바로가기(LNK) ‘파일 압축형 공격’, ‘LNK’, ‘CHM’ 등 파일 확장자 및 ‘화살표’ 포함 여부 확인
[보안뉴스 이소미 기자] ‘2023년 북한 정세 평가 및 2024년 전망’ 행사 안내장을 사칭해 문서처럼 속여 해킹 공격을 수행한 징후가 포착됐다. 공격자들은 성공률을 높이기 위해 해당 행사가 진행되기 전인 지난해 12월 28일 다음과 같이 ‘신뢰 기반 접근 전략’ 공격을 수행했다.
▲정상 이메일과 악성 이메일 비교 화면[이미지=지니언스]
지니언스 시큐리티 센터(이하 GSC)는 해당 공격이 전형적인 스피어 피싱 공격 수법으로 시즌에 특화된 공격이라기보다 일상적으로 진행된 위협 캠페인의 일환으로 분석했다.
공격자는 행사 계획과 관련된 내용을 사전에 파악한 뒤 그대로 모방해 공격에 적용했는데 실제 배포된 정상 이메일 내용과 비교·분석한 결과, 본문 하단에 포함된 정상적인 사전등록 신청용 구글 설문지 폼(forms.gle) 주소와 비슷하게 안내장 링크를 조작했다. 이처럼 사용자를 현혹해 안내장 링크로 위장해 악성 파일 유포를 시도한 것이다.
정상 이메일에는 PDF 첨부 파일 및 행사 안내 이미지 그리고 본문 하단 사전등록 신청용 URL 주소 1개가 존재한다. 반면, 악성 이메일에는 본문 내 이미지 화면이나 첨부파일 없이 안내장 링크로 위장한 URL 주소가 추가로 기재돼 있다.
▲스피어 피싱 공격 흐름도[이미지=지니언스]
‘사칭 안내장 링크’를 클릭하게 되면, 드롭박스(DropBox) 콘텐츠를 통해 ‘제73차 통일전략포럼 안내장.zip’ 파일이 다운로드 된다. 다운로드된 파일에는 ‘제73차 통일전략포럼 안내장.lnk’ 바로가기 유형의 악성 파일이 포함돼 있다. 보통 바로가기(LNK) 유형의 파일은 커맨드(cmd.exe) 화면과 같은 별도의 응용 프로그램 조건이 아닌 일반적인 Windows OS 환경에서 확장자가 바로 보이지 않는다. 이는 바로가기 유형 공격은 주로 LNK 파일을 압축해 전달하는 수법에 활용되는 편이기 때문이다.
따라서 이메일 첨부 파일 등으로 전달된 ‘압축 파일’의 경우 내부에 포함된 파일 확장자를 주의 깊게 살펴보는 것도 하나의 예방책이 될 수 있다. 특히 ‘LNK’, ‘CHM’ 등을 포함해 다양한 스크립트(‘JSE’, ‘JS’, ‘WSF’ ‘HTML’ 등) 파일은 각별히 주의해야 한다.
또한 압축 파일 내부에 포함된 LNK 파일은 단일 확장자로 아이콘 좌측 하단에 작은 화살표가 포함된 상태로 PDF 문서(Microsoft Edge PDF Document)처럼 조작돼 있다. 이처럼 아이콘에 화살표가 포함된 여부로도 바로가기 유형의 파일인 점을 인지할 수 있다. 공격자는 사용자를 안심시키기 위해 아이콘 리소스를 다양한 형태로 변경할 수 있다.
▲압축 해제 후 나타난 바로가기 파일 및 악성 LNK 파일에 포함된 정상 PDF 문서 화면[이미지=지니언스]
LNK 파일은 속성 정보를 통해 대상 명령줄 확인이 가능하지만, 필드 문자 제한 260자를 넘어서면 속성창에서 확인이 어렵게 된다. 공격자는 이러한 특성을 악용해 의도적으로 긴 악성 명령줄을 사용하거나 공백 문자열 삽입 등으로 원하는 명령을 숨기거나 실행할 수 있다. 바로가기 유형 악성 파일 내 포함된 명령어로 64비트 Windows 환경에 포함된 PowerShell 명령을 호출한다. 명령어는 바로가기 파일의 전체 크기인 ‘53,912,809 바이트’ (0x0336A4E9)를 먼저 확인한 다음 오프셋 (0x000018E2) 시작 위치부터 (0x000CEEAC) 크기만큼 읽어 들여 기존 악성 LNK 파일을 PDF 문서로 교체하는데 이 값이 실제 정상 문서 화면을 보여주는 ‘미끼 파일’로 사용된다.
▲PDF 아이콘 선택 화면 및 공용 폴더에 생성된 악성 파일 모습[이미지=지니언스]
이어 오프셋 (0x000D078E) 위치에서 (0x00000BFB) 크기만큼 읽어 공용 폴더(%Public%) 경로에 ‘public.dat’ 파일로 생성한다. 그리고 오프셋 (0x000D1389) 위치에서 (0x000000FA) 크기만큼 읽어 공용 폴더(%Public%) 경로에 ‘241223.bat’ 파일명으로 생성·실행한다.
‘iconlocation’ 정보는 64비트 환경의 Edge 경로 아이콘 리소스로 지정해 PDF 문서처럼 보이도록 설정했는데 바로가기 악성 파일이 실행되는 과정 중 공용 폴더(%Public%) 경로에 생성된 ‘public.dat’, ‘241223.bat’ 파일을 확인할 수 있다. 추가 파일 흐름에 따라 ‘public.dat’ 파일 생성 이후 ‘241223.bat’ 파일이 생성되고 실행되는 순서를 거친다. ‘public.dat’ 파일 내부에는 HEX 데이터로 구성된 ScriptBlock 코드가 존재하고 이 값이 ASCII 문자열로 변환돼 사용된다. 여기서 ‘public.dat’ 파일은 ‘241223.bat’ 배치 파일에 의해 PowerShell 명령이 호출·실행된다.
드롭박스(DropBox) 콘텐츠 주소로 연결된 ‘hybrid.zip’ 파일은 마치 압축 파일처럼 보이는데 실상은 0x60 키로 암호화(XOR)된 ‘32비트 EXE 파일’이다. 실제 페이로드(Payload) 기능을 가진 암호화된 ‘hybrid.zip’ 파일이 자체 복호화 과정을 통해 코드가 변환되는데 이는 파일리스(Fileless) 기반으로 작동하는 ROKRAT(APT37 그룹) 유형의 변종 악성 파일이다. 해당 공격은 메모리상에서의 정보탈취 기능이 작동되므로 단말에 위협요소가 유입된 초기 시점부터 네트워크 이상 행위 흐름을 사전에 효과적으로 탐지하는 게 중요하다.
암호화된 ROKRAT 파일은 보통 메인함수를 통해 데이터 수집 기능이 포함되는데 기본적으로 ‘컴퓨터명’과 ‘이용자명’뿐만 아니라 감염 단말의 주요 정보까지 수집한다. SMBiosData(System Management BIOS), System Manufacturer 확인을 통해서는 컴퓨터 유형 및 시스템 제조업체 모델 등 다양한 항목 식별에 사용되는데 이는 공격자가 원하는 단말 대상 여부를 확인하고 그에 따른 추가 명령을 내리는 데 활용된다.
공격자는 감염 단말의 파일 목록 체크를 통해 설치된 프로그램 데이터 및 정보 조회 등을 수행한다. 더불어 감염 단말에 ‘360Tray.exe’ 프로세스 실행 여부를 확인하는데, 이는 중국의 ‘360 Total Security’ 제품 모듈로 알려져 있다. 단말에 저장된 특정 확장명의 대상을 수집하는데 [.XLS], [.DOC], [.PPT], [.TXT], [.M4A], [.AMR], [.PDF], [.HWP] 파일들로 주요 문서 유형과 스마트폰 녹음 파일들이 포함돼 있다.
공격자는 명령제어(C2) 서버로 ‘pCloud’ 서비스를 이용하는데 구글 ‘nanhaii815@gmail.com’ 계정으로 가입했다고 보고된 바 있다. 해당 공격은 단말에 존재하는 주요 정보를 수집·유출할 수 있으며 지정된 명령으로 추가 공격이 가능하고, 이를 통해 원격제어 등의 추가 피해로 이어질 수 있다고 분석됐다.
GSC는 해당 공격은 누구나 가입 가능한 클라우드 웹 서비스가 위협 인프라로 지속 사용되고 있다는 점에 주목할 필요가 있다고 전했다. 기업·기관의 보안 관리자는 악용 사례가 확인된 클라우드 서비스의 내부 네트워크 통신 이력을 수시로 조회하고, 보다 능동적으로 위협 헌팅을 통해 조기대응 활용이 가능하다고 강조했다.
한편, 지니언스는 ‘Genian EDR’ 솔루션을 통해 △네트워크 이상 위 통신 탐지 △압축 해제 단계 탐지 △PowerShell 명령 통해 클라우드 통신 시도 행위 탐지 등으로 해당 공격에 대응할 수 있다고 밝혔다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>