최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다.
[그림 1] PDF 파일 내용
해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 “이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포“와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다.
이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다.
방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다.
[그림 2] 이메일 첨부파일
“업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf” 파일을 실행하면 아래와 같이 파일과 레지스트리 키를 생성하여 webios.dll 파일이 6to4 Manager 이름으로 서비스에 등록되어 시스템 시작 시 마다 자동 실행되도록 한다.
[파일 생성]
C:Documents and Settings[사용자 계정명]Local SettingsTempAdobeARM.dll
C:WINDOWSsystem32webios.dll
C:WINDOWSsystem32wdiguest.dll
[레지스트리 등록]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices6to4ParametersServiceDll
“C:WINDOWSsystem32webios.dll”
[그림 3] 6to Manager 서비스 등록 상태
webios.dll 파일과 wdiguest.dll 파일은 동일한 파일이며, webios.dll 파일은 svchost.exe 프로세스에 로드 되어 동작하며, 미국에 위치하는 C&C 서버로 주기적으로 접속을 시도하는 것으로 확인된다.
hxxp://yy**.**.nu (173.2**.***.202, US)
[그림 4] 173.2**.***.202 접속 시도 패킷
C&C 서버와 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅과 원격 제어 등의 기능을 수행하게 된다.
V3 제품에서는 아래와 같이 진단이 가능하다.
PDF/Exploit
Trojan/Win32.Dllbot
Win-Trojan/Dllbot.8704.E
Categories:악성코드 정보