.jpg)
.gif)
이메일 전송 기능까지 갖춘 복합기, 공격 플랫폼으로 악용돼
예상치 못한 메일 왔다면 삭제...멀티레이어 보안 원칙 지켜져야
[보안뉴스 문가용 기자] HP, 캐논, 엡손 등 대형 프린터 메이커들로부터 온 것 같은 가짜 이메일이 수백만 사용자들을 감염시키고 있다고 보안 업체 바라쿠다(Barracuda)가 밝혔다. “이제는 프린터가 단순 프린터가 아니라 문서 스캐너이면서 복사기이고, 이메일 전송 기능까지 갖추고 있기 때문에 발생하는 일”이라고 서문을 열었다.
[이미지 = iclickart]
바라쿠다는 “최근 공격자들은 극도로 발전된 프린터의 기능을 악용해, 마치 프린터에서 발송된 이메일처럼 보이는 악성 이메일을 보내는 공격을 일삼고 있다”며 “특히 PDF 파일을 첨부하는 방식을 선호한다”고 설명한다. “PDF 파일은 무기화시키기에 편리한 포맷이거든요. PDF 속에 악성 페이로드를 심어 열어본 사람들을 감염시키는 것이죠.”
바라쿠다는 11월 말부터 프린터와 스캐너 복합기를 스푸핑하는 사이버 범죄 행위를 추적해왔다고 한다. 공격 시도가 수백만에서 수천만 건에 다다를 정도로 방대하기 때문에 추적을 하지 않을 수가 없었다며, 이러한 시도가 현재 엄청나게 진행되고 있음을 시사했다.
“마치 프린터로부터 발송된 것처럼 보이기 위해 이메일 제목은 거의 항상 ‘Scanned from HP’ 혹은 ‘Scanned from Epson’ 따위로 작성되어 있습니다. 회사 이름만 살짝 살짝 바뀝니다. 그리고 이메일 안에는 악성 첨부파일이 있는데, 탐지 방해 기술도 덧입고 있어서 기존 보안 솔루션들을 성공적으로 비껴갑니다.” 이 탐지 방해 기술들이란 다음과 같다.
1) 파일 이름 확장자 바꾸기 : 보통 프린터를 통해 이메일로 전달되는 파일들은 .jpg나 .txt, .pdf와 같은 확장자를 가지고 있다. 공격자들이 악성코드를 주로 숨기는 것도 바로 이러한 파일들이다. 익숙한 파일 유형에 대해 사용자들은 의심을 내려놓는다. 그래서 공격자들은 WinRAR 파일 확장자 스푸핑과 같은 기법을 다양하게 동원해 확장자를 진짜처럼 바꿔놓는다.
파일 확장자를 공격하면 일부 보안 솔루션과 이메일 방어 장치를 피해가는 것도 가능하다. 그렇기에 이러한 악성 이메일이 걸러지지 않고 사용자의 편지함에 도달하게 되는 것이다.
2) 원격 파일 다운로드 : 사용자가 악성 파일을 클릭하면 멀웨어가 발동하는데, 그 기능 자체는 ‘악성’이 아니다. 단지 공격자들이 특별히 마련한 서버와 통신 채널을 마련한다. 즉 공격자들을 위한 ‘문’의 기능만을 수행하는 것이다. 공격자들은 이 문(백도어라고도 한다)을 통해 사용자의 행동 패턴을 감시하고, 환경설정을 훔쳐내고, 중요한 파일들을 복사해간다. 그런 기능들을 수행할 수 있는 추가 멀웨어를 다운로드 받기도 한다.
3) 사용자 배경화면 조작 : 공격자들은 셸 명령어를 사용해 사용자의 배경화면을 바꿀 수 있다. 이미지 파일을 업로드 시키기 위한 공작이다. 물론 여기서 말하는 이미지 파일은 악성 파일이다.
4) 사용자/도메인 공유 폴더/파일 확인 : 사용자의 시스템에 침해한 이후 공격자들은 윈도우 익스플로러와 검색 기능을 활용해 네트워크 내에서 공유된 파일이나 폴더를 찾는다. 크리덴셜을 포함하고 있는 XML 파일들에 대한 SYSDOL DFS 공유를 검색하기도 한다. 그렇게 해서 권한을 상승시킨다. 관리자급으로 올라가기도 하는데, 여기서부터는 자유로운 공격이 가능해진다.
그렇다면 이러한 공격을 어떻게 막거나, 피해를 최소화할 수 있을까? 바라쿠다는 몇 가지 팁을 공개했다.
1) 예상치 못한 문건이 도착했다면, 발송자를 확인하거나 아예 삭제한다.
2) 하이퍼링크를 클릭하기 전에 ‘마우스오버’부터 하는 습관을 가져라. 그리고 주소가 정상인지 확인해야 한다.
3) 사용자 훈련과 보안 인식 제고를 위해 평상시에도 끊임없이 교육하고 가르치고 시험해야 한다. 피싱 시뮬레이션의 효과가 좋다.
교육만으로도 안 되고, 솔루션만으로도 해결이 안 되는 게 이 프린터/스캐너 스푸핑 공격이다. 사라쿠다는 이 둘을 조합시키면서 동시에 양질의 솔루션을 설치할 필요가 있다고 권장한다. “결국 훈련과 기술이라는 보안 방비책들을 겹겹이 쌓아두어야만 좋은 효과를 기대할 수 있습니다. 지금의 보안 사고들은 이러한 ‘멀티레이어’를 제대로 갖추지 않고 있어서 생기고 있다고도 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
예상치 못한 메일 왔다면 삭제...멀티레이어 보안 원칙 지켜져야
[보안뉴스 문가용 기자] HP, 캐논, 엡손 등 대형 프린터 메이커들로부터 온 것 같은 가짜 이메일이 수백만 사용자들을 감염시키고 있다고 보안 업체 바라쿠다(Barracuda)가 밝혔다. “이제는 프린터가 단순 프린터가 아니라 문서 스캐너이면서 복사기이고, 이메일 전송 기능까지 갖추고 있기 때문에 발생하는 일”이라고 서문을 열었다.
[이미지 = iclickart]
바라쿠다는 “최근 공격자들은 극도로 발전된 프린터의 기능을 악용해, 마치 프린터에서 발송된 이메일처럼 보이는 악성 이메일을 보내는 공격을 일삼고 있다”며 “특히 PDF 파일을 첨부하는 방식을 선호한다”고 설명한다. “PDF 파일은 무기화시키기에 편리한 포맷이거든요. PDF 속에 악성 페이로드를 심어 열어본 사람들을 감염시키는 것이죠.”
바라쿠다는 11월 말부터 프린터와 스캐너 복합기를 스푸핑하는 사이버 범죄 행위를 추적해왔다고 한다. 공격 시도가 수백만에서 수천만 건에 다다를 정도로 방대하기 때문에 추적을 하지 않을 수가 없었다며, 이러한 시도가 현재 엄청나게 진행되고 있음을 시사했다.
“마치 프린터로부터 발송된 것처럼 보이기 위해 이메일 제목은 거의 항상 ‘Scanned from HP’ 혹은 ‘Scanned from Epson’ 따위로 작성되어 있습니다. 회사 이름만 살짝 살짝 바뀝니다. 그리고 이메일 안에는 악성 첨부파일이 있는데, 탐지 방해 기술도 덧입고 있어서 기존 보안 솔루션들을 성공적으로 비껴갑니다.” 이 탐지 방해 기술들이란 다음과 같다.
1) 파일 이름 확장자 바꾸기 : 보통 프린터를 통해 이메일로 전달되는 파일들은 .jpg나 .txt, .pdf와 같은 확장자를 가지고 있다. 공격자들이 악성코드를 주로 숨기는 것도 바로 이러한 파일들이다. 익숙한 파일 유형에 대해 사용자들은 의심을 내려놓는다. 그래서 공격자들은 WinRAR 파일 확장자 스푸핑과 같은 기법을 다양하게 동원해 확장자를 진짜처럼 바꿔놓는다.
파일 확장자를 공격하면 일부 보안 솔루션과 이메일 방어 장치를 피해가는 것도 가능하다. 그렇기에 이러한 악성 이메일이 걸러지지 않고 사용자의 편지함에 도달하게 되는 것이다.
2) 원격 파일 다운로드 : 사용자가 악성 파일을 클릭하면 멀웨어가 발동하는데, 그 기능 자체는 ‘악성’이 아니다. 단지 공격자들이 특별히 마련한 서버와 통신 채널을 마련한다. 즉 공격자들을 위한 ‘문’의 기능만을 수행하는 것이다. 공격자들은 이 문(백도어라고도 한다)을 통해 사용자의 행동 패턴을 감시하고, 환경설정을 훔쳐내고, 중요한 파일들을 복사해간다. 그런 기능들을 수행할 수 있는 추가 멀웨어를 다운로드 받기도 한다.
3) 사용자 배경화면 조작 : 공격자들은 셸 명령어를 사용해 사용자의 배경화면을 바꿀 수 있다. 이미지 파일을 업로드 시키기 위한 공작이다. 물론 여기서 말하는 이미지 파일은 악성 파일이다.
4) 사용자/도메인 공유 폴더/파일 확인 : 사용자의 시스템에 침해한 이후 공격자들은 윈도우 익스플로러와 검색 기능을 활용해 네트워크 내에서 공유된 파일이나 폴더를 찾는다. 크리덴셜을 포함하고 있는 XML 파일들에 대한 SYSDOL DFS 공유를 검색하기도 한다. 그렇게 해서 권한을 상승시킨다. 관리자급으로 올라가기도 하는데, 여기서부터는 자유로운 공격이 가능해진다.
그렇다면 이러한 공격을 어떻게 막거나, 피해를 최소화할 수 있을까? 바라쿠다는 몇 가지 팁을 공개했다.
1) 예상치 못한 문건이 도착했다면, 발송자를 확인하거나 아예 삭제한다.
2) 하이퍼링크를 클릭하기 전에 ‘마우스오버’부터 하는 습관을 가져라. 그리고 주소가 정상인지 확인해야 한다.
3) 사용자 훈련과 보안 인식 제고를 위해 평상시에도 끊임없이 교육하고 가르치고 시험해야 한다. 피싱 시뮬레이션의 효과가 좋다.
교육만으로도 안 되고, 솔루션만으로도 해결이 안 되는 게 이 프린터/스캐너 스푸핑 공격이다. 사라쿠다는 이 둘을 조합시키면서 동시에 양질의 솔루션을 설치할 필요가 있다고 권장한다. “결국 훈련과 기술이라는 보안 방비책들을 겹겹이 쌓아두어야만 좋은 효과를 기대할 수 있습니다. 지금의 보안 사고들은 이러한 ‘멀티레이어’를 제대로 갖추지 않고 있어서 생기고 있다고도 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)