분석 정보/악성코드 분석 정보

[주의]페이스북 사진으로 사칭하여 전파 중인 악성파일

TACHYON & ISARC 2012. 8. 30. 10:27

1. 개요


잉카인터넷 대응팀은 최근 며칠동안 페이스북(Facebook)에서 발송한 이메일처럼 교묘하게 조작되어 전파 중인 악성파일을 다수 발견하였다. 페이스북은 2004년에 개설한 미국의 대표적인 글로벌 소셜 네트워킹 서비스(SNS)로 컴퓨터나 모바일로 주변 인맥들과 실시간으로 정보와 사진 등을 공유할 수 있는 기능을 제공한다. 현재까지도 가장 성공한 소셜 네트워크 서비스 중 하나로 2011년 09월 기준 전 세계 약 8억명 이상의 액티브 유저가 활동하고 있는 것으로 추산되고 있다. 이와 같이 많은 사용자들을 보유한 서비스이기 때문에 그 만큼 더 많은 보안위협에 꾸준히 표적이 되고 있는 것도 사실이다. 따라서 페이스북 사용자들은 이런 보안정보를 충분히 숙지하고 유사한 형태의 이메일을 수신할 경우 첨부파일이나 본문에 포함되어 있는 URL링크 주소를 무의식적으로 클릭하지 않는 보안습관이 무엇보다 중요하겠다.

이처럼 사회적인 관심사나 중요 이슈를 역이용하여 악성파일 전파에 악용하는 이른바 사회공학기법이 끊이지 않고 있다는 점도 명심하여 사전에 악성파일이 유입되는 통로를 인지하고 방어하는 노력이 필요하다.


2. 악성파일 전파 수법

[주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가
http://erteam.nprotect.com/286

[긴급]조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입
http://erteam.nprotect.com/281

[주의]페이스북 채팅창을 이용한 악성파일 유포 시도
http://erteam.nprotect.com/246

트위터나 페이스북에서 발송한 것처럼 모방한 형태의 사기성 이메일은 잊을 만하면 다시 등장하는 수법 중에 하나이다. 매우 고전적인 방식이지만 아직까지도 많은 사용자들에게 악성파일을 쉽게 전파시킬 수 있는 효력을 가지고 있다는 것을 반증하기도 한다.

먼저 2012년 08월 28일 해외에서 보고된 형태는 아래와 같고, 국내에 유입된 것이 확인되지는 않았지만, 보통 이런 형태는 불특정 다수의 사용자들에게 스팸메일처럼 무작위로 발송되는 경우가 많기 때문에 국내와 국외를 구분지어 의미를 부여하는 것은 사실 큰 의미는 없다.

악성파일을 제작하고 전파하는 조직들은 예전과 다르게 매우 지능화되어 있다. 예전에는 고정적이거나 동일한 패턴의 이메일이 전파에 사용되었지만 근래에는 이메일 형태가 매우 다양하게 설계되어 동시에 전파되고 있기 때문에 유사한 형태에 대한 대비가 필요하다. 아래는 2012년 08월 29일에 해외에서 발견된 동일한 보안위협 형태로 디자인이나 문구 등이 변경된 것을 비교해 볼 수 있다.

또한, 특징적으로 수신자(받는 사람)의 이메일 주소가 보이지 않도록 조작하여 불특정 다수의 수신자들이 각기 다른 이메일 주소로 표기되어 오히려 수신자가 의심할 수 있는 경우가 발생하지 않도록 만들었다.


각각의 이메일에는 악성파일이 ZIP 형태로 압축되어 첨부되어 있고, 파일명은 "New_Photo_with_You_on_Facebook_PHOTOIDJKG3JSP0.zip", "Your_Friend_New_photos-updates_id929690899.zip" 처럼 조금씩 다르다.

압축파일명은 수신자가 관심을 가질 수 있도록 친구의 사진파일처럼 꾸며져 있고, 압축파일 내부에는 다음과 같은 실행파일 형태의 악성파일이 포함되어 있다.


압축이 해제되면 "New_Photo_with_your_friend_on_Facebook.jpeg.exe", "Your_Friend_New_Photos-and-Updates.jpeg.exe" 등의 EXE 파일이 포함되어 있고, 폴더옵션에서 "확장명 보이지 않기"를 설정한 사용자들에게는 JPEG 라는 사진파일처럼 보이도록 하기 위해서 2중 확장명을 사용하고 있다. 또한, 악성파일은 각각 다른 아이콘을 사용하는 등 변종에 따라 다양한 특성을 가지도록 제작되어 있다.


악성파일이 실행되면 "All Users" 경로에 "svchost.exe" 파일명으로 복사본을 생성하고, 공격자 명령이나 변종에 따른 기능에 따라서 사용자 정보 수집 및 유출 등의 일반적인 악의적 기능을 수행할 수 있다.


잉카인터넷 대응팀은 해당 악성파일들에 대한 탐지 및 치료기능을 nProtect Anti-Virus 제품군에 이미 모두 포함하였으므로, 사용자들은 최신 버전으로 업데이트하여 완벽하게 진단/치료 서비스를 제공받을 수 있다.

3. 마무리

이메일의 첨부파일을 통한 악성파일 전파수법은 매우 오래된 구식적인 방식이지만, 아직도 많은 이용자들이 아무 의심없이 이러한 악성파일을 너무나 쉽게 열어보고 있다. 그로인해 각종 보안위협에 노출되는 피해가 반복되고 있는 것이다. 이러한 때문에 악성파일 제작자들들도 끊임없이 이메일 첨부파일 전파 수법을 공격방식으로 꾸준히 사용하는 이유이기도 하다.

사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://avs.nprotect.com/