1. 개요
감염된 컴퓨터에 설치된 악성파일은 다음 커뮤니케이션의 Daum 클리너 모듈처럼 파일명을 위장하여 잠복하고 있다가 사용자 정보를 수집하여 유출시도하거나 외부의 원격 호스트로 몰래 접속하여 공격자의 추가명령 수행을 시도 한다.
2. 악성파일 전파수법
악성파일 공격자는 특정 국내 기업들을 겨냥해서 마치 채용관련 구직용 영문 이력서와 자기소개서 내용을 발송한 것처럼 사칭한 이메일을 발송한 것으로 추정된다. 유포에 사용된 파일은 이메일에 첨부하여 발송하는 방법을 사용하진 않았고, 국내 특정 웹 사이트에 몰래 숨겨두고, 이메일 본문에 링크를 첨가한 방식을 사용했을 것으로 예측된다.
악성파일은 다음과 같이 국내 특정 웹 사이트에서 다운로드가 이루어지고 있다.
다운로드되는 info.zip 파일은 압축된 형태이고, 파일명은 사용자의 정보를 포함한 것처럼 보이도록 하기 위해서 info 라는 파일명을 사용하고 있다. 내부에는 다음과 같이 확장자에 다수의 공백을 포함한 2중 확장자로 위장하여 마치 DOC 문서파일처럼 보이도록 조작되어 있고, 아이콘도 MS Word 문서 아이콘을 사용하고 있다. "Info.doc (다수의 공백)...exe"
악성파일은 2012년 10월 11일 압축된 것을 확인해 볼 수 있고, 이 시점부터 악성파일 유포가 진행되고 있다는 것을 예상할 수 있다.
MS Office 프로그램이 설치되어 있는 환경에서 악성파일이 실행되면 다음과 같이 정상적인 info.doc 파일을 생성하고 실행한다. 이 문서에는 실제 국내 기업에서 근무했던 경력을 가진 특정인의 영문 이력서와 자기소개서 내용이 보여진다.
문서파일은 사용자에게 실제 이력서와 자기소개서 내용을 보여주어, 마치 정상적인 문서파일처럼 보이도록 하기 위한 속임수 기법이고, 이 문서가 보여지는 동시에 사용자 컴퓨터에는 또 다른 악성파일이 설치되고 실행된다.
사용된 악성파일은 국내 특정 기업의 유효한 디지털 서명을 포함하고 있어, 불법적으로 유출되어 악용된 것으로 추정된다. 해당 기업은 신속하게 해당 디지털 서명을 폐기조치해야 더 이상 악용되는 것을 최소화할 수 있을 것으로 보인다.
악성파일은 tmp 라는 일종의 임시폴더를 생성하고, 내부에 다음(Daum) 클리너처럼 파일명을 위장한 "DaumCleans.exe" 이름의 악성파일을 생성시키고 실행한다.
악성파일은 war.eatuo.com[61.111.3.45] 이라는 원격 호스트로 지속적 접속을 시도하고, 공격자의 명령을 대기한다.
이와같이 악성파일은 원격 호스트의 명령에 의해서 다양한 정보 유출 및 추가 악성파일 감염, 원격제어 등의 피해를 입을 수 있으므로, 각별한 주의가 필요하다.
3. 마무리
특정 (국가)기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히, 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도이다.
그렇기 때문에 공격자들은 이러한 보안 위협을 통해서 중요한 기밀 자료 등을 탈취하거나, 금전적 이득 또는 사이버 범죄(테러) 등으로 사용되고 있다는 점을 간과해서는 안된다.
과거의 고전적인 해킹은 의도적으로 자신을 노출시켜 실력을 과시하거나, Website Deface 등을 통한 재미 목적 등이 있었지만 지금의 보안 위협들은 한 단계 진보되어 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며, 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다.
감염된 컴퓨터에 설치된 악성파일은 다음 커뮤니케이션의 Daum 클리너 모듈처럼 파일명을 위장하여 잠복하고 있다가 사용자 정보를 수집하여 유출시도하거나 외부의 원격 호스트로 몰래 접속하여 공격자의 추가명령 수행을 시도 한다.
2. 악성파일 전파수법
[긴급]국내 정부기관 공직자를 겨냥한 HWP APT 공격
☞ http://erteam.nprotect.com/321
[정보]국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249
[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
☞ http://erteam.nprotect.com/321
[정보]국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249
[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
악성파일 공격자는 특정 국내 기업들을 겨냥해서 마치 채용관련 구직용 영문 이력서와 자기소개서 내용을 발송한 것처럼 사칭한 이메일을 발송한 것으로 추정된다. 유포에 사용된 파일은 이메일에 첨부하여 발송하는 방법을 사용하진 않았고, 국내 특정 웹 사이트에 몰래 숨겨두고, 이메일 본문에 링크를 첨가한 방식을 사용했을 것으로 예측된다.
악성파일은 다음과 같이 국내 특정 웹 사이트에서 다운로드가 이루어지고 있다.
다운로드되는 info.zip 파일은 압축된 형태이고, 파일명은 사용자의 정보를 포함한 것처럼 보이도록 하기 위해서 info 라는 파일명을 사용하고 있다. 내부에는 다음과 같이 확장자에 다수의 공백을 포함한 2중 확장자로 위장하여 마치 DOC 문서파일처럼 보이도록 조작되어 있고, 아이콘도 MS Word 문서 아이콘을 사용하고 있다. "Info.doc (다수의 공백)...exe"
악성파일은 2012년 10월 11일 압축된 것을 확인해 볼 수 있고, 이 시점부터 악성파일 유포가 진행되고 있다는 것을 예상할 수 있다.
MS Office 프로그램이 설치되어 있는 환경에서 악성파일이 실행되면 다음과 같이 정상적인 info.doc 파일을 생성하고 실행한다. 이 문서에는 실제 국내 기업에서 근무했던 경력을 가진 특정인의 영문 이력서와 자기소개서 내용이 보여진다.
문서파일은 사용자에게 실제 이력서와 자기소개서 내용을 보여주어, 마치 정상적인 문서파일처럼 보이도록 하기 위한 속임수 기법이고, 이 문서가 보여지는 동시에 사용자 컴퓨터에는 또 다른 악성파일이 설치되고 실행된다.
사용된 악성파일은 국내 특정 기업의 유효한 디지털 서명을 포함하고 있어, 불법적으로 유출되어 악용된 것으로 추정된다. 해당 기업은 신속하게 해당 디지털 서명을 폐기조치해야 더 이상 악용되는 것을 최소화할 수 있을 것으로 보인다.
악성파일은 tmp 라는 일종의 임시폴더를 생성하고, 내부에 다음(Daum) 클리너처럼 파일명을 위장한 "DaumCleans.exe" 이름의 악성파일을 생성시키고 실행한다.
악성파일은 war.eatuo.com[61.111.3.45] 이라는 원격 호스트로 지속적 접속을 시도하고, 공격자의 명령을 대기한다.
이와같이 악성파일은 원격 호스트의 명령에 의해서 다양한 정보 유출 및 추가 악성파일 감염, 원격제어 등의 피해를 입을 수 있으므로, 각별한 주의가 필요하다.
3. 마무리
특정 (국가)기관이나 기업 등을 표적삼아 내부 직원의 컴퓨터를 악성파일에 감염시키는 보안 위협 사례는 외부에 쉽게 발견되거나 알려지기가 어렵다. 특히, 일반 사용자들의 경우 자신의 컴퓨터가 베일에 쌓여 있는 누군가에 의해서 실시간 모니터링되고 제어되고 있다는 것을 인지하기는 사실상 불가능에 가까울 정도이다.
그렇기 때문에 공격자들은 이러한 보안 위협을 통해서 중요한 기밀 자료 등을 탈취하거나, 금전적 이득 또는 사이버 범죄(테러) 등으로 사용되고 있다는 점을 간과해서는 안된다.
과거의 고전적인 해킹은 의도적으로 자신을 노출시켜 실력을 과시하거나, Website Deface 등을 통한 재미 목적 등이 있었지만 지금의 보안 위협들은 한 단계 진보되어 국가나 기업의 기밀자료를 유출하는 등 범죄집단의 성향을 띄고 있으며, 은밀하고 고도화된 공격 방식이 채택되어 있다는 점을 명심해야 한다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]HWP 문서취약점을 이용한 표적형 악성파일 급증 (Update #02) (1) | 2012.11.20 |
---|---|
[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의! (0) | 2012.11.16 |
[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹 (3) | 2012.10.19 |
[칼럼]불순한 변칙 광고프로그램 유해성 판단여부 하나도 애매하지 않다. (1) | 2012.10.18 |
[주의]미국 대형 통신사 AT&T 서비스로 사칭한 악성 이메일 등장 (1) | 2012.10.16 |