1. 개 요
1-1. 사회공학적 기법을 이용한 스팸 메일 형태의 악성파일 유포 사례 관련 정보
2. 유포 및 감염 과정
아래와 같이 E-Mail 내부에는 Christmas Messages.pps 라는 첨부파일이 등록 되어져 있으며, 취약점이 존재하는 pps 파일을 실행할 경우 Greeting Cards.pps 라는 정상적인 Power Point Slide Show 파일과 file.exe 이름의 악성파일이 생성되고 실행된다.
Greeting Cards.pps 파일은 다음과 같은 정상적인 PowerPoint Slide Show 파일로 Christmas Messages.pss 파일이 정상적인 파일처럼 교묘하게 위장하기 위한 수법 중에 하나이다.
파일이 실행되면 다음과 같은 특정 사이트로 접근하여 winnet32.exe 라는 새로운 악성파일을 추가로 다운로드하고 실행한다.
http://******.biz/****/winnet32.exe
메일에 첨부되어진 Christmas Messages.pss 파일을 실행할 경우 설치되는 파일들을 정리하면 다음과 같다.
악성파일의 전체 유포 흐름도를 정리하면 다음과 같다.
file.exe 은 사용 가능한 디지털 서명을 보유하고 있는 것으로 보이고 있어, Stuxnet 악성파일 이후로 실제 디지털 서명을 악용한 사례로 추정된다.
디지털 서명(Digital Signature)은 파일의 신뢰성을 판단하는 중요한 근거 자료이자 기준이지만, 이처럼 악성 파일이 올바른 정식 인증서 서명으로 추정되는 내용을 도용하여 마치 안전한 파일처럼 가장하고 있어 주의가 요구된다.
3. 감염 증상
E-Mail에 첨부되어진 Christmas Messages.pps 파일을 실행하게 되면 다음과 같은 경로에 특정 파일들을 생성하게 된다.
또한, 해당 악성파일에 감염되면 특정 레지스트리 값을 생성 및 변경하여 윈도우 시작시 자동으로 실행 되도록 한다.
4. 예방 조치 방법
크리스마스나 신년 인사용 연하장 같은 이메일에 첨부 파일이나 특정 링크 등이 있을 경우 각별한 주의가 필요하다. 이번에 발견된 악성 파일은 nProtect Anti-Virus 제품군에서 모두 치료가 가능하며, 잉카인터넷 대응팀은 지속적인 연말 상시 보안 관제 체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
["Dec 21 CVE-2010-2572 (?) Christmas Messages.pps from nicholas.bennett53@hotmail.com"]
출처 : http://contagiodump.blogspot.com/2010/12/dec-21-cve-2010-2572-christmas.html
출처 : http://contagiodump.blogspot.com/2010/12/dec-21-cve-2010-2572-christmas.html
1-1. 사회공학적 기법을 이용한 스팸 메일 형태의 악성파일 유포 사례 관련 정보
[크리스마스 카드로 위장한 악성코드 국내 등장]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=83
[연말연시 출현 가능한 악성파일의 유포 사례와 대비]
http://erteam.nprotect.com/65
[2010년 주요 보안 이슈 정리 및 2011년 보안 이슈 전망]
http://erteam.nprotect.com/86
[크리스마스관련 악성파일 유포 해외보고, 주의 필요!]
http://erteam.nprotect.com/92
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=83
[연말연시 출현 가능한 악성파일의 유포 사례와 대비]
http://erteam.nprotect.com/65
[2010년 주요 보안 이슈 정리 및 2011년 보안 이슈 전망]
http://erteam.nprotect.com/86
[크리스마스관련 악성파일 유포 해외보고, 주의 필요!]
http://erteam.nprotect.com/92
2. 유포 및 감염 과정
아래와 같이 E-Mail 내부에는 Christmas Messages.pps 라는 첨부파일이 등록 되어져 있으며, 취약점이 존재하는 pps 파일을 실행할 경우 Greeting Cards.pps 라는 정상적인 Power Point Slide Show 파일과 file.exe 이름의 악성파일이 생성되고 실행된다.
특히, 하기 이메일의 발신지 IP 가 한국이라는 점이 특징적이다. 참고로 발신지 IP 가 한국이라 할지라도 악성 파일의 제작 국가로 한국을 지목할 수는 없다. 보통 악성파일 제작자나 유포자가 다른 악성파일에 감염되어 있는 컴퓨터(Zombie PC)나 불법적으로 침입한 해외 컴퓨터를 통해서 무단 배포할 수 있기 때문이므로 절대로 제작 국가로 오해를 하지 않는 것이 중요하다.
http://contagiodump.blogspot.com/2010/12/dec-21-cve-2010-2572-christmas.html
Greeting Cards.pps 파일은 다음과 같은 정상적인 PowerPoint Slide Show 파일로 Christmas Messages.pss 파일이 정상적인 파일처럼 교묘하게 위장하기 위한 수법 중에 하나이다.
파일이 실행되면 다음과 같은 특정 사이트로 접근하여 winnet32.exe 라는 새로운 악성파일을 추가로 다운로드하고 실행한다.
http://******.biz/****/winnet32.exe
메일에 첨부되어진 Christmas Messages.pss 파일을 실행할 경우 설치되는 파일들을 정리하면 다음과 같다.
악성파일의 전체 유포 흐름도를 정리하면 다음과 같다.
악성파일 유포 흐름도
file.exe 은 사용 가능한 디지털 서명을 보유하고 있는 것으로 보이고 있어, Stuxnet 악성파일 이후로 실제 디지털 서명을 악용한 사례로 추정된다.
디지털 서명(Digital Signature)은 파일의 신뢰성을 판단하는 중요한 근거 자료이자 기준이지만, 이처럼 악성 파일이 올바른 정식 인증서 서명으로 추정되는 내용을 도용하여 마치 안전한 파일처럼 가장하고 있어 주의가 요구된다.
3. 감염 증상
E-Mail에 첨부되어진 Christmas Messages.pps 파일을 실행하게 되면 다음과 같은 경로에 특정 파일들을 생성하게 된다.
[생성파일]
(사용자 임시 폴더)\Application Data\Microsoft\Windows\system32\winnet32.exe
[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.
(사용자 임시 폴더)\Application Data\Microsoft\Windows\system32\winnet32.exe
[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.
또한, 해당 악성파일에 감염되면 특정 레지스트리 값을 생성 및 변경하여 윈도우 시작시 자동으로 실행 되도록 한다.
◆ 윈도우 시작시 실행가능 레지스트리 값 등록
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "winnent32"
- 값 데이터 : "winnent32.exe"
[ 참고사항 ]
- (사용자 계정 폴더)\Application Data\Microsoft\Windows\system32\winnet32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "winnent32"
- 값 데이터 : "winnent32.exe"
[ 참고사항 ]
- (사용자 계정 폴더)\Application Data\Microsoft\Windows\system32\winnet32.exe
4. 예방 조치 방법
크리스마스나 신년 인사용 연하장 같은 이메일에 첨부 파일이나 특정 링크 등이 있을 경우 각별한 주의가 필요하다. 이번에 발견된 악성 파일은 nProtect Anti-Virus 제품군에서 모두 치료가 가능하며, 잉카인터넷 대응팀은 지속적인 연말 상시 보안 관제 체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
페이스북(Facebook) 통한 스팸기능의 어플리케이션 유포 주의! (0) | 2011.01.04 |
---|---|
신년 인사와 관련하여 스팸메일을 통한 악성파일 유포 사례 (0) | 2010.12.31 |
트위터(Twitter)를 통한 허위 백신 유포 주의 (0) | 2010.12.17 |
올림픽성화를 키워드로 한 존재하지 않는 허위 보안정보 전파 주의 (0) | 2010.12.15 |
ARP Spoofing 악성파일 확산에 따른 예방 조치법 (0) | 2010.12.15 |