- 페이스북을 사칭한 발신자로 첨부파일 실행유도 

- 첨부파일 실행 시 사용자 동의 없이 외부 통신을 위한 포트개방 

- 의심스러운 메일 첨부파일 실행 자제 및 백신 업데이트 철저


글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, www.ahnlab.com]은 SNS[소셜네트워크서비스] 사용인구가 증가하는 가운데, 최근 유명 SNS 플랫폼 페이스북 알림메일을 사칭한 악성메일이 발견되어 사용자 주의가 요구된다고 밝혔다.

 

안랩의 월간 보안 보고서인 ASEC리포트 최신호에 따르면 ‘당신과 함께 찍은 사진을 업로드 했다[ALFRED SHERMAN added a new photo with you to the album]’라는 제목의 이 악성메일의 발신자는 자세한 주소 없이 ‘Facebook’으로만 표시되어 있다. 본문에는 “새로운 사진이 앨범에 등록되었으니 확인하려면 첨부된 파일을 확인하라[One of your friends added a new photo with you to the album, View photo with you in the attachment]”는 내용이 적혀있다. 첨부된 zip파일의 압축을 풀면 ‘NewPhoto-in_albumPhto_.jpeg.exe’라는 그림 파일을 위장한 실행파일이 나온다.

 

해당 파일을 실행하면 실행파일 내부에 포함된 악성코드가 설치된다. 이 악성코드는 사용자 몰래 외부 특정서버와 통신하기 위한 포트를 개방한다. 즉, 외부 서버와 통신해 추가 악성코드를 다운로드 받거나 PC 내부에 저장된 정보를 외부로 유출할 수도 있다. 또한, 악성코드를 사용자의 레지스트리에 등록해 부팅 시에 자동으로 실행되도록 한다. 현재 안랩 V3는 해당 악성코드를 진단 및 치료하고 있다.

 

안랩 김홍선 대표는 “페이스북이나 트위터 등 사용자가 많은 유명 SNS의 관리자인 것처럼 위장해 악성메일을 보내 악성코드를 배포하는 방식은 예전부터 자주 발견되고 있다. 이는 향후 첨부파일이나 내용을 다르게 해서 다시 확산될 수 있다. 이런 피해를 방지하기 위해서는 의심스러운 메일의 첨부파일을 실행하는 것을 자제하고 백신을 최신 버전으로 업데이트 하는 것이 필요하다”라고 말했다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

10월 17일 ASEC에서는 윈도우 도움말(HLP) 파일을 이용해 내부 정보들을 탈취하기 위한 목적으로 제작된 악성코드가 국내에 유포 된 것을 발견하였다.


이번에 윈도우 도움말 파일을 이용하여 유포된 악성코드는 아래 이미지와 동일하게 이메일의 첨부 파일 형태로 유포되었다.



유포된 이메일은 "쟁점 Q&A 통일외교"와 "전략보고서"라는 제목을 가지고 있는 2가지 형태이며 공통적으로 메일 본문에는 아무런 내용이 존재하지 않는다.


그리고 메일을 보낸 송신인은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스를 이용해 동일한 메일 주소를 사용하고 있다.


유포된 이메일에는 총 2가지 형태의 "쟁점Q&A 통일외교.zip (62,247 바이트)"와 "전략보고서.zip (61,742 바이트)" 의 첨부 파일이 존재하며, 압축 파일의 압축을 풀게 되면 "쟁점Q&A 통일외교.hlp (129,883 바이트)"와 "전략보고서.hlp (129,375 바이트)" 이 생성된다.


생성된 해당 HLP 파일들을 실행하게 되면 아래 이미지와 동일한 내용이 보여지게 된다.




그리고 해당 HLP 파일들에 의해 백그라운드로 아래의 경로에 동일한 "winnetsvr.exe (114,688 바이트)" 파일을 생성하고 실행하게 된다.


C:\WINDOWS\Temp\winnetsvr.exe 


생성된 winnetsvr.exe 파일은 다음의 윈도우 레지스트리 키를 생성하여 "Windows Kernel Srv" 명칭의 윈도우 서비스로 실행되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Windows Kernel Srv\

ImagePath = "C:\WINDOWS\Temp\winnetsvr.exe"


그리고 감염된 시스템에서 다음의 정보들을 수집하여 외부 네트워크에 존재하는 특정 시스템으로 수집한 정보들을 전송하게 된다. 


감염된 시스템의 IP

감염된 시스템의 프록시(Proxy) IP

사용자 계정명

감염된 시스템의 운영체제 정보

HTTP를 이용한 파일 업로드 및 다운로드

CMD.exe를 이용한 콘솔 명령 실행


이 번에 발견된 윈도우 도움말 파일을 이용해 유포된 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


HLP/Exploit

Trojan/Win32.Agent


그리고 향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit


앞서 언급한 바와 같이 이번에 유포된 악성코드는 외부 메일 서비스를 이용하여 내부 임직원들에게 유포되었다. 그러므로 잘 모르는 메일 주소나 송신인이 보낸 메일에 첨부된 파일들은 실행 시에 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원