2009년 6월부터 다양한 사회적인 이슈들을 이용하는 사회 공학 기법을 통해 유포되었던 Zbot 변형이 최근에 와서는 악의적인 웹 사이트에 포함되어 있는 iFrame으로 어도비 아크로뱃 리더(Adobe AcroBat Reader)의 PDF 파일에 존재하는 취약점도 악성코드 유포에 악용되는 것이 확인 되었다.

이러한 2중 감염 기법은 최근에 발견된 허위 세금 고지 메일로 위장한 Zbot 변형들 중에서 사용하고 있는 것으로 알려져 있다.

이러한 기법은 최초 허위 세금 고지 메일로 위장한 전자 메일을 유포한 한 후 해당 전자 메일 본문에 포함되어 있는 링크를 클릭 할 경우 아래 이미지와 같은 웹 사이트로 연결된다.


악의적인 웹 사이트에서는 기존과 동일하게 해당 웹 사이트에서 제공하는
tax-statement.exe(130,560 바이트)를 다운로드하도록 유도하고 있으며 해당 파일은 Zbot 트로이목마 변형이다.

Zbot 트로이목마 제작자는 해당 웹 사이트의 접속자가 해당 트로이목마 변형을 다운로드 하지 않는 경우를 고려하여 아래 이미지와 같이
웹 사이트 내부에 iFrame 코드를 삽입하여 카자흐스탄(Kazakhstan)에 위치한 특정 서버에서 취약한 PDF 파일을 다운로드 하도록 되어 있다.


해당 서버에서 다운로드 된 취약한 PDF 파일은 다시 카자흐스탄에 위치한 다른 서버로 부터
Mufanom 트로이목마 변형을 다운로드 한 후 실행하도록 되어 있다. 이러한 전체적인 구조를 간략하게 도식화 한 이미지가 아래와 같다.


위 이미지와 같은 전체적인 구조를 가지고 있는 Zbot 변형을 유포하기 위한 전자 메일은 해당 악성코드 제작자가 악의적인 웹 사이트로 접속한 사용자가 해당 웹 사이트에 대한 의심으로 Zbot 변형을 정상적으로 다운로드 하지 않을 경우 생각한
2중 감염 기법으로 볼 수 있다.

이러한 2중 감염 기법을 사용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win32/Ircbot.worm.variant
PDF/Exploit
Win-Trojan/Mufanom.39424.AG

이러한 복합적인 공격 기법은 2009년 이전 부터 웹 사이트에 존재하는 악성 스크립트 파일에서 사용하는 감염 기법을 전자 메일을 통한 유포과 결합된 형태로 볼 수 있음으로 컴퓨터 사용자는 마이크로소프트(Microsoft) 보안 업데이트 뿐만이 아니라 자신이 자주 사용하는 어플리케이션의 보안 업데이트도 많은 주의를 기울여야 한다.

Posted by AhnLab_ASEC