• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이스라엘 정부 기관 대상의 타깃 공격 발생 2012.11.02

외부 발신 불명의 이메일 및 첨부파일 주의!


[보안뉴스 김태형] 이스라엘 언론인 The Times of Israle의 ‘How Israel Police computers were hacked: The inside story’을 통해 이스라엘 정부 기관을 대상으로 한 타깃 공격(Targeted Attack)이 발생했음이 공개되었다.


안랩 시큐리티대응센터는(이하 ASEC) “이러한 정부 기관을 대상으로 한 타깃 공격은 최근에는 10월 18일 대만 기상청을 대상으로 한 타깃 공격이 발견된 사례가 있다”면서 “특히 이번에 발견된 이스라엘 정부 기관을 대상으로 한 타깃 공격은 대만 기상청을 대상으로 한 타깃 공격과 유사한 형태로 이메일을 통해 시작되었다”고 설명했다.


이스라엘 정부 기관을 대상으로 한 타깃 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 ‘Xtreme RAT Targets Israeli Government’를 통해 밝히고 있다.


·발신인 - bennygantz59.gmail.com

·이메일 제목 - IDF strikes militants in Gaza Strip following rocket barrage

·첨부 파일명 - Report & Photos.rar


첨부된 Report & Photos.rar의 압축을 풀게 되면 ‘IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)’이 생성된다.


생성된 해당 파일은 RARSfx로 실행 가능한 형태로 압축된 파일로 파일 내부에는 아래 이미지와 같이 2.ico(318 바이트), barrage.doc(85,504 바이트)와 Word.exe(827,120 바이트)가 포함되어 있다.


            


해당 ‘IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)’을 실행하게 되면 아래 이미지와 같이 파일 내부에 포함된 barrage.doc(85,504 바이트)을 보여주게 된다.


   


그러나 사용자 모르게 백그라운드로 다음의 경로에 내부에 포함하고 있는 파일들을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\2.ico

 C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\\barrage.doc

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Word.exe        


그리고 생성된 파일 중 Word.exe(827,120 바이트)를 실행시켜 ‘.exe(4 바이트)’ 파일을 생성하고 윈도우 시스템에 존재하는 정상 파일인 sethc.exe을 로드한 후 해당 프로세스의 메모리 영역에 자신의 코드 전체를 삽입하게 된다.


      


자신의 코드가 정상적으로 삽입하게 되면 해당 sethc.exe의 프로세스를 이용해 다음의 시스템으로 역접속을 시도하게 되나 분석 당시에는 정상적으로 접속 되지 않았다.


loading.myftp.org:1500


정상적으로 접속이 성공하게 될 경우, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


·원격 제어

·화면 캡쳐

·실행 중인 프로세스 리스트

·파일 생성, 실행 및 삭제

·레지스트리 키 생성 및 삭제

·파일 업로드 및 다운로드

·키보드 입력 값을 후킹하는 키로깅


이번에 발견된 이스라엘 정부 기관을 대상으로 한 타깃 공격으로 유포된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


·Dropper/Xtrat.999808

·Win-Trojan/Xtrat.827120


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


·Suspicious/MDP.DropMalware

·Malware/MDP.Injector


ASEC측은 “앞서 언급한 바와 같이 대만 기상청 타깃 공격과 이번 이스라엘 정부 기관을 대상으로 한 타깃 공격 모두 이메일의 첨부 파일을 이용하여, 내부 직원들의 감염을 유도했다”고 설명했다.


그러므로 외부에서 이메일이 전달 될 경우에는 발신인이 잘 아는 사람인지 그리고 메일 주소가 자주 쓰거나 정확한 메일 주소인지를 확인하고 첨부 파일이 존재 할 경우에는 실행을 해야 될 경우에는 백신으로 미리 검사하는 것이 중요하다고 강조했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>