한국시각으로 2010년 11월 30일 해외 송금 업체인 웨스턴 유니온(Western Union)에서 발송한 메일처럼 위장한 스팸메일이 발견되었다. 해당 메일에는 사용자 계정 정보 등을 유출할 수 있는 악성파일이 첨부되어 있으며, 아래의 그림과 같이 사용자들이 해당 첨부파일을 실행하도록 유도하는 내용이 메일에 포함되어 있다.
메일에 첨부되어 있는 압축파일(report.zip)을 다운로드 하여 압축을 풀어보면 하기의 그림과 같은 악성파일이 포함되어 있다.
해당 악성파일에 감염될 경우 아래 그림과 같은 보안경고 창을 띄울 수 있으며, "차단 해제"를 클릭 할 경우 윈도우 방화벽에 영향을 받지 않도록 관련 레지스트리 값을 생성한다. 또한, 자신의 복사본을 만들어 윈도우 시작 시 함께 실행될 수 있도록 관련 레지스트리 값을 생성하며 explorer.exe 프로세스를 통해 포트를 열어두어 통신이 가능한 환경을 만들어 둔다.
※ 윈도우 방화벽에 영향을 받지 않도록 레지스트리 값 생성.
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
SharedAccess\
Parameters\
FirewallPolicy\
StandardProfile\
AuthorizedApplications\
List
값 이름 : C:\WINDOWS\explorer.exe
값 데이터 : "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
※ 윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 생성.
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
값 이름 : (관련파일의 CLSID)
값 데이터 : "C:\Documents and Settings\사용자계정명\Application Data\(임의의폴더명)\(임의의파일명).exe"
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
SharedAccess\
Parameters\
FirewallPolicy\
StandardProfile\
AuthorizedApplications\
List
값 이름 : C:\WINDOWS\explorer.exe
값 데이터 : "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
※ 윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 생성.
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
값 이름 : (관련파일의 CLSID)
값 데이터 : "C:\Documents and Settings\사용자계정명\Application Data\(임의의폴더명)\(임의의파일명).exe"
지속적인 Cookie 파일 삭제를 통해 포털 사이트 등에 대한 접속시 다시한번 로그인 절차를 거치게 하여 사용자 계정 정보 등의 탈취를 노리며, 이렇게 수집된 정보들은 하기 경로의 파일에 저장된다. 또한, 통신이 가능하도록 연결된 포트를 통해 정보가 저장된 해당 파일이 특정 외부 사이트에 전송될 것으로 추정된다.
※ 계정 정보 등 사용자 정보가 저장되는 파일 및 경로
C\Documents and Settings\사용자계정명\Application Data\임의의폴더명\(임의의파일명.임의의확장명)
C\Documents and Settings\사용자계정명\Application Data\임의의폴더명\(임의의파일명.임의의확장명)
만일 위와 같은 메일이나 첨부파일을 수신하였거나 다운로드 하였다면 내용을 유심히 살펴보는 등의 주의가 필요하다. 또한, 현재 nProtect Anti-Virus 제품군에서는 해당 악성파일을 수집하여 진단/치료기능을 제공 할 예정에 있으며, 관련하여 지속적인 대응체계를 유지하고 있다.
최근 사회공학적 기법인 이러한 스팸메일을 통한 위장형 악성파일 유포 기법이 널리 사용되고 있다. 국내를 비롯해 해외에서도 이미 사회적 이슈나, 국제적 행사 등이 시작되면 이를 악용하여 악성파일을 유포하려는 시도가 여러번 있었으며, 지금도 지속적으로 출현하고 있어 취약점을 이용 및 SQL Injection 기법을 사용하는 것과 함께 악성파일 유포의 한 트랜드가 되고있다.
[ http://erteam.nprotect.com/77 ] - 北, 연평도 포격과 관련한 사이버 위협 대응태세 유지
[ http://erteam.nprotect.com/59 ] - 국제적 행사명 등으로 위장한 악성파일 기승!
[ http://erteam.nprotect.com/44 ] - 대구경찰청 사이버수사대 사칭 메일 유포 주의!
[ http://erteam.nprotect.com/36 ] - 노벨평화상 웹 사이트 해킹과 파이어 폭스 제로 데이 취약점의 등장
이러한 사회공학적 유포 기법을 악성파일 제작자들이 즐겨 사용하는 이유는 보안에 대한 이슈 및 관심이 커지면서 윈도우 보안패치 등 보안등급 강화가 사회적으로 한 트랜드가 되어 위와 같은 위장형 유포 기법을 통해 보다 쉽게 악성파일 유포 목적을 달성하려는 측면이 크다고 추정되고 있다.
[ http://erteam.nprotect.com/77 ] - 北, 연평도 포격과 관련한 사이버 위협 대응태세 유지
[ http://erteam.nprotect.com/59 ] - 국제적 행사명 등으로 위장한 악성파일 기승!
[ http://erteam.nprotect.com/44 ] - 대구경찰청 사이버수사대 사칭 메일 유포 주의!
[ http://erteam.nprotect.com/36 ] - 노벨평화상 웹 사이트 해킹과 파이어 폭스 제로 데이 취약점의 등장
이러한 사회공학적 유포 기법을 악성파일 제작자들이 즐겨 사용하는 이유는 보안에 대한 이슈 및 관심이 커지면서 윈도우 보안패치 등 보안등급 강화가 사회적으로 한 트랜드가 되어 위와 같은 위장형 유포 기법을 통해 보다 쉽게 악성파일 유포 목적을 달성하려는 측면이 크다고 추정되고 있다.
현재와 같은 다양한 악성파일에 대한 위협으로 부터 안전하기 위해서는 아래와 같은 몇가지 보안 안전 수칙을 지속적으로 지켜나가는 것이 무엇보다 중요하다.
※ 보안 안전 수칙
1. 출처가 불분명한 메일은 열어보지 않고 만일 열어본다면 첨부파일에 대한 다운로드는 최대한 지양한다.
2. P2P 사이트 등을 통한 불법적인 다운로드 서비스는 최대한 자제한다.
3. 파일에 대한 다운로드는 여러 사용자들에 의해 공인된 파일을 선별하여 다운로드 하는 등의 주의를 기울일 수 있도록 한다.
4. 공인된 백신업체의 백신을 사용하며, 항상 최신엔진 및 패턴 버전을 유지해 실시간으로 PC를 보호 할 수 있도록 한다.
5. 매달 윈도우 보안패치를 실시하며 이를 생활화 할 수 있도록 한다.
1. 출처가 불분명한 메일은 열어보지 않고 만일 열어본다면 첨부파일에 대한 다운로드는 최대한 지양한다.
2. P2P 사이트 등을 통한 불법적인 다운로드 서비스는 최대한 자제한다.
3. 파일에 대한 다운로드는 여러 사용자들에 의해 공인된 파일을 선별하여 다운로드 하는 등의 주의를 기울일 수 있도록 한다.
4. 공인된 백신업체의 백신을 사용하며, 항상 최신엔진 및 패턴 버전을 유지해 실시간으로 PC를 보호 할 수 있도록 한다.
5. 매달 윈도우 보안패치를 실시하며 이를 생활화 할 수 있도록 한다.
'최신 보안 동향' 카테고리의 다른 글
| 페이스북(Facebook) 대화창 기능을 이용한 악성파일 국내 유입 주의 (1) | 2010.12.14 |
|---|---|
| 위키리크스(WikiLeaks)관련 악성파일 유포 해외 보고 주의 필요 (3) | 2010.12.08 |
| 北, 연평도 포격과 관련한 사이버 위협 대응태세 유지 (0) | 2010.11.24 |
| 연말연시 출현 가능한 악성파일의 유포 사례와 대비 (0) | 2010.11.15 |
| 국제적 행사명 등으로 위장한 악성파일 기승! (0) | 2010.11.12 |