1. 서론
 최근 유니코드를 이용하여 파일명을 변조하여 문서파일로 위장한 악성코드가 발견되어 정보를 공유하고자 해당 문서를 작성합니다.


2. 전파 경로

 해당 악성코드는 메일에 첨부되어 전파되는 형태의 악성코드로 불특정 다수에게 전파되는 악성코드가 아닌 특정 시스템을 타켓으로 한 악성코드로 추정됩니다.

추정하기로 국가기관이나 대기업 등의 기밀 자료를 누출하기 위해 제작된 악성코드로 보이며 특정 사용자에게 메일에 첨부파일을 포함하여 전송 후 사용자가 첨부파일을 실행하게 되면 문서나 기타 정보를 누출할 것으로 추정되는 악성코드 입니다.


3. 악성코드 특징
 해당 악성코드에서 가장 두드러 지는 특징은 조작된 파일명을 이용한다는 점입니다. 아래 그림은 윈도우에서 “알려진 파일형식의 파일 확장명 숨기기” 옵션을 해제한 상태로 본 화면 입니다.


[그림] 탐색기의 확장자 관련 옵션 설정 값


[그림] 위 탐색기 옵션 상태로 본 악성코드 파일명

 
파일을 보면 확장자가 DOC인 것을 확인할 수 있습니다. 하지만 실제 해당 파일은 DOC가 아닌 SCR 확장자를 가진 파일입니다.
 
[그림] 콘솔에서 확인한 파일명

 
어떻게 이러한 현상이 나타나는지 확인해 보았습니다. 우선 문제의 해당 파일을 ZIP 파일로 압축 후 Hex Editor를 통해 확인해 보았습니다.
 
[그림] 악성코드를 ZIP 파일로 압축 후 ZIP 파일을 Hex Editor 에서 연 화면


파일명에 E2 80 AE 가 들어감을 확인할 수 있습니다. 해당 내용을 확인해 보면 “RIGHT-TO-LEFT OVERRIDE” 를 뜻하는 코드 입니다. (참고 : http://www.tachyonsoft.com/uc0020.htm)


[그림] E2 80 AE 코드의 의미


 
즉, 해당 유니코드 문자로 인해 윈도우 탐색기에서는 뒤의 SCR 확장자를 나타내지 못하는 것입니다. 이로 인해 사용자는 문서파일로 착각하여 쉽게 실행을 유도할 수 있습니다.


4. 악성코드 증상
 해당 악성코드 내부에는 EXE 파일 및 DOC 문서가 포함되어 있습니다. 따라서 악성코드가 실행이 되면 사용자가 문서파일을 연거처럼 착각을 유도하도록 DOC 문서가 실행됩니다. 그리고 추가로 내부에 포함된 EXE 파일도 같이 실행이 됩니다. 상세한 내용은 아래와 같습니다.

1) 실행 시 아래와 같은 마이크로소프트 워드 문서를 나타냅니다.

[그림] 실행 시 나타나는 문서


2) 아래와 같은 파일이 생성됩니다.

C:\Documents and Settings\사용자명\바탕 화면\testest.doc       
C:\Documents and Settings\ 사용자명 \Application Data\Microsoft\Internet Explorer\IEXPL0RE.EXE
C:\Documents and Settings\All Users\시작 메뉴\프로그램\시작프로그램\IEXPL0RE.LNK      
C:\WINDOWS\system32\msapi.sys  
[표] 악성코드 실행 시 생성되는 파일

 
추가로 생성되는 파일중 testtest.doc는 위 그림에서 나타나는 문서입니다. 그리고 시작프로그램에 LNK 파일을 시스템 재부팅 시 자동으로 실행이 되도록 합니다.

 
3) 중국에 위치한 것으로 추정되는 시스템으로 접속을 시도 합니다.

[그림] 접속을 시도하는 시스템에 대한 위치정보



5. 대응 현황
 현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.

Win-Trojan/Agent.134104.B
Win-Trojan/Agent.136744
Win-Dropper/FakeIE.69632
Win-Trojan/Agent.69632.AJH
[표] 해당 악성코드에 대한 V3 제품군 진단명

신고
Posted by 비회원