최신 보안 동향

위키리크스(WikiLeaks)관련 악성파일 유포 해외 보고 주의 필요

TACHYON & ISARC 2010. 12. 8. 10:07

1. 개요


위키리크스(WikiLeaks) 내용 등을 사용하여 마치 특정 국가의 중요 정보를 공개하는 것처럼 위장하여 악성 파일을 첨부한 이메일을 전파하거나 이메일 본문에 특정 악의적 URL 주소를 포함하여 사용자의 클릭을 유도하고 악성 파일에 노출되도록 하는 두가지 형태의 보안 위협이 해외에서 보고되어 사용자들의 각별한 주의가 요망된다.

아직 국내의 유입 보고는 없지만 예방 차원 등으로 감염 방식 및 예방법 내용을 살펴보도록 하겠다.

2. 감염 과정

■ 메일의 첨부파일 형태로 유포된 경우 첨부된 파일(WikiLeaks.pdf)에 대한 다운로드를 유도한다.

출처 : http://www.symantec.com/connect/ko/blogs/targeted-attacks-uses-wikileaks-its-social-engineering-hook


이메일 본문에 취약점을 이용한 PDF 악성 파일이 포함되어 있고, 취약점이 존재하는 상태에서 실행할 경우 또 다른 악성 파일이 설치되는 형태이다.


첨부된 PDF 파일을 사용자가 직접 실행하게 되면 문서 내용은 보여지지 않고, 윈도우 시스템 폴더에 실제 존재하는 정상 파일과(Spooler SubSystem App) 유사한 파일명(spoolsv.exe)을 가지는 악성 파일을 Temp 폴더에 생성하며, 시작프로그램에 등록하여 윈도우 재부팅 시 함께 실행될 수 있도록 한다.

또한, 시작프로그램에는 "Adobe Gamma Loader" 프로그램처럼 위장하여 등록되어 있다.

※ Temp 폴더(WinXP 기준) : C:\Documents and Settings\(사용자계정명)\Local Settings\Temp


악성 파일에 감염될 경우 사용자 몰래 Internet Explorer를 실행하여 특정 사이트에 접속을 시도한다.

☞ PDF 취약점을 이용하는 악성 파일이 지속적으로 출현하고 있으므로, 최대한 최신 버전 사용을 권장한다.
http://get.adobe.com/kr/reader/

■ 메일에 특정 URL 주소를 포함하여 악성파일 유포를 시도하는 경우 링크된 URL 주소를 클릭 시 하기와 같은 사이트로 접속을 시도한다.

출처 : http://www.symantec.com/connect/ko/blogs/spam-carrying-wikileaks-worm

http://wiki-world-news.(일부생략).ru/news/index.html (메일 본문에 포함되어 클릭을 유도하고 있는 주소)
  ㄴhttp://wikileaks1.(일부생략).com/
      ㄴhttp://wikileaks1.(일부생략).com/WikiLeaks.jar
         ㄴhttp://ugo.(일부생략).com/226.exe (최종적으로 설치 시도되는 악성 파일)


위 그림과 같은 특정 사이트에 접속 후 다시 하기의 그림과 같은 자바 파일(WikiLeaks.jar) 실행을 위한 실행 요청 화면을 보여준다. 자바 파일의 경우 위키리크스와 같은 이름을 파일명으로 하고 있어 사용자들은 무심결에 실행을 할 수 있다.


자바 파일이 실행되면 추가적인 악성파일(226.exe)이 다운로드 되어 실행된다.



3. 예방 조치 방법

위와 같은 메일들을 수신한 사용자가 있다면, 해당 메일을 열람하지 않아야 하며 첨부된 파일은 절대로 다운로드 하거나 실행해서는 안된다. 최근 사회적 이슈를 악용해 스팸 유포 등 사회공학적 기법이 기승을 부리고 있다. 때문에 발신처 등이 불분명한 신뢰 할 수 없는 메일에 대해 최대한 주의를 기울이는 것은 이제 필수적인 보안 관리 수칙이 되었다.

[보안 관리 수칙]

1. 사용중인 운영체제(OS)의 각종 취약점을 보완하기 위한 보안패치의 생활화
2. P2P 사이트 등을 통한 불법적인 다운로드 행위 지양
3. 신뢰 할 수 있는 백신 제품 사용과 최신 엔진 및 패턴 버전 유지를 위한 업데이트 생활화
4. 발신처가 불분명한 메일의 열람이나 첨부파일에 대한 다운로드 지양
5. Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위한 보안패치의 생활화

nProtect Anti-Virus 제품군에서는 금번 이슈가 되었던 위키리크스 관련으로 보고된 악성파일들에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있다.