연말에 휴가를 계획중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다.

 

전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다.

[그림 1] 부킹닷컴을 사칭한 악성코드 첨부 메일 원본

 

이러한 스팸 메일은 지난 7월에도 보고된 바 있고, 10월에는 시스코사의 위협 발생 경보에 아래와 같은 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다.

 

 

 

 

 

[그림 2] Cisco - Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages

 

해당 악성코드는 사회공학적 기법을 이용하여 휴가시즌에 주로 메일을 통해 유포되고 있으며, 메일 본문에는 예약 내용 확인을 위해 첨부 파일 실행을 유도하고 있다.

 

메일에 첨부된 압축 파일을 해제하면 Booking Summary Details.pdf.exe 파일을 확인할 수 있다. 해당 파일을 실행하면 자기 복제 본을 svchost.exe 파일 이름으로 아래와 같이 생성하고 레지스트리 값에 등록하여 부팅 시 자동 실행되도록 한다.

 

[파일 생성]

%ALLUSERSPROFILE%\svchost.exe

 

[레지스트리 등록]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

 

svchost.exe 파일이 실행되면 아래 그림과 같이 TCP 8000 포트를 오픈 하여 대기 상태인 것을 확인할 수 있다.

 

[그림 2] svchost.exe의 네트워크 연결 정보

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Win-Trojan/Jorik.38400.F

신고
Posted by DH, L@@

최근 이메일을 통해 문서파일(DOC, HWP, PDF )의 취약점을 이용하여 상대방의 시스템을 공격하는 일종의 APT 공격 시도가 많이 포착되고 있다.

 

공격이 되는 대상은 기존에 불특정 다수에게 e-mail 을 유포하는 방식이 아닌 특정 집단(기관, 학교, 회사 등) 을 주로 하고 있으며 사전에 수집된 e-mail 을 바탕으로 악성 파일을 drop 하는 문서파일을 첨부하며 열람을 유도해 표적 공격을 시작한다.

 

표적공격시 발송하는 e-mail 의 특징들은 아래와 같다.

 

1. 제목이 자극적이거나 중요한 메일인 것 같은 뉘앙스를 띔

2. 취약점을 사용할 수 있는 문서파일을 첨부하며 첨부파일 이름도 중요성을 띈 것처럼 표기

3. 메일 내용은 자세히 적지 않고, 첨부파일을 확인하라고 하여 문서파일 열람을 유도

 

아래는 실제 APT 공격에 사용된 e-mail 이다.

 

[그림 1. APT 공격에 사용된 e-mail ]

 

 

문서파일은 알려진 취약점을 이용하여 조작되어 있으며, 해당 취약점이 패치되지 않은 어플리케이션으로 문서를 열 경우 악성파일이 생성되며 사용자 시스템을 감염시킨다.

사용자는 평소와 다름없이 문서파일을 열었을 뿐인데 악성파일에 감염되게 되며, 문서 또한 정상적으로 열리므로 감염사실을 전혀 눈치 챌 수 없다.

 

아래는 e-mail에 첨부된 PDF 문서의 일부이다. 별도의 확인과정이 없다면, e-mail 발송자가 악의적인 의도가 있는 것인지 아닌지 구분하기가 거의 불가능하다.

 

[그림 2. APT 공격에 사용된 악성 PDF 문서]

 

 

패치되지 않은 PDF reader로 문서를 열게 되면, exploit 이 동작하면서 악성 파일을 시스템에 심는다.

해당 악성 문서파일의 경우 아래의 경로에 두 개의 파일을 drop 한다.

 

C:\Documents and Settings\[사용자]\시작 메뉴\프로그램\시작프로그램\ld.exe

C:\Documents and Settings\[사용자]\Local Settings\Temp\AdobeARM.dll

 

[그림 3. 설치된 악성파일]

 

 

이 악성파일은 시작프로그램에 등록되어 부팅시 실행되며, 주기적으로 C&C서버( 17*.***.***.*90:80, http://Ch****k.K**k.** ) 에 접속하여 명령을 수행하는 좀비 PC를 만든다.

 

이같이 e-mail 을 이용한 APT 공격이 유행하고 있으니 세심한 주의가 필요하다.

아래의 사항들을 지키면 위 유형의 공격을 어느 정도 예방할 수 있다.

 

1. E-mail 사용시 발신인을 확인할 수 없는 메일 열람을 자제

2. 출처를 알 수 없는 첨부파일을 열지 말 것

3. 문서관련 어플리케이션은 주기적으로 업데이트하여 최신버전을 유지

4. 사용하는 Anti-Virus 제품의 실시간 검사를 활성화하고 엔진을 최신버전으로 유지

 

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Dropper.36352 (2012.06.21.00)

Win-Trojan/Agent.32768.CEU (2012.06.21.00)

PDF/Exploit (2012.06.20.03)

 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원