최신 보안 동향

[주의]독도 관련 한글 문서 파일로 위장한 악성파일 유포 주의!

TACHYON & ISARC 2012. 9. 5. 16:41

1. 개 요


잉카인터넷 대응팀은 최근 APT 공격과 관련한 모니터링중에 독도 영유권 분쟁과 관련한 내용으로 꾸며진 한글 문서 파일을 악용하여 특정 기업을 대상으로 APT 공격이 발생한 정황을 포착하였다. 최근 국내외적으로 이슈가 되고있는 독도 관련 문건으로 호기심을 자극하는 전형적인 사회공학적 기법의 공격 형태를 보이고 있으며, 감염될 경우 키로거 기능 등을 수행하는 것으로 미루어보아 기업들을 대상으로 하는 APT 공격 과정의 초기 분석 단계로 볼 수 있다.

[정보]한글 취약점을 악용한 악성파일 유포 주의!
http://erteam.nprotect.com/314

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272
  

2. 유포 및 감염 증상

해당 악성파일은 아래의 그림과 같이 독도관련 제목으로 위장된 한글 문서 파일이며, 내부에 존재하는 악성파일의 생성 및 실행을 시도한다. 이메일의 첨부파일 형태 등으로 유포가 이루어질 수 있으며, 특정 기업의 특정 사용자를 대상으로 발송되어 점차적으로 기업내의 주요정보 탈취 형태로 발전할 수 있다.

위 과정을 통해 해당 악성파일을 실행하여 PC가 감염될 경우 아래와 같이 추가적인 악성파일을 생성하게 된다.

※ 생성 파일

☞ 한글 문서 파일로 위장한 악성파일
- (사용자 임시 폴더)\SUCHOST.EXE (295,424 바이트, 악성)
- (사용자 임시 폴더)\AAAA (19,968 바이트, 정상)

☞ SUCHOST.EXE
- C:\Documents and Settings\All Users\Application Data\Connection.DLL (295,424 바이트, 악성)
- C:\Documents and Settings\All Users\Application Data\SSK.LOG (키로거 파일, 정상)

☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.

또한, 해당 악성파일은 감염 시 사용자에게 감염 사실을 숨기기 위해 "AAAA" 파일명의 정상적인 문서파일을 생성하여 아래의 그림과 같이 출력하는 방법으로 사용자들을 현혹시킬 수 있다.

이때, 추가적으로 생성되는 악성파일 SUCHOST.exe를 통해 Connection.DLL이 추가적으로 생성되며, 해당 파일은 현재 로드된 모든 프로세스에 인젝션 된다.

그 후 아래의 그림과 같이 svchost를 통해 외부의 특정 사이트와의 지속적인 접속 상태를 유지하게 된다.

또한, Connection.DLL 파일은 키 입력이 발생하게될 경우 SSK.LOG파일을 생성하여 모든 키입력 값들을 저장하는 등 키로거 기능을 수행하게 되며, 재부팅 시 자신을 삭제하여 감염 사실을 숨기기 위한 동작도 수행한다. 아래의 그림은 해당 파일에 저장된 모든 입력값들을 보여주고 있으며, 지속적으로 접속 상태를 유지하고 있는 외부 사이트에 전송되어 정보 유출이 이루어질 수 있다.

아래의 그림은 정보가 유출되는 것으로 추정되는 IP의 위치를 추적한 화면이며, 홍콩에 소재하고 있는 것으로 확인되고 있다.

보통 기업을 대상으로하는 APT 공격은 공격자와의 원활한 접점을 찾는 등의 동작을 위해 초기분석 단계를 거치게 된다. 초기분석 단계에서 공격자는 본격적으로 공격하여 정보를 탈취하기를 원하는 곳의 접점을 찾기위해 다각적인 정보를 수집하게 되는데 이때 사용되는 공격방법은 기업내에서 초기에 접하기 쉬운상대여야 하므로 이메일 등을 통한 접근을 시도하는 것이 보통이다.

이렇게 초기분석 단계에서 얻어지는 정보를 토대로 공격자는 대상 기업의 주요 위치에 접근하여 중요한 정보를 탈취하는 작업을 수행할 수 있게 된다.

3. 예방 조치 방법

위와 같은 악성파일은 특정 기업내의 특정 사용자에게 이메일의 첨부파일을 통해 실행을 유도하는 형태로 유포되며, 이를 통해 키로거 기능을 사용하여 다양한 정보를 탈취할 수 있게 된다.

이와 같은 방법은 전형적인 특정 기업을 대상으로 하는 APT 공격의 전형적인 사례이며, 현재 대다수의 기업 및 기관에서 이와같은 공격사례가 포착되고 있다. 다수의 기업에서 특정 장비 등을 통해 이러한 공격기법을 차단하기 위한 노력을 기울이고 있지만, 기업의 규모 등 실질적인 문제로 인해 이와 같은 보안지침은 모두 통용되고 있다고 보기 힘들다.
 
때문에, 최소한 일반적으로 이러한 공격 및 악성파일로부터 안전한 PC사용 및 대비를 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의를 기울인다.

5. 위 사항과 별도로 기업내에서 보안 정책을 마련하고 있다면 해당 보안 정책을 충실히 이행할 수 있도록 한다.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Agent.295424.EG
- Trojan/W32.Agent.295424.EH
- Trojan-Exploit/W32.Hwp-Exploit.447504