| 한글이력서 파일 위장 표적형 공격 주의! | 2013.10.29 |
정상적인 문서파일처럼 보이지만 실행파일 형태의 악성파일 [보안뉴스 김태형] 한국 특정인의 이력서 파일로 위장해 악성파일을 유포시키는 표적형 공격이 발견되어 주의가 필요하다. 잉카인터넷 대응팀은 29일, Unicode Character Right to Left Override(U+202E) 기법을 이용한 표적공격 정황을 포착했다고 밝혔다. 2중 확장자로 만들어진 악성파일이 압축파일(ZIP, RAR) 내부에 포함된 경우, 확장명 앞의 3바이트를 U+202E 유니코드 포인트 RLO(Right to Left Override) HEX 값인 E2, 80, AE 값으로 조작하면 확장자 순서를 우측에서 좌측으로 변경할 수 있다.
악성파일명은 ‘김영주 이력exe.docx’ 이라는 이름으로 발견됐고, 실제로는 DOCX 문서파일이 아니라 조작된 EXE 파일이다. 유니코드로 확장자의 순서가 변경되었기 때문에 윈도우 폴더화면에서는 문서파일 확장자가 최종적으로 보여지지만 CMD 화면창에서 확인해 보면 실제로는 EXE 파일이라는 것을 확인해 볼 수 있다.
압축 내부에는 실제 정상적인 파일인 ‘김영주 이력서.docx’ 파일과 ‘SB360.exe’ 이름의 악성파일이 동봉되어 있다. 그리고 2개의 파일은 함께 자동으로 실행되기 때문에 아래와 같은 실제 이력서 화면이 보여지고 은밀히 악성파일에 감염된다. 따라서 이용자는 정상적인 이력서 파일로 착각할 가능성이 높게 된다. 해당 이력서 내용에는 실제 특정 이용자의 개인신상 정보가 포함되어 있어 임의로 부분 모자이크 처리를 했는데, 특정인의 이력서가 외부로 유출되어 악용된 것으로 추정된다.
컴퓨터가 재부팅시 자동으로 실행되도록 "Ayouyc saaaea" 이름의 서비스를 등록한다. ‘Aiwinme.exe’ 악성파일은 외부의 222.73.15.115(중국), 60.254.142.32(미국) 등의 명령제어(C&C) 호스트로 접속을 시도한다. 이를 통해서 정보유출 및 추가 악성파일 설치 등 보안위협에 노출될 수 있다. 지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안취약점을 이용하지만 제로데이(Zero-Day) 공격이 아닌 경우 성공 확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
