유효한 디지털 서명 포함해 화이트리스트 기반 보안제품 우회 시도
[보안뉴스 원병철 기자] 19일 송장과 인보이스(Invoice)를 위장한 악성 이메일이 기업과 기관을 대상으로 대량 유포되고 있는 것으로 드러났다. 특히, 이번 공격은 유효한 디지털 서명을 포함함으로써 화이트리스트 기반의 보안제품 우회를 시도하고 있어 위험성이 더욱 크다. 이스트시큐리티 시큐리티대응센터(ESRC)는 국내 기업과 기관을 대상으로 한 이번 공격을 공개하고 사용자들의 각별한 주의를 요구했다.
[이미지=iclickart]
악성 메일 본문에는 어떠한 내용도 포함되어 있지 않으며, ‘송장_xxx’ 혹은 ‘인보이스 xxx’ 파일명을 가진 ‘.doc’ 혹은 ‘.xls’ 파일만이 첨부되어 있다. 특이한 점은 송장을 사칭한 이메일의 헤더를 수정해 발신 날짜를 2018년으로 조작했다는 사실이다.
▲송장 및 인보이스 사칭 이메일[이미지=ESRC]
사용자가 첨부되어 있는 악성 파일을 실행할 경우, 매크로를 활성화하라는 안내창이 뜬다. 만약 사용자가 매크로 기능을 활성화 할 경우 .doc 혹은 .xls 파일 내에 있는 악성 매크로가 실행된다. 이때 ‘콘텐츠 사용’ 버튼을 누르면 공격자가 사전에 삽입해 둔 매크로가 실행되고, 명령제어(C&C) 서버에 접속한다.
이후 MSI(MicroSoft Installer)를 활용해 추가 악성코드를 사용자 PC로 수차례 다운로드 한 뒤, 최종 악성코드를 실행한다. 특히 이 과정에서 사용자 PC의 프로세스를 체크해 알려진 백신 프로그램이 실행되고 있을 경우, 백신 프로그램 프로세스 종료를 시도하는 특징도 있다.
최종으로 실행되는 악성코드에 감염될 경우 공격자가 사용자 PC를 원격제어할 수 있게 되며, 이 밖에도 사용자 정보 수집, 권한 상승 등 다양한 악성 기능을 수행하게 된다.
▲악성 매크로가 포함된 doc 파일[이미지=ESRC]
전체적인 동작 방식은 <보안뉴스>에서 보도했던 ‘삼성 모바일 전송메일 위장 원격제어 악성코드 출현’ 기사에서 나온 방식과 동일하게 ‘hxxp://185.17.120[.]235’에 접속해 악성 파일을 내려받고, 추가로 최종 페이로드인 wsus.exe 파일을 내려받는다.
▲엑셀 파일에 포함된 악성 매크로[이미지=ESRC]
하지만 이 전에 포스팅 했던 인보이스를 위장한 악성메일보다 더 진화한 점은 ‘악성 exe 파일’에 유효한 디지털 서명을 포함하고 있다는 사실이다. 공격자들은 이렇게 유효한 디지털 서명을 추가하는 방식을 통해 화이트리스트 기반의 보안제품 우회를 시도하게 된다.
▲악성 exe 파일에 포함된 유효한 디지털서명[이미지=ESRC]
ESRC는 기업 및 기관 보안 담당자들은 c2 서버인 ‘185.17.120[.]235’ 차단을 통해 피해를 최소화하고, 사용하는 백신을 항상 최신으로 유지해 달라고 당부했다. 아울러 알약에서는 해당 악성코드에 대해 ‘Trojan.Downloader.W97M.Gen, Trojan.Downloader.XLS.gen Backdoor.Agent.RAbased’로 탐지 중에 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 19일 송장과 인보이스(Invoice)를 위장한 악성 이메일이 기업과 기관을 대상으로 대량 유포되고 있는 것으로 드러났다. 특히, 이번 공격은 유효한 디지털 서명을 포함함으로써 화이트리스트 기반의 보안제품 우회를 시도하고 있어 위험성이 더욱 크다. 이스트시큐리티 시큐리티대응센터(ESRC)는 국내 기업과 기관을 대상으로 한 이번 공격을 공개하고 사용자들의 각별한 주의를 요구했다.
[이미지=iclickart]
악성 메일 본문에는 어떠한 내용도 포함되어 있지 않으며, ‘송장_xxx’ 혹은 ‘인보이스 xxx’ 파일명을 가진 ‘.doc’ 혹은 ‘.xls’ 파일만이 첨부되어 있다. 특이한 점은 송장을 사칭한 이메일의 헤더를 수정해 발신 날짜를 2018년으로 조작했다는 사실이다.
▲송장 및 인보이스 사칭 이메일[이미지=ESRC]
사용자가 첨부되어 있는 악성 파일을 실행할 경우, 매크로를 활성화하라는 안내창이 뜬다. 만약 사용자가 매크로 기능을 활성화 할 경우 .doc 혹은 .xls 파일 내에 있는 악성 매크로가 실행된다. 이때 ‘콘텐츠 사용’ 버튼을 누르면 공격자가 사전에 삽입해 둔 매크로가 실행되고, 명령제어(C&C) 서버에 접속한다.
이후 MSI(MicroSoft Installer)를 활용해 추가 악성코드를 사용자 PC로 수차례 다운로드 한 뒤, 최종 악성코드를 실행한다. 특히 이 과정에서 사용자 PC의 프로세스를 체크해 알려진 백신 프로그램이 실행되고 있을 경우, 백신 프로그램 프로세스 종료를 시도하는 특징도 있다.
최종으로 실행되는 악성코드에 감염될 경우 공격자가 사용자 PC를 원격제어할 수 있게 되며, 이 밖에도 사용자 정보 수집, 권한 상승 등 다양한 악성 기능을 수행하게 된다.
▲악성 매크로가 포함된 doc 파일[이미지=ESRC]
전체적인 동작 방식은 <보안뉴스>에서 보도했던 ‘삼성 모바일 전송메일 위장 원격제어 악성코드 출현’ 기사에서 나온 방식과 동일하게 ‘hxxp://185.17.120[.]235’에 접속해 악성 파일을 내려받고, 추가로 최종 페이로드인 wsus.exe 파일을 내려받는다.
▲엑셀 파일에 포함된 악성 매크로[이미지=ESRC]
하지만 이 전에 포스팅 했던 인보이스를 위장한 악성메일보다 더 진화한 점은 ‘악성 exe 파일’에 유효한 디지털 서명을 포함하고 있다는 사실이다. 공격자들은 이렇게 유효한 디지털 서명을 추가하는 방식을 통해 화이트리스트 기반의 보안제품 우회를 시도하게 된다.
▲악성 exe 파일에 포함된 유효한 디지털서명[이미지=ESRC]
ESRC는 기업 및 기관 보안 담당자들은 c2 서버인 ‘185.17.120[.]235’ 차단을 통해 피해를 최소화하고, 사용하는 백신을 항상 최신으로 유지해 달라고 당부했다. 아울러 알약에서는 해당 악성코드에 대해 ‘Trojan.Downloader.W97M.Gen, Trojan.Downloader.XLS.gen Backdoor.Agent.RAbased’로 탐지 중에 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
