 계정을 이용해서 "주중 프랑스 대사관 공직자를 표적으로 한 악성파일 공격 정황을 포착"하였다. 공격자는 마이크로소프트사 오피스용 엑셀(Excel) 문서파일에 악성파일을 몰래 숨겨서 사용하였으며, 특징적으로 악성 엑셀문서를 정상적으로 열기 위해서는 고유암호를 입력해야만 한다. 암호를 완벽하게 입력해야만 악의적인 기능을 수행하기 때문에 암호를 모르는 사람은 해당 악성파일의 보안위협에 노출될 가능성은 없으며, 암호를 알지 못한 상태에서는 악성파일 코드분석에도 직접적인 방해요인으로 작용할 수 있다.

이처럼 표적형 공격에 사용되는 악의적 문서파일에 특정 암호가 설정되어 사용되는 경우가 종종 발견되고 있는데, 이는 암호를 알고 있는 특정인에게만 해당 위협을 극히 제한적으로 가하겠다는 치밀한 사전의도도 포함하고 있다. 아울러 정부 및 주요기관의 내부 공직자 등을 정조준한 악성파일 공격형태가 매우 은밀하게 진행되고 있는 것을 거듭 명심하고 이메일 첨부파일에 대한 세심하고 각별한 주의가 요구된다.



2. 악성파일 전파 방식

[주의]미국 항공우주산업체를 정조준한 표적공격(APT) 발견
http://erteam.nprotect.com/316

[긴급]국내 유명 포털을 표적으로 한 APT 공격 발견
http://erteam.nprotect.com/304

[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

공격자는 생각보다는 매우 단순한 내용의 이메일을 사용하였다. 이메일 제목은 "Application"이고, 본문내용에도 악성파일 실행에 필요한 암호만 포함하고 있다.

보통 공격 성공율을 높이기 위해서는 수신자로 하여금 최대한 관심을 유발시킬 수 있는 사회공학적기법을 많이 사용하지만, 글로벌 공격에 있어서는 전문용어나 언어구사 등에 있어서 기술적 사전준비의 어려움이 있는 경우가 있다. 그래서 공격자는 심플공격을 감행하는 경우가 종종 있지만, 여기서 문제는 이러한 허술한 공격에도 너무 쉽게 보안 방어벽이 무너지는 경우가 많다는 점일 것이다.

공격에 사용된 이메일의 실제 화면은 아래와 같다.


공격자(발신지)는 중국의 시나닷컴(sina.com) 계정을 이용하였고, 수신자는 프랑스 외무부 이메일 계정을 사용하고 있다. 수신자의 계정을 파악해 본 결과 주중 프랑스 대사관에 근무하는 공직자 이메일로 조사되었다.

첨부되어 있는 "New Microsoft excel table.xls" 파일은 이미 다른 공격에도 사용된 이력이 포착된 상태라서 공격자는 하나의 악성파일을 편의상 여러 곳에서 복합적으로 사용하고 있는 것으로 추정된다.

수신자가 호기심 등에 의존하여 "New Microsoft excel table.xls" 첨부파일을 아무런 의심없이 다운로드하고 실행하게 될 경우 다음과 같은 암호 입력 요구화면을 보게 되고, 이메일 본문에 포함되어 있는 "8861" 숫자를 암호로 입력하게 될 경우 악성파일에 감염되게 된다.



이와 별개로 일부 공격자의 경우 문서파일의 보안취약점을 이용하면서, 원형 문서파일 자체에는 암호입력 기능이 없는 상태라서 실행시 바로 악성파일이 설치되고, 임시폴더(Temp)에 생성시킨 정상적인 문서파일에 암호를 걸어두어 속이는 경우도 존재한다. 이런 경우는 암호를 입력하기 이전에 이미 악성파일에 감염되기 때문에 암호를 알려주지 않는 경우가 많고, 사용자는 암호를 모르기 때문에 그냥 무시하는 경우가 있다.

암호를 입력하고 OK 버튼을 누르게 되면, 사용자 몰래 임시폴더(Temp) 경로에 아무런 내용이 없고 정상적인 "set.xls" 문서파일을 실행하여 보여준다. 동시에 "ews.exe" 이름의 악성파일을 생성하고 실행하게 된다.

"ews.exe" 악성파일은 자신의 복사본을 인터넷 익스플로러 파일처럼 위장하여 하기 경로에 설치한다.

C:\Document and Settings\[사용자계정명]\Application Data\iexplore.exe


악성파일이 동작하면 임시폴더에 "keybyd.dat" 파일명의 키로거 기능의 추가 악성파일도 생성되며, 홍콩의 특정 호스트(lixht.gnway.net)로 지속적 접속을 시도한다. 또한, alg.exe 등을 이용접속포트는 TCP 21번(FTP)과 23번(Telnet)을 사용한다. 이러한 과정을 통해서 사용자의 중요 정보가 외부로 노출될 수 있다.


3. 마무리

정부기관에 소속되어 있는 공무원을 표적으로 악성파일을 공격하는 형태는 국가적, 정치적으로 매우 민감한 자료에 불법적으로 접근하여 국가기밀 정보 등을 관계자 몰래 탈취할 수 있다. 이러한 악성파일에 노출될 경우 공격자는 내부 정보를 수집하고 순차적인 공격을 진행하는 경우도 많기 때문에 개개인의 보안의식과 예방시스템이 무엇보다 중요하다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/