드라마·영화 파일 이어 음란 동영상 악용한 악성코드 유포행위 발견
유니코드 RLO 기법으로 악성 실행파일 아닌 것처럼 위장
명령제어 서버 잠복상태...추가 명령 내려 디도스 공격, 개인정보 유출 가능성
[보안뉴스 권 준 기자] 최근 문재인 대통령의 몰래카메라(이하 몰카) 근절대책 마련 지시로 인해 몰카의 심각성이 재조명되고 있는 가운데 최근 음란 동영상을 악용한 악성코드 유포 행위가 발견되어 각별한 주의가 요구되고 있다.
▲ 토렌트를 통해 유포되는 음란 동영상으로 위장한 악성코드 모습[자료=순천향대 SCH사이버보안연구센터]
얼마 전 토렌트 사이트 등에서 불법 다운로드 되고 있는 최신 드라마와 영화 파일에 악성코드가 삽입된 행위가 포착된 데 있어 이번에는 음란 동영상으로 위장한 악성코드가 유포되고 있는 것으로 드러났다.
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에 따르면 사용자간 파일 공유 프로그램인 토렌트를 통해 음란 동영상으로 위장한 악성코드가 유포되고 있는 것으로 밝혀졌다.
공유 프로그램 사이트에 게시된 음란 동영상으로 위장한 악성코드들은 성적으로 자극적인 파일 이름으로 다수 사용자들의 다운로드를 유도하고 있다.
▲ 악성코드에 의해 생성되고 실행되는 실제 음란 동영상 모습[자료=순천향대 SCH사이버보안연구센터]
공격자들은 토렌트를 통해 해당 악성코드를 유포하는데, 악성코드를 음란 동영상으로 위장하기 위해 유니코드 RLO(Right to Left Override) 기법을 활용한 확장자 변조 기법을 통해 실행 파일 확장자(.exe)를 동영상 확장자(.MP4, .WMV 등)로 보이도록 하는 것으로 분석됐다.
국내에서 널리 사용되는 동영상 플레이어와 같은 아이콘으로 위장해 사용자들을 속이고 있다는 게 SCH사이버보안연구센터 측의 설명이다. 특히, 파일을 실행할 경우 실제 음란 동영상을 특정 폴더에 생성하고 재생함으로써 사용자들이 실행한 파일이 악성코드라는 것을 인지하지 어렵게 하는 것으로 알려졌다.
악성코드를 음란 동영상으로 위장하는데 사용한 유니코드 RLO 기법은 실행 파일을 다른 확장자인 것처럼 보이게 하는 방식이다. 예를 들어, 파일명 일부를 오른쪽에서 왼쪽으로 읽게 하는 기법이다. 실제 ‘파일명iva.exe’이지만 Unicode RLO 기법을 이용하면 ‘파일명exe.avi’가 되어 악성 실행 파일이 아닌 것처럼 위장할 수 있다. 실행 확장자 exe 이외에 scr 확장자로도 악성코드가 유포되고 있다.
이번에 악용된 악성코드 해쉬값은 7e46772966a4fc6fb4d31d5cf238d610, 10cdf2fbc77b2d5fa80f5c6570ec5d24, 178cd350a2774ee63d138048f88a8e11, e5d4a787acfcb8b32436b4c60e34abb6 등으로 분석됐다.
SCH사이버보안연구센터는 악성코드가 여러 다른 이름으로 서로 다른 용량을 갖는 동영상 파일로 유포되고 있음을 확인했다고 밝혔다. 재생되는 음란 동영상은 각기 다르지만 동일한 악성 행위를 수행하게 되는데, 컴퓨터를 재시작하면 음란 동영상이 다시 실행되어 사용자를 당황하게 만드는 것으로 드러났다.
▲ 암호화된 사용자의 PC 환경에 대한 정보를 공격자의 서버로 전송하는 코드
[자료=순천향대 SCH사이버보안연구센터]
▲ 악성 파일을 다운로드하고 실행하는 코드[자료=순천향대 SCH사이버보안연구센터]
해당 악성코드는 자동실행 등록을 통해 상시적으로 메모리에 상주하며 이용자의 PC 환경에 대한 정보를 공격자 명령제어 서버로 전송한다. 공격자가 지정한 프로세스를 강제 종료할 수 있다. 또한, 명령제어 서버에서 악성 파일을 다운로드하고 이를 실행하여 사용자의 PC를 악성코드에 감염된 ‘좀비PC’로 만든다.
순천향대 SCH사이버보안연구센터 김동현 연구생은 “최근 음란 동영상으로 위장한 다수의 악성코드가 지속적으로 유포되고 있다. 현재 관련 악성코드의 명령제어 서버가 특별한 명령을 내리고 있지 않고 있어 잠복 상태에 있다. 그러나 공격자가 명령을 내려서 감염된 좀비 PC들을 활용하여 디도스 공격, 개인정보 유출 등 추가적인 악성 행위를 수행할 수 있다”며, “신뢰할 수 없는 토렌트를 통해 다운로드 받은 음란 동영상 파일은 함부로 실행하지 말아야 하고, 항상 주의를 기울여야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
유니코드 RLO 기법으로 악성 실행파일 아닌 것처럼 위장
명령제어 서버 잠복상태...추가 명령 내려 디도스 공격, 개인정보 유출 가능성
[보안뉴스 권 준 기자] 최근 문재인 대통령의 몰래카메라(이하 몰카) 근절대책 마련 지시로 인해 몰카의 심각성이 재조명되고 있는 가운데 최근 음란 동영상을 악용한 악성코드 유포 행위가 발견되어 각별한 주의가 요구되고 있다.
▲ 토렌트를 통해 유포되는 음란 동영상으로 위장한 악성코드 모습[자료=순천향대 SCH사이버보안연구센터]
얼마 전 토렌트 사이트 등에서 불법 다운로드 되고 있는 최신 드라마와 영화 파일에 악성코드가 삽입된 행위가 포착된 데 있어 이번에는 음란 동영상으로 위장한 악성코드가 유포되고 있는 것으로 드러났다.
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에 따르면 사용자간 파일 공유 프로그램인 토렌트를 통해 음란 동영상으로 위장한 악성코드가 유포되고 있는 것으로 밝혀졌다.
공유 프로그램 사이트에 게시된 음란 동영상으로 위장한 악성코드들은 성적으로 자극적인 파일 이름으로 다수 사용자들의 다운로드를 유도하고 있다.
▲ 악성코드에 의해 생성되고 실행되는 실제 음란 동영상 모습[자료=순천향대 SCH사이버보안연구센터]
공격자들은 토렌트를 통해 해당 악성코드를 유포하는데, 악성코드를 음란 동영상으로 위장하기 위해 유니코드 RLO(Right to Left Override) 기법을 활용한 확장자 변조 기법을 통해 실행 파일 확장자(.exe)를 동영상 확장자(.MP4, .WMV 등)로 보이도록 하는 것으로 분석됐다.
국내에서 널리 사용되는 동영상 플레이어와 같은 아이콘으로 위장해 사용자들을 속이고 있다는 게 SCH사이버보안연구센터 측의 설명이다. 특히, 파일을 실행할 경우 실제 음란 동영상을 특정 폴더에 생성하고 재생함으로써 사용자들이 실행한 파일이 악성코드라는 것을 인지하지 어렵게 하는 것으로 알려졌다.
악성코드를 음란 동영상으로 위장하는데 사용한 유니코드 RLO 기법은 실행 파일을 다른 확장자인 것처럼 보이게 하는 방식이다. 예를 들어, 파일명 일부를 오른쪽에서 왼쪽으로 읽게 하는 기법이다. 실제 ‘파일명iva.exe’이지만 Unicode RLO 기법을 이용하면 ‘파일명exe.avi’가 되어 악성 실행 파일이 아닌 것처럼 위장할 수 있다. 실행 확장자 exe 이외에 scr 확장자로도 악성코드가 유포되고 있다.
이번에 악용된 악성코드 해쉬값은 7e46772966a4fc6fb4d31d5cf238d610, 10cdf2fbc77b2d5fa80f5c6570ec5d24, 178cd350a2774ee63d138048f88a8e11, e5d4a787acfcb8b32436b4c60e34abb6 등으로 분석됐다.
SCH사이버보안연구센터는 악성코드가 여러 다른 이름으로 서로 다른 용량을 갖는 동영상 파일로 유포되고 있음을 확인했다고 밝혔다. 재생되는 음란 동영상은 각기 다르지만 동일한 악성 행위를 수행하게 되는데, 컴퓨터를 재시작하면 음란 동영상이 다시 실행되어 사용자를 당황하게 만드는 것으로 드러났다.
▲ 암호화된 사용자의 PC 환경에 대한 정보를 공격자의 서버로 전송하는 코드
[자료=순천향대 SCH사이버보안연구센터]
▲ 악성 파일을 다운로드하고 실행하는 코드[자료=순천향대 SCH사이버보안연구센터]
해당 악성코드는 자동실행 등록을 통해 상시적으로 메모리에 상주하며 이용자의 PC 환경에 대한 정보를 공격자 명령제어 서버로 전송한다. 공격자가 지정한 프로세스를 강제 종료할 수 있다. 또한, 명령제어 서버에서 악성 파일을 다운로드하고 이를 실행하여 사용자의 PC를 악성코드에 감염된 ‘좀비PC’로 만든다.
순천향대 SCH사이버보안연구센터 김동현 연구생은 “최근 음란 동영상으로 위장한 다수의 악성코드가 지속적으로 유포되고 있다. 현재 관련 악성코드의 명령제어 서버가 특별한 명령을 내리고 있지 않고 있어 잠복 상태에 있다. 그러나 공격자가 명령을 내려서 감염된 좀비 PC들을 활용하여 디도스 공격, 개인정보 유출 등 추가적인 악성 행위를 수행할 수 있다”며, “신뢰할 수 없는 토렌트를 통해 다운로드 받은 음란 동영상 파일은 함부로 실행하지 말아야 하고, 항상 주의를 기울여야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
