[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일

1. MS Office Word 문서파일을 이용한 악성파일 발견

잉카인터넷 대응팀은 지능형 표적공격을 집중관제 중에 2013년 10월 30일 경 정보보안예산 내용으로 위장한 DOC 문서형태의 악성파일을 다수 발견하여, 꾸준히 추적 조사 중에 있다. 해당 문서파일을 실행하게 되면 매크로 기능을 통해 이용자 컴퓨터에 추가적인 악성파일이 몰래 설치 시도된다. 따라서 이용자들은 가급적 매크로 기능이 실행되지 않도록 보안설정을 해두고, 신뢰하기 어려운 경우 절대로 매크로 기능을 활성화하지 않도록 주의하여야 한다.

각종 문서파일로 사칭한 악성파일의 경우 이용자들이 무심코 실행하는 경우가 많아 지능적 표적공격에 다수 악용되고 있다. 이메일 첨부파일로 문서파일을 받을 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 말아야 한다. 더불어 문서 프로그램은 항시 최신 버전으로 업데이트하여 기존에 알려져 있던 보안취약점을 제거하도록 하고, 악용될 소지가 많은 매크로 기능 등 각종 보안설정을 권장사항으로 유지하여야 한다.

[바이러스 토탈 진단현황]

https://www.virustotal.com/ko/file/e554e349a017337e4373c53244edd081b7e7321a4b6ec1ac7749c662603cfff4/analysis/1385101591/
https://www.virustotal.com/ko/file/4e9a01072b0a8bcade1523ae52d81d2c28353a19f74c403c20813e7d98de0514/analysis/1385101635/
https://www.virustotal.com/ko/file/b7e619df412f8c1a36726f9fe42e3cb5d0771a220020c79d279f34b7d918e04c/analysis/1385101759/

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견
☞ http://erteam.nprotect.com/451

[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272

2. 정보보안예산 문서를 이용한 보안위협

정보보안예산 문서로 위장한 악성파일은 3가지 형태의 변종이 발견됐으며, 모두 유사한 형태의 한글 파일명으로 발견되었다. 2개는 "정보보안예산안.doc" 나머지 1개는 "정보보안예산.doc" 이름을 가지고 있다. 악의적인 기능이 존재하지 않는 파일도 별도로 존재하는데, 제작자가 테스트용으로 사용한 것으로 추정된다.

DOC 악성파일이 실행되면 아래와 같이 [보안 경고] 창이 나오면서 화면에는 알 수 없는 내용만 보여진다. 이 때문에 일부 이용자는 매크로 기능의 제한으로 인하여 정확한 내용이 보여지지 않는 것으로 착각할 수 있고, 공격자는 이렇게 이용자 심리를 이용하기 위해서 고의로 조작된 화면을 보이도록 만든 것으로 추정된다.

만약 이용자가 매크로 기능을 사전에 활성화시켜 둔 상태라면 악성파일이 즉시 생성되고, 실행되지만 매크로 제외설정을 한 경우 사전에 악성파일이 실행되는 것을 차단할 수 있다. MS Office 제품군에 따라 설정내용은 조금씩 상이할 수 있으며, MS Office 2007 제품의 경우 초기설정값은 다음과 같다.

그러나 이용자가 무심코 매크로 기능을 활성화한 후 동작시킬 경우 컴퓨터에 EXE 형태의 악성파일이 이용자 몰래 추가로 생성되고 실행된다.

매크로 기능의 [이 콘텐츠 사용]을 선택한 후 [확인]버튼을 클릭하게 되면 "WINWORD.EXE" 파일에 의해서 임의의 악성파일이 추가로 생성되고 실행된다.

악성파일은 특정 원격 서버위치로 접속하여 추가 명령수행을 시도하게 되며, 환경조건에 따라 추가 악성파일이 다운로드될 수 있다. 추가로 설치되는 악성파일에 따라서 내부 네트워크의 중요한 기밀정보가 외부로 노출될 수 있으므로 각별한 주의가 필요하다.

 
이 기법은 보안제품 탐지 우회 및 악성파일 추가 설치 목적 등으로 이미 2011년 경에도 일부 보고된 바 있고, 꾸준히 이용되고 있는 공격기법 중에 하나이다.

http://www.hillick.net/challenges/skoudis_2011_cmas_challenge_mh.pdf

잉카인터넷 대응팀은 변종 악성파일들에 대하여 nProtect 제품군에 탐지 및 치료기능을 모두 추가한 상태이며, 외부에 쉽게 알려지지 않는 유사 표적공격을 꾸준히 모니터링하고 있다.

3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com