1. 개요
CNN 뉴스속보로 위장된 악성 이메일의 본문에는 다수의 URL링크가 포함되어 있는데, CNN 사이트가 아닌 모두 악성 도메인으로 연결되도록 구성되어 있고, PDF 및 JAVA 등의 보안취약점에 의해 또 다른 악성파일(EXE)이 설치되도록 제작되어 있다.
2. 악성파일 정보
악의적 공격자는 Blackhole Exploit Kit 프로그램을 통해서 악성파일 전파 및 감염현황(통계) 등을 실시간으로 모니터링 할 수 있다. 아래 화면은 초기버전의 화면이고, 계속 새로운 버전으로 갱신되며 유료로 판매 또는 서버 대여 서비스까지 존재한다.
악성 이메일은 다음과 같은 내용으로 나름 치밀하게 구성되어 있으며, 금일 새벽에 국내유입이 공식 확인된 상태이다. 또한, 전 세계 불특정 다수의 이메일 사용자들에게 무차별적으로 배포되고 있는 상태이다. 이것은 전문화된 악성파일 배포 툴킷의 한 종류인 Blackhole Exploit Kit (BHEK)을 이용한 공격 방식이다.
CNN 뉴스속보로 위장한 이메일의 실제 화면은 아래와 같고, 다양한 정보를 본문에 포함하여 사용자로 하여금 의심도를 낮추고, 최대한 신뢰할 수 있도록 치밀하게 위장하였다.
보낸 사람 : CNN Breaking News <BreakingNews@mail.cnn.com>
제목 : CNN Breaking News - Mitt Romney Almost President
본문의 URL 링크는 모두 이탈리아의 특정 사이트로 연결되어 있으며, index.html 라는 악성 주소가 실행되도록 만들어져 있다. 해당 html 파일 내부에는 다수의 악성 자바스크립트가 추가 연결되도록 구성되어 있고, Blackhole Exploit Kit 기능을 통해서 제어된다.
연결을 시도하는 3개의 js.js 파일은 모두 동일하며, 스크립트 명령을 통해서 또 다른 사이트로 2차 연결을 시도한다.
"persons_jobs.php" 주소로 연결이 되면 다음과 같은 악의적인 스크립트 코드가 실행되고, Adobe Reader(PDF)와 JAVA 취약점을 이용하여 다량의 악성파일을 추가로 설치시도한다.
추가로 설치되는 악성파일은 계속 변형되어 유포되고 있으며, 악성파일에 감염되어 공격자의 명령을 수행하게 되는 이른바 좀비 피시(Zombie PC)로 전락하게 된다. 이러한 악성파일에 노출되면 결국 개인자료 유출 및 또 다른 악성파일 전파 경유지로 악용될 수 있게된다. 현재 설치되는 악성파일 중에는 Adobe Flash Player 파일처럼 위장한 형태 등 다수가 존재하며, 유포지가 차단될 경우를 대비하여 다양한 경유지를 사용하고 있다.
3. 마무리
이메일의 첨부파일을 통한 악성파일 전파수법은 매우 오래된 구식적인 방식이지만, 아직도 많은 이용자들이 아무 의심없이 이러한 악성파일을 너무나 쉽게 열어보고 있다. 그로인해 각종 보안위협에 노출되는 피해가 반복되고 있는 것이다. 이러한 때문에 악성파일 제작자들도 끊임없이 이메일 첨부파일 전파 수법을 공격방식으로 꾸준히 사용하는 이유이기도 하다.
2012년 하반기에는 우리나라와 미국의 대통령 선거가 있으므로, 이를 통한 사회공학적기법의 악성파일에 현혹되거나 보안이 노출되지 않도록 각별한 주의가 필요하다.
아울러 사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다. 더불어 Adobe Reader(PDF)와 JAVA 취약점이 꾸준히 악용되고 있으므로, 항시 최신버전으로 업데이트하는 노력이 중요하다.
[칼럼]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
CNN 뉴스속보로 위장된 악성 이메일의 본문에는 다수의 URL링크가 포함되어 있는데, CNN 사이트가 아닌 모두 악성 도메인으로 연결되도록 구성되어 있고, PDF 및 JAVA 등의 보안취약점에 의해 또 다른 악성파일(EXE)이 설치되도록 제작되어 있다.
2. 악성파일 정보
[주의]페이스북 사진으로 사칭하여 전파 중인 악성파일
☞ http://erteam.nprotect.com/327
[주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가
☞ http://erteam.nprotect.com/286
☞ http://erteam.nprotect.com/327
[주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가
☞ http://erteam.nprotect.com/286
악의적 공격자는 Blackhole Exploit Kit 프로그램을 통해서 악성파일 전파 및 감염현황(통계) 등을 실시간으로 모니터링 할 수 있다. 아래 화면은 초기버전의 화면이고, 계속 새로운 버전으로 갱신되며 유료로 판매 또는 서버 대여 서비스까지 존재한다.
악성 이메일은 다음과 같은 내용으로 나름 치밀하게 구성되어 있으며, 금일 새벽에 국내유입이 공식 확인된 상태이다. 또한, 전 세계 불특정 다수의 이메일 사용자들에게 무차별적으로 배포되고 있는 상태이다. 이것은 전문화된 악성파일 배포 툴킷의 한 종류인 Blackhole Exploit Kit (BHEK)을 이용한 공격 방식이다.
CNN 뉴스속보로 위장한 이메일의 실제 화면은 아래와 같고, 다양한 정보를 본문에 포함하여 사용자로 하여금 의심도를 낮추고, 최대한 신뢰할 수 있도록 치밀하게 위장하였다.
보낸 사람 : CNN Breaking News <BreakingNews@mail.cnn.com>
제목 : CNN Breaking News - Mitt Romney Almost President
본문의 URL 링크는 모두 이탈리아의 특정 사이트로 연결되어 있으며, index.html 라는 악성 주소가 실행되도록 만들어져 있다. 해당 html 파일 내부에는 다수의 악성 자바스크립트가 추가 연결되도록 구성되어 있고, Blackhole Exploit Kit 기능을 통해서 제어된다.
연결을 시도하는 3개의 js.js 파일은 모두 동일하며, 스크립트 명령을 통해서 또 다른 사이트로 2차 연결을 시도한다.
"persons_jobs.php" 주소로 연결이 되면 다음과 같은 악의적인 스크립트 코드가 실행되고, Adobe Reader(PDF)와 JAVA 취약점을 이용하여 다량의 악성파일을 추가로 설치시도한다.
추가로 설치되는 악성파일은 계속 변형되어 유포되고 있으며, 악성파일에 감염되어 공격자의 명령을 수행하게 되는 이른바 좀비 피시(Zombie PC)로 전락하게 된다. 이러한 악성파일에 노출되면 결국 개인자료 유출 및 또 다른 악성파일 전파 경유지로 악용될 수 있게된다. 현재 설치되는 악성파일 중에는 Adobe Flash Player 파일처럼 위장한 형태 등 다수가 존재하며, 유포지가 차단될 경우를 대비하여 다양한 경유지를 사용하고 있다.
3. 마무리
이메일의 첨부파일을 통한 악성파일 전파수법은 매우 오래된 구식적인 방식이지만, 아직도 많은 이용자들이 아무 의심없이 이러한 악성파일을 너무나 쉽게 열어보고 있다. 그로인해 각종 보안위협에 노출되는 피해가 반복되고 있는 것이다. 이러한 때문에 악성파일 제작자들도 끊임없이 이메일 첨부파일 전파 수법을 공격방식으로 꾸준히 사용하는 이유이기도 하다.
2012년 하반기에는 우리나라와 미국의 대통령 선거가 있으므로, 이를 통한 사회공학적기법의 악성파일에 현혹되거나 보안이 노출되지 않도록 각별한 주의가 필요하다.
아울러 사용자 스스로 보안의식을 가지는 것이 매우 중요하며, 수신된 첨부파일이나 본문에 포함된 URL 링크 주소에 잠재적 보안위협이 포함되어 있을 수도 있다는 의심과 악성파일 검사 정도는 한번 쯤 꼭 하고 열람하는 습관이 요구된다. 더불어 Adobe Reader(PDF)와 JAVA 취약점이 꾸준히 악용되고 있으므로, 항시 최신버전으로 업데이트하는 노력이 중요하다.
[칼럼]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]미국 대형 통신사 AT&T 서비스로 사칭한 악성 이메일 등장 (1) | 2012.10.16 |
|---|---|
| [정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁 (2) | 2012.10.15 |
| [칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다! (1) | 2012.10.09 |
| [주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥 (1) | 2012.10.08 |
| [주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫 (0) | 2012.10.02 |