2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다.


해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다.


ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다.


아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다.



이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한 달 동안 총 10개의 변형들이 발견되었으며, 2013년 9월 현재까지 지속적으로 변형들이 발견되었다.


The “Kimsuky” Operation에 사용된 악성코드들 모두 기존 한국에서 지속적으로 발견되던 취약한 한글 파일(.HWP)을 이용해 감염을 유도하는 기법으로 유포 되었다.


취약한 한글 파일들은 한국 내 정부 기관과 관공서를 대상으로 APT 공격에서 특징적으로 발견되는 이메일에 취약한 한글 파일을 첨부하여 공격 대상이 되는 내부 직원들에게 전달하는 스피어 피싱(Spear Phishing) 형태의 공격 기법이 사용되었다.


이러한 취약한 한글 파일들은 2012년 10월에 발견된 아래 이미지와 같이 스피어 피싱(Spear Phishing) 형태의 공격 기법으로 공격 대상이 되는 기관의 내부 직원들에게 전달 되었다.




현재까지 한국에서 발견된 스피어 피싱(Spear Phishing) 이메일에 첨부된 취약한 한글 파일은 크게 다음과 같은 3가지 취약점을 지속적으로 사용하고 있다. 


HWPTAG_PARA_HEADER 레코드에서 취약점 발생

HWPTAG_PARA_TEXT 레코드에서 취약점을 발생

HWPTAG_SHAPE_COMPONENT_TEXTART 레코드에서 취약점 발생


그러나 앞서 언급한 주요 3가지 취약점 이외에도 새로운 제로데이(Zero Day) 취약점들이 지속적으로 발견되고 있음으로 각별한 주의가 필요하다.


생성되는 악성코드 역시 가장 최근인 9월 초에 발견된 취약한 한글 파일의 경우, 보안 패치가 설치 되지 않은 취약한 버전의 아래 한글 소프트웨어를 사용하는 시스템에서 열어보게 될 경우 다음과 같은 악성코드들이 생성된다.


- C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\core.dll 

- C:\WINDOWS\system32\olethk64.dll

- C:\WINDOWS\system32\spondge.dll

- C:\WINDOWS\system32\zipfd.icc


그리고, 감염된 시스템에서 탈취한 데이터를 아래 무료 이메일 서비스를 사용하는 메일 주소로 전송하게 된다.


- zmail.zoho.com

- accounts.zoho.com


ASEC에서는 탈취한 데이터가 전송되는 이메일 주소의 메일 주소를 확인 하게 되면 아래 이미지와 동일한 초기 화면을 볼 수 있다. 그리고 한국에서 많이 사용되는 메일 서비스 계정을 이용해 ID가 등록되어 있는 것을 확인 할 수 있다.



그리고 해당 이메일 주소로 접속 한 시스템 이력을 확인 해보게 되면, 해당 이메일 주소를 사용한 공격자는 2013년 8월 28일 마지막으로 접속을 한 것이 알 수 있다. 9월 11일과 12일 접속한 IP는 ASEC에서 분석을 위한 목적으로 접속을 한 이력이다.



이와 함께 이메일을 수신한 이력을 확인 해보면, 아래 이미지와 같이 악성코드에 감염된 시스템에서 탈취 및 키로깅(Keylogging) 된 데이터가 암호화 되어 이메일의 첨부 파일로 보관 중인 것을 확인 할 수 잇다.


그리고 해당 메일 계정의 휴지통(Trash)에 존재하는 이메일의 첨부 파일에는 향휴 유포를 목적으로 추정되는 새로운 악성코드 변형이 XOR로 인코딩 되어 kkc.txt (77,824 바이트)라는 파일명으로 보관 중에 있다.



이번에 공개된 악성코드들 중 윈도우 레지스트리(Windows Registry)를 조작하여, V3의 개인용 방화벽(Personal Firewall)을 무력화하고자 하는 사례가 존재하였다.


그러나 최신 버전의 엔진과 패치를 모두 적용한 V3 제품 군의 경우에는 아래 이미지와 같이 "자체 보호" 기능으로 인해 개인용 방화벽이 무력화 되지 않는다.


 


이 번 캐스퍼스키에서 공개한 The “Kimsuky” Operation 으로 명명된 APT 공격에 사용된 악성코드들 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Trojan/Win32.XwDoor

이 외에 지속적으로 발견되는 취약점을 악용하는 취약한 한글 파일들과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

HWP/Exploit
Trojan/Win32.Backdoor
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

취약점을 악용하는 취약한 한글 파일들은 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher, 미국 제품명 MDS(Malware Defense System)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지 가능하다.

Exploit/HWP.AccessViolation-DE
Exploit/HWP.AccessViolation-SEH

V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit
Suspicious/MDP.Document
Suspicious/ MDP.Exploit
Suspicious/MDP.Behavior

취약점을 악용하는 취약한 한글 파일이 첨부된 스피어 피싱(Spear Phishing) 형태의 공격 기법이 지속적으로 발생하고 있다. 

그러므로, 사용하고 있는 아래아 한글 소프트웨어의 보안 패치를 모두 설치하고, 조직 외부 인물이 발송한 이메일에 첨부되어 있는 한글 파일을 열때는 각별한 주의가 필요하다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 안랩, V3 탄생 25주년 맞아 탐지력-속도-무게감 대폭 향상한 ‘새로운 V3’ 오픈 베타 서비스 

- 새롭게 진화한 V3의 핵심 기능을 회사의 거의 모든 제품과 서비스에 반영해 시장 공략 예정 


안랩 V3 탄생 25주년, 진화한 ‘새로운 V3’로 2013년 공략한다!

안랩, 새로운 V3 오픈 베타 서비스 개시

- 안랩, V3 탄생 25주년 맞아 탐지력-속도-무게감 대폭 향상한 ‘새로운 V3’ 오픈 베타 서비스

- 새롭게 진화한 V3의 핵심 기능을 회사의 거의 모든 제품과 서비스에 반영해 시장 공략 예정

 

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩[구 안철수연구소, 대표 김홍선 www.ahnlab.com]은 28일 전용 웹사이트 [ http://www.ahnlab.com/kr/site/event/event/v325thEventForm.do ]를 통해 일반 개인 사용자를 대상으로 새로워질 V3의 오픈 베타 이벤트[가칭 V3베타]를 시작했다.  

 

V3 탄생 25주년을 맞아 공개된 새로운 ‘V3베타’는 악성코드 탐지력, 검사 속도, 엔진 크기의 세가지 부문에서 혁신적으로 향상된 기능을 선보인다. 안랩은 새로운 V3의 서비스 안정화 작업을 위해 3월 31일까지 사용자가 직접 참여하는 오픈 베타 서비스를 진행한다. 안정화 단계를 거친 ‘새로운 V3[V3베타]’는 별도의 제품으로 출시하지 않고, V3 Lite를 비롯한 개인용 제품군에서 보안관제, 융합형 APT대응 솔루션인 트러스와처에 이르기까지 안랩의 거의 모든 제품과 서비스에 광범위하게 적용될 예정이다.

 

강력한 악성코드 탐지력을 갖춘 다차원 대응 엔진 ‘MDP 프레임워크’ 도입

안랩의 새로운 ‘V3베타’는 안랩이 장기간에 걸쳐 개발한 새로운 엔진인 ‘MDP[Multi-Dimensional Protection] 프레임워크’가 최초 적용되었다. ‘MDP 프레임워크’는 기존 시그니처[악성코드의 진단값 리스트] 기반의 악성코드 탐지 엔진과 네트워크 스캔 엔진을 기본적으로 탑재했다. 여기에 악성코드를 배포하는 URL을 실시간으로 추적해 접근을 차단하는 네트워크 방역 엔진, 의심 파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전 차단하는 행위 기반 엔진을 갖추었다.

 

또한, 파일에 대한 클라우드 평판 정보로 의심스러운 신규 파일을 분석하는 평판 엔진과, 의심스러운 파일에 대하여 사용자가 능동적으로 대응할 수 있는 액티브 디펜스[Active Defense] 기능을 탑재했다. ‘MDP 프레임워크’는 다년간 축적된 안랩의 악성코드 대응 능력[엔진]을 모두 담은 신기술이다. 입체적이고 다면적인 악성코드 탐지 기능으로 이미 알려진 악성코드는 물론, 알려지지 않은 악성코드까지 효과적으로 대응한다.

 

스마트 스캔 기술로 6배 이상 빠른 검사속도 구현

또한, ‘스마트 스캔’ 기능을 적용해 속도 면에서도 획기적인 발전을 이루었다. 스마트 스캔 기술에는 안전하다고 판단된 기존 파일 외에 사용자 PC에 새롭게 생성된 파일에 대한 검사[Incremental Scan]와, 윈도우 같은 운영체제[OS] 상의 변경 사항에 대한 검사[Fastway] 기능이 탑재돼 있다. 이 기술이 적용된 V3베타는 기존 V3의 검사 속도를 능가함은 물론, 글로벌 업체들에 비해서도 6배 이상 빠른[자체 테스트 결과 기준] 검사 속도를 제공한다.

 

기존 V3 대비 20% 수준 초경량 엔진 제공

방대한 악성코드 데이터베이스[DB]를 PC에 저장하는 기존 방식에서 벗어나, 악성코드의 고유정보[DNA]만을 추출하는 방식을 적용해 엔진 크기를 대폭 감소시켰다. 이번 V3베타의 용량은 20MB[메가바이트] 이하로 기존 V3 대비 20% 수준으로 경량화한 것이다. 이에 따라 사용자의 체감 무게는 한결 더 가벼워졌다.  

 

안랩 김홍선 대표는 “악성코드가 나날이 교묘하고 지능적으로 진화하는 만큼 보안제품도 진화해야 한다. 특히 1988년 탄생한 V3가 25주년 되는 올해, 이렇게 새로워진 V3 원천기술을 선보이게 된 점은 매우 의미 있다고 생각한다. 앞으로도 안랩은 보안을 주도하는 기업으로서 축적된 기술을 바탕으로 강력한 보안과 사용자 편의성을 모두 제공해 나가겠다.”라고 강조했다.

 

한편, 이번 오픈 베타 서비스에서는 사용 후기를 보내주는 사용자 중 1위에게는 아이패드 미니를 증정한다. 이 외에도 닥터드레 헤드폰, 안랩 V3 외장하드와 해피머니 상품권 등 다양한 상품을 제공한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

이스라엘 언론인 The Times of Israle의 "How Israel Police computers were hacked: The inside story"을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다.


이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다.


이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 "Xtreme RAT Targets Israeli Government"를 통해 밝히고 있다.


발신인 - bennygantz59.gmail.com 


이메일 제목 - IDF strikes militants in Gaza Strip following rocket barrage


첨부 파일명 - Report & Photos.rar


첨부된 Report & Photos.rar의 압축을 풀게 되면 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"이 생성된다. 


생성된 해당 파일은 RARSfx로 실행 가능한 형태로 압축된 파일로 파일 내부에는 아래 이미지와 같이 2.ico(318 바이트), barrage.doc(85,504 바이트)와 Word.exe(827,120 바이트)가 포함되어 있다.



해당 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"을 실행하게 되면, 아래 이미지와 같이 파일 내부에 포함된 barrage.doc(85,504 바이트)을 보여주게 된다.



그러나 사용자 모르게 백그라운드로 다음의 경로에 내부에 포함하고 있는 파일들을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\2.ico

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\\barrage.doc

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Word.exe


그리고 생성된 파일 중 Word.exe(827,120 바이트)를 실행시켜 ".exe(4 바이트)" 파일을 생성하고, 윈도우 시스템에 존재하는 정상 파일인 sethc.exe을 로드 한 후 해당 프로세스의 메모리 영역에 자신의 코드 전체를 삽입하게 된다.



자신의 코드가 정상적으로 삽입하게 되면 해당 sethc.exe의 프로세스를 이용하여 다음의 시스템으로 역접속을 시도하게 되나, 분석 당시에는 정상적으로 접속 되지 않았다.


loading.myftp.org:1500


정상적으로 접속이 성공하게 될 경우, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


원격 제어

화면 캡쳐

실행 중인 프로세스 리스트

파일 생성, 실행 및 삭제

레지스트리 키 생성 및 삭제

파일 업로드 및 다운로드

키보드 입력 값을 후킹하는 키로깅


이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격으로 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Xtrat.999808

Win-Trojan/Xtrat.827120


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

Malware/MDP.Injector


앞서 언급바와 대만 기상청 타겟 공격과 이번 이스라엘 정부 기관을 대상으로 한 타겟 공격 모두 이메일의 첨부 파일을 이용하여, 내부 직원들의 감염을 유도하였다.


그러므로 외부에서 이메일이 전달 될 경우에는 발신인이 잘 아는 사람인지 그리고 메일 주소가 자주쓰거나 정확한 메일 주소인지를 확인하고, 첨부 파일이 존재 할 경우에는 실행을 해야 될 경우에는 백신으로 미리 검사하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들에 대해 여러 차례 언급한 바가 있다. 최근인 10월 25일에는 대통령 선거 관련 내용을 가진 취약한 한글 파일이 유포된 사례가 있어, 한국 사회에서 주요 관심 사항으로 부각되는 주제들을 악성코드 유포에 악용하는 사회 공학(Social Engineering) 기법들이 정교해지고 있다.


이러한 한국 사회의 주요 관심 사항 중 하나인 한반도 정황 관련 내용을 포함하고 있는 취약한 한글 파일이 10월 31일 발견되었다.


이 번에 발견된 취약한 한글 파일은 "한반도 신뢰 프로세스.hwp (309,612 바이트)"라는 파일명으로 유포되었으며, 해당 취약한 한글 파일을 열게 되면 아래 이미지 파일과 같이 "한반도 신뢰 프로세스 (KOREA TRUST PROCESS)"라는 제목이 나타나게 된다.



해당 취약한 한글 파일을 보안 패치가 설치되지 않은 취약한 한글 소프트웨어를 사용하는 시스템에서 열게 되면 사용자 모르게 백그라운드로 "~ZZ.tmp(102,400 바이트)"를 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\~ZZ.tmp 


해당 "~ZZ.tmp(102,400 바이트)"이 정상적으로 생성되면 자신의 복사본을 "ms[임의의 문자열 5자리].dll(102,400 바이트)"를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\ms[임의 문자열 5자리].dll 


그리고 실질적인 악의적인 기능을 수행하는 "[6자리 임의의 문자열].tmp(110,592 바이트)" 을 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[6자리 임의의 문자열].tmp


생성된 "[6자리 임의의 문자열].tmp(110,592 바이트)" 은 rundll32.exe를 이용해 실행되며 windows_sru.chq 파일을 다음 경로에 생성하게 된다.


C:\WINDOWS\Help\windows_sru.chq


생성된 windows_sru.chq에는 감염된 시스템에서 수집한 다음 정보들을 기록하게 된다.


시스템 하드웨어 정보

윈도우 사용자 계정명


추가적으로 다음 확장자를 가진 파일명들을 수집하여 해당 windows_sru.chq에 기록하게 된다.


EXE, DLL, CHM. AVI, MPG, ASPX, LOG, DAT, PDF, TXT, DOCX, HWP, RAR, ZIP, ALZ, CAB, HTML, GZ, XML, EML, JPG, BMP, ISO, VC4


그리고 백그라운드로 인터넷 익스플로러(iexplore.exe)를 실행시켜 국내 유명 포털 웹사이트의 이메일 서비스를 이용하여 감염된 시스템에서 수집된 정보들이 기록된 windows_sru.chq을 첨부하여 이메일을 발송하게된다.


이 번에 발견된 한반도 정황과 관련된 내용을 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Dllbot.110592

Win-Trojan/Xema.102400.S


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Document


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 지속적으로 국내 관공서 등에서 많이 사용되는 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 공격에 대해 알린 바가 있다. 이러한 한글 소프트웨어의 취약점을 악용하는 공격 형태는 10월 24일 대통령 선거 공약 관련 내용으로도 유포 된 바가 있다.


10월 25일에는 일반 기업들의 연봉 계약서 내용으로 위장하여 유포된 취약한 한글 파일이 발견되었다. 


이 번에 발견된 취약한 한글 파일은 "연봉계약서.hwp (1,015,812 바이트)" 라는 파일명을 가지고 있으며, 이를  열게 되면 아래 이미지와 같은 내용을 가지고 있다.



해당 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플 로우로 인한 코드 실행 취약점이다. 해당 취약점은 2012년 6월에 발견되었으며, 당시 제로 데이(Zero-Day,0-Day) 취약점으로 발견되었다.


해당 취약한 한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 "system32.dll (81,920 바이트)"를 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll


그리고 생성한 system32.dll 는 다시  "AppleSyncNotifier.exe (81,920 바이트)" 이라는 파일을 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe


생성된 AppleSyncNotifier.exe  다음과 같은 악의적인 기능들을 수행하게 된다.


실행 중인 프로세스 리스트 수집

파일 다운로드 및 업로드, 실행

프로세스 강제 종료


감염된 시스템에서 수집한 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Symmi.81920


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다.



2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고 있으며, 취약한 한글 파일들이 이메일의 첨부 파일로 존재 한다.


첫 번째 메일은 아래 이미지와 같이 "핵심공약"이라는 메일 제목에 "핵심공약.hwp" 라는 한글 파일이 첨부 파일로 존재하는 형태이다.



그리고 두 번째 메일은 아래 이미지와 같이 "현안대응"이라는 메일 제목에 "현안대응.hwp"이라는 한글 파일이 첨부 파일로 존재한다.



첨부 되어 있는 "핵심공약.hwp (164,629 바이트)"을 열게 되면 아래 이미지와 같이 대통령 선거의 공약들과 관련된 내용이 나타나게 된다.



그리고 두 번째 "현안대응.hwp (168,725 바이트)"를 열게 되면 아래 이미지와 같이 한국의 정치적인 상황들과 관련된 내용이 나타나게 된다.



이 번에 발견된 해당 파일들은 일반적인 OLE 포맷을 따르지 않고 아래 이미지와 같이 한글  Version 2 포맷이라는 별도의 파일 포맷 형식으로 되어 있다.



그리고 해당 취약한 한글 파일들 내부에는 아래 이미지와 같이 별도의 PE 파일이 임베디드(Embedded) 되어 있는 형태를 가지고 있다.



해당 취약한 한글 파일들을 열게 되면 모두 공통적으로 시스템 사용자 모르게 백그라운드로 "svc.exe (126,976 바이트)" 파일을 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\svc.exe


생성된 svc.exe는 다시 DLL 형태의 파일인 "wdmaud.drv (78,336 바이트)" 를 다음 경로에 생성하게 된다.


C:\WINDOWS\wdmaud.drv


생성된 wdmaud.drv 는 윈도우 시스템 프로세스인 explorer.exe와 winlogin.exe의 스레드(Thread)로 인젝션이 성공하게 되면 감염된 시스템에서 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 업로드

CMD.EXE를 이용한 콘솔 명령 실행

실행 중인 프로세스 리스트 수집

감염된 시스템 컴퓨터명 수집

감염된 시스템 IP와 프록시(Proxy) 서버 주소 수집

윈도우 사용자 계정 명 수집

감염된 시스템의 윈도우 버전과 언어 정보 수집


감염된 시스템에서 수집한 정보들은 한국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.Document

Dropper/MDP.Exploit

Suspicious/ MDP.Exploit

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다.


2011년 10월 - ws2help.dll을 교체하는 온라인 게임 악성코드 분석


2012년 3월 - CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드


2012년 7월 - XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


2012년 7월 - GongDa Pack의 스크립트 악성코드 증가


2012년 8월 - YSZZ 스크립트 악성코드의 지속 발견


2012년 10월 - 패치드(Patched) 형태의 악성코드 변천사


이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다.


이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로 구분 할 수 있으며, 각각 다음과 같은 기능들을 가지고 있다.


드로퍼(Dropper) - TeminateProcess를 호출하여 보안 소프트웨어 강제 종료 시도


usp10.DLL : 로드 후 자신의 부모 프로세스가 보안 소프트웨어 프로세스 중 하나라면 UnmapViewOfSection 또는 ExitProcess 호출


에브킬(AVKill) 루트킷 : NtOpenProcess와 NtTerminateProcess 후킹 해제하여 보안 프로그램 강제 종료 시도


해당 온라인 게임 관련 악성코드의 드로퍼는 다음 보안 소프트웨어와 시스템 모니터링 툴의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.



그리고 윈도우 레지스트리(Registry)를 편집하여 다음과 같은 기능을 활성하게 된다.


"숨김 파일 및 폴더를 표시 안함" 설정

세팅하여 "알려진 파일 형식의 파일 확장명 숨기기" 설정


이와 함께 2개의 스레드(Thread)를 생성하여 다음의 기능들을 수행하게 된다.


1) usp10.DLL 생성

드로퍼는 두 개의 PE 파일을 포함하고 있으며, 첫 번째 스레드는 악의적인 usp10.DLL을 C 드라이브를 제외한 모든 드라이브의 모든 폴더에 EXE 파일이 존재하는지 확인 후 해당 DLL 파일을 생성하게 된다. 


그 후 해당 EXE 파일들이 실행 될 경우, 윈도두 시스템 폴더(System32) 폴더에 존쟇는 정상 DLL 파일 대신에 해당 악의적인 usp10.DLL을 먼저 로드 하게 된다. 


2) 다른 악성코드 다운로드 및 정보 유출

두 번째 스레드는 미국에 위치한 특정 시스템에서 다른 악성코드를 다운로드 및 실행 하게 된다.그리고 미국에 위치한 또 다른 특정 시스템으로 감염된 시스템의 MAC 주소와 운영체제 정보를 전송하게 된다.


드로퍼에 의해 생성된 usp10.DLL은 윈도우 시스템 폴더(System32)에 존재하는 정상 usp10.DLL을 로드 한 뒤, 정상 usp10.DLL의 익스포트(Export) 함수들을 리다이렉트(Redirect) 시키게 된다. 그리고 다른 악성코드를 다운로드 및 실행을 시도하나 분석 당시에는 정상적으로 다운로드 되지 않았다. 이와 함께 UnmapViewOfSection이나 ExitProcess를 호출하여 보안 소프트웨어의 프로세스에 대한 강제 종료를 시도하게 된다.


이 번에 발견된 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 온라인 게임 관련 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Win32.OnlineGameHack

Trojan/Win32.OnlineGameHack

Dropper/Win32.OnlineGameHack


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다.


특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다.


10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 "군환경교육계획(2012).hwp (1,044,996 바이트)"와 "우리도 항공모함을 갖자.hwp (240,285 바이트)"의 파일명으로 유포되었다.


취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다.




해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다.


첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 "system32.dll (65,536 바이트)" 가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll 


그리고 다시 "taskmon.exe (15,048 바이트)"를 아래 경로에 추가적으로 생성하여, 시스템이 재부팅하더라도 자동 실행하게 구성한다.


C:\Documents and Settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskmon.exe 


추가적으로 생성된 taskmon.exe는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그리고 추가적으로 다음의 악의적인 기능들을 수행하게 된다.


CMD.EXE 실행 후 콘솔 명령 실행

감염된 시스템의 윈도우 운영체제 정보 수집

원격에서 공격자가 지정한 명령 수행


두 번째 취약한 한글 파일인 우리도 항공모함을 갖자.hwp 을 열게 되면, 백그라운드로 "hncctrl.exe (164,352 바이트)" 가 다음 경로에 생성 된다. 


c:\documents and settings\tester\local settings\temp\hncctrl.exe 


그리고 다시 "svchost.exe (131,584 바이트)"를 아래 경로에 추가적으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


svchost.exe 는 윈도우 레지스트리에 다음 키 값을 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.


 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Network = C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


추가적으로 생성된 svchost.exe 는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 


그리고 감염 된 시스템에서 다음 보안 프로그램들의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.


DaumCleaner.exe

hcontain.exe

vrmonnt.exe

ALYac.exe

AYAgent.exe

ALYac.aye

AYAgent.aye


이 외에 감염된 시스템의 운영체제 로그인을 위한 사용자계정명과 암호를 수집하여, 국내 유명 포털 웹 사이트에서 제공하는 이메일 서비스를 이용하여 해당 정보를 유출하게 된다.


이 번에 발견된 국방 관련 내용을 가지고 있는 취약한 한글 파일들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Locker.65536

Trojan/Win32.Agent

Win-Trojan/Backdoor.15048


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

10월 17일 ASEC에서는 윈도우 도움말(HLP) 파일을 이용해 내부 정보들을 탈취하기 위한 목적으로 제작된 악성코드가 국내에 유포 된 것을 발견하였다.


이번에 윈도우 도움말 파일을 이용하여 유포된 악성코드는 아래 이미지와 동일하게 이메일의 첨부 파일 형태로 유포되었다.



유포된 이메일은 "쟁점 Q&A 통일외교"와 "전략보고서"라는 제목을 가지고 있는 2가지 형태이며 공통적으로 메일 본문에는 아무런 내용이 존재하지 않는다.


그리고 메일을 보낸 송신인은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스를 이용해 동일한 메일 주소를 사용하고 있다.


유포된 이메일에는 총 2가지 형태의 "쟁점Q&A 통일외교.zip (62,247 바이트)"와 "전략보고서.zip (61,742 바이트)" 의 첨부 파일이 존재하며, 압축 파일의 압축을 풀게 되면 "쟁점Q&A 통일외교.hlp (129,883 바이트)"와 "전략보고서.hlp (129,375 바이트)" 이 생성된다.


생성된 해당 HLP 파일들을 실행하게 되면 아래 이미지와 동일한 내용이 보여지게 된다.




그리고 해당 HLP 파일들에 의해 백그라운드로 아래의 경로에 동일한 "winnetsvr.exe (114,688 바이트)" 파일을 생성하고 실행하게 된다.


C:\WINDOWS\Temp\winnetsvr.exe 


생성된 winnetsvr.exe 파일은 다음의 윈도우 레지스트리 키를 생성하여 "Windows Kernel Srv" 명칭의 윈도우 서비스로 실행되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Windows Kernel Srv\

ImagePath = "C:\WINDOWS\Temp\winnetsvr.exe"


그리고 감염된 시스템에서 다음의 정보들을 수집하여 외부 네트워크에 존재하는 특정 시스템으로 수집한 정보들을 전송하게 된다. 


감염된 시스템의 IP

감염된 시스템의 프록시(Proxy) IP

사용자 계정명

감염된 시스템의 운영체제 정보

HTTP를 이용한 파일 업로드 및 다운로드

CMD.exe를 이용한 콘솔 명령 실행


이 번에 발견된 윈도우 도움말 파일을 이용해 유포된 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


HLP/Exploit

Trojan/Win32.Agent


그리고 향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit


앞서 언급한 바와 같이 이번에 유포된 악성코드는 외부 메일 서비스를 이용하여 내부 임직원들에게 유포되었다. 그러므로 잘 모르는 메일 주소나 송신인이 보낸 메일에 첨부된 파일들은 실행 시에 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원