압축

압축 툴마다 압축해제 방식의 차이를 이용한 공격기법 (WinRAR 사용유도)

ASEC 분석팀은 3월 23일 비 정상적인 압축 악성 파일이 메일을 통해 유포되고 있음을 확인하였다. 메일의 내용은 아래의 그림과 같고, 첨부파일은 ZIP 확장자이나, “Use Winrar.” 라는 문구를 포함하여 특정 압축해제 프로그램으로 압축해제를 유도한다. [그림  .1]  메일로 유포된 압축 파일 형태의 악성코드 압축된 악성 코드가 메일을 통해 유포되는 방식은 이전부터 알려진 방식이다. 그러나 해당 메일의 경우 사용자에게 [그림 1.]의 빨간 글씨(Use Winrar)와 같이 ‘WinRAR’로 압축 해제할 것을 유도한다. 해당 방식으로 유포된 샘플은 현재까지 총 2가지 이름으로 확인되었다. MV_GLOVIS_B35C_191850_12_02_2020.zip Scan_Covid19_2020.zip 아래 설명부터는 코로나 이름과 관련된…

ISO파일 첨부 악성코드 유포 주의

안티바이러스 제품의 진단을 우회하기 위해 이메일에 첨부한 악성코드의 포맷을 실행파일에서 압축(zip)포맷으로 악성코드를 유포하던 제작자들이 파일 포맷을 ZIP에서 ISO 포맷으로 변경한 것을 확인하였다. [그림-1] ISO 파일 포맷으로 악성코드를 유포하는 이메일 ISO파일은 국제 표준화 기구에서 제정한 CD-ROM 매체를 위한 파일 시스템으로 디렉터리로 파일을 관리 한다. 해당 구조는 표준화가 되어있어 운영 체제가 이에 대응하고 있으면 CD-ROM으로 인식하여 읽어낼 수 있다. ZIP 포맷에서 ISO 포맷으로 변경된 배경은 Windows8 이전 버전에서는 별도의 프로그램이 설치되어있어야 CD-ROM으로 인식 후 실행 가능하였지만, Windows8 마일스톤 버전에서 추가된 기능에 의해 자동으로 ISO 이미지가 CD-ROM으로 마운트 되어 아래 그림과 같이 동작한다. [그림-2] Windows8 이상 버전에서 자동으로 마운트 되어 실행되는 ISO 파일 별도의 설정 없이 사용자가 내부 파일을 실행할 수 있으며, 상기 그림과 같이 문서파일 아이콘으로 위장하고 있는 실행파일은 사용자가 주의하지 않는다면 오인하고…