정상적인 문서파일처럼 보이지만 실행파일 형태의 악성파일
[보안뉴스 김태형] 한국 특정인의 이력서 파일로 위장해 악성파일을 유포시키는 표적형 공격이 발견되어 주의가 필요하다.
잉카인터넷 대응팀은 29일, Unicode Character Right to Left Override(U+202E) 기법을 이용한 표적공격 정황을 포착했다고 밝혔다.
이 공격방식은 2중 확장자명의 순서를 임의로 변경해 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만드는 것으로 파악됐다.
2중 확장자로 만들어진 악성파일이 압축파일(ZIP, RAR) 내부에 포함된 경우, 확장명 앞의 3바이트를 U+202E 유니코드 포인트 RLO(Right to Left Override) HEX 값인 E2, 80, AE 값으로 조작하면 확장자 순서를 우측에서 좌측으로 변경할 수 있다.
잉카인터넷 대응팀 문종현 팀장은 “지난 10월 8일에 보고된 이번 표적공격은 한국의 특정인 이력서 파일로 위장해 유포됐다. 실제로는 자동압축해제 형식의 실행파일(SFX RAR) 형식이지만 확장자와 아이콘을 모두 DOCX MS워드 문서파일로 보이도록 조작했다”라고 설명했다.
악성파일명은 ‘김영주 이력exe.docx’ 이라는 이름으로 발견됐고, 실제로는 DOCX 문서파일이 아니라 조작된 EXE 파일이다. 유니코드로 확장자의 순서가 변경되었기 때문에 윈도우 폴더화면에서는 문서파일 확장자가 최종적으로 보여지지만 CMD 화면창에서 확인해 보면 실제로는 EXE 파일이라는 것을 확인해 볼 수 있다.
공격자는 확장자 유니코드와 아이콘을 조작해 이용자로 하여금 문서파일로 인식하게 만든 후, 실행을 유도하게 된다.
특히, 이력서 파일로 위장하여 특정 기업의 채용 구직 이메일로 둔갑한 후 표적공격에 은밀히 활용되고 있다. 실제 확장자인 EXE 형식으로 변경하면 SFX RAR 압축파일이라는 점을 확인할 수 있다.
압축 내부에는 실제 정상적인 파일인 ‘김영주 이력서.docx’ 파일과 ‘SB360.exe’ 이름의 악성파일이 동봉되어 있다. 그리고 2개의 파일은 함께 자동으로 실행되기 때문에 아래와 같은 실제 이력서 화면이 보여지고 은밀히 악성파일에 감염된다. 따라서 이용자는 정상적인 이력서 파일로 착각할 가능성이 높게 된다.
해당 이력서 내용에는 실제 특정 이용자의 개인신상 정보가 포함되어 있어 임의로 부분 모자이크 처리를 했는데, 특정인의 이력서가 외부로 유출되어 악용된 것으로 추정된다.
압축파일 내부에 포함되어 있던 ‘SB360.exe’ 파일은 VMWare Workstation 파일처럼 속성을 위장하고 있으며, 중국어로 제작되어 있다. ‘SB360.exe’ 악성파일이 실행되면[Program Files] 경로에 ‘Ruquhn aarmu’ 이름의 폴더를 생성하고 내부에 ‘Aiwinme.exe’ 이름의 악성파일을 생성하고 실행한다.
그러면 루트 드라이브에 랜덤한 4자리 숫자의 VBS 스크립트를 생성하고 실행하는데, 이 파일에 의해서 임시폴더(Temp)에 생성한 ‘SB360.exe’ 최초 생성파일을 삭제한다.
컴퓨터가 재부팅시 자동으로 실행되도록 "Ayouyc saaaea" 이름의 서비스를 등록한다. ‘Aiwinme.exe’ 악성파일은 외부의 222.73.15.115(중국), 60.254.142.32(미국) 등의 명령제어(C&C) 호스트로 접속을 시도한다. 이를 통해서 정보유출 및 추가 악성파일 설치 등 보안위협에 노출될 수 있다.
지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안취약점을 이용하지만 제로데이(Zero-Day) 공격이 아닌 경우 성공 확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
