2009년 11월 10일 야간 유럽 일부지역에서 전자 메일을 이용한 타켓(Target) 공격이 발생하였다는 보고가 금일 새벽에 있었다.

이번에 발생한 타켓 공격은 유럽의 특정 단체의 구성원들에게만 악의적인 전자 메일이 전송되었으며 해당 전자 메일의 본문에는 취약점이 존재하는 어도비 아크로뱃 리더(Adobe Acrobat Reader) PDF 파일을 다운로드 하게 구성되어 있다.


해당 타켓 공격에 악용된 전자 메일은 다음과 같은 형태를 가지고 있다.

* 메일 제목
User "수신인 이름" Alert

* 메일 본문
Problems with traffic
<악의적인 웹 사이트로 연결하는 링크>

해당 전자 메일 본문에 존재하는 악의적인 웹 사이트 링크를 클릭하게 될 경우 아래 이미지와 같이 미국 텍사스주 달라스에 위치한 특정 시스템으로 연결되도록 되어 있다.


해당 시스템은 다시 아래 이미지와 같이 러시아에 위치한 특정 시스템에서 취약한 어도비 아크로뱃 리더 PDF 파일인
info.php (6,564 바이트)를 다운로드 하도록 구성 되어 있다.


러시아에 위치한 시스템에서 다운로드 되는 info.php 파일은 취약한 PDF 파일으로 해당 PDF 파일의 압축을 풀어보면 아래 이미지와 같이 사람이 읽을 수 없는 난독화 되어 있는 자바 스크립트(Java Script) 코드와 함께 쉘코드(Shellcode)가 존재하게 된다.


해당 PDF 파일은 아래와 같은 어도비 아크로뱃 리더의 취약점을 악용하며 해당 취약점을 제거할 수 있는 보안 패치 역시 이미 어도비사에 의해 2009년 3월 18일에 제공 중에 있다.

Stack-based buffer overflow in Adobe Reader and Acrobat via the getIcon method of a Collab object

Adobe Reader 및 Acrobat에 대한 보안 업데이트

위와 같은 취약점을 가지고 있는 취약한 PDF 파일을 실행하게 되면 아래 이미지에서 처럼 PDF 파일 내부에 존재하는 러시아에 위치한 해당 시스템에서 개인 정보를 유출하도록 제작된 트로이목마를 다운로드 한 후 실행 하게 된다.


번에 유럽 특정 지역에서 발생한 타켓 공격은 아래와 같은 순서로 공격이 진행 된 것을 알 수 있다.

1. 전자 메일 본문에 악의적인 웹 사이트로 연결이 가능한 링크를 제공함으로서 사용자가 쉽게 접근하도록 유도하였으며 이를 다시 최종 목적이 되는 시스템으로 재연결 하였다.

2, 최종 연결되는 시스템에서는 취약한 PDF 파일을 다운로드 되도록 한 후 실행 하도록 유도하여 사용자가 해당 취약한 PDF 파일을 열어보도록 하였다.

3. 취약한 PDF 파일이 시스템에서 실행됨과 동시에 어도비 아크로뱃 리더에 존재하는 취약점으로 인해 최종 목적지 시스템으로부터 개인 정보 유출을 목적으로 하는 악성코드를 다운로드 한 후 자동 실행하게 하였다.

이러한 순서로 진행 된 공격은 공격자의 성향에 따라서 다른 악성코드가 사용될 가능성이 높으며 중간 경유가 되는 시스템에서 최종 목적지 시스템의 위치를 언제든지 변경할 수 있도록 구성한 점들을 특징으로 볼 수 있다.


이번 타켓 공격에 악용된 취약한 PDF 파일과 악성코드는 V3 제품군에서 다음과 같이 진단한다.

PDF/CVE-2009-0927

Win-Trojan/Cosmu.86016.W

이러한 방식으로 유포되는 악성코드의 감염의 예방하기 위해서는 다음의 수칙들을 검토하고 지켜야 만 할 것이다.

1.
마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 사용하는 컴퓨터 시스템에 어도비 아크로뱃 리더가 설치되어 있다면 해당 프로그램을 실행 후 상단 메뉴에서 [도움말] –> [업데이트 확인]을 통해 취약점을 제거 할 수 있는 보안 패치를 설치 한다.


3. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.

4. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

5. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

6. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

7. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC