|
■ 어도비 PDF, SWF 취약점 관련
이번에 알려진 취약점은 PDF 자체의 취약점이라기 보다는 PDF 내부에 포함 SWF 파일에 기인한다. 이것과 비슷한 취약점은 ‘Adobe Acrobat Reader Flash Player Remote Code Execution(CVE-2009-1862)’ 으로 보고 된 적이 있었다. 악의적인 PDF 는 다음과 같은 형태를 가지고 있다.
[그림1-5] 악의적인 PDF 문서의 구조
암호화된 EXE 파일은 실행 후 특정 호스트로부터 파일을 다운로드 및 실행한다. 여기서 생성된 DLL 파일은 시스템 정상파일인 qmgr.dll을 자신으로 변경하고 동작한다. 동작 후 악의적인 증상으로는 시스템 정보와 서비스 및 응용 프로그램 설치 정보를 특정 호스트로 전송 한다. PDF 와 SWF 취약점이 일반화된 요즘 해당 프로그램에 대한 보안 업데이트가 시급하다. 사용자 및 관리자들은 이러한 추세를 인지하여 자신 및 기업이 사용하고 있는 해당 프로그램에 대해 관심있는 업데이트가 필요하다.
■ 메일을 이용한 형태의 악성코드
6월 중순, 메일에 *.html 형태의 파일이 첨부된 스팸성 메일이 지속적으로 유포 되었다. 해당 메일은 다음과 같은 형태로 되어 있었으며 메일 제목과 본문 내용은 변경 되어 지속적으로 유포 되었다.
[그림1-6] 스팸성 메일 형태
첨부된 파일을 클릭하면 특정 웹 사이트로 이동하며 최종적으로 성인 약품 광고 사이트로 이동한다. 일부 변형에서는 악성코드를 다운로드 하는 웹 페이지도 알려졌으나 확인은 되지 않았다. 이처럼 윌드컵 시즌에 이를 이용한 허위 메일이 기승을 부릴 가능성이 높다. 또한 *.exe 확장자와 같은 실행 가능한 파일이 아닌 스크립트를 이용한 형태의 스팸성 메일에 주의를 기울여야 한다. 또 다른 형태로는 국내 사용자를 노린 것으로 특정 카드사의 요금 명세서를 가장한 형태이다. 이와 비슷하게 5월 중순에는 다음과 같은 형태로 실행 가능한 첨부파일이 포함된 형태로 발견 되기도 하였다. 이번에 발견된 금융사 사칭 메일은 5월에 발견된 형태의 다른 변형으로 추정 된다. 형태는 각각 다음과 같다.
[그림1-7] 5월에 발견된 악성코드가 첨부된 메일 형태
이번 달에 발견된 형태는 특정 금융사의 이메일 카드 명세서로 위장 되었다. 아래 빨간 박스의 이용대금 명세서 보기를 클릭하면 실제 해당 카드사가 아닌 공격자가 설정한 호스트로 이동한다.
[그림1-8] 6월에 발견된 악성코드가 첨부된 메일 형태
그리고 다음과 같은 특정 키보드 보안 프로그램을 설치 하도록 유도하는데 이는 허위로, 실제로는 키보드 보안 프로그램이 아니다.
[그림1-9] 허위 키보드 보안 프로그램 설치를 유도
실제로는 다음과 같은 파일을 설치한다.
[그림1-10] 실제 설치되는 악성코드
해당 파일이 설치 및 실행 되면 특정 서버로부터 똑같은 형태의 메일을 받아와 발송한다. 이처럼 5월에는 월드컵 관련 및 특정 가수등과 관련된 내용을 발송 했었다. 6월에 발견된 경우에는 금융사의 신용카드 명세서를 확인하는 내용을 보내게 되는데 이는 서버로부터 메일 내용과 주소를 받아와 보내게 된다. 즉, 감염된 시스템은 악의적인 메일을 보내는 시스템이 되고 또한 특정 포탈에 대하여 분산 서비스 공격(DDoS)를 하도록 설정 되어 있기 때문에 다른 시스템과 서비스에 피해를 주는 공격도구로 변모한다. 최근 들어 메일을 이용한 악성코드 전파가 기승을 부리고 있다. 메일은 전통적으로 악성코드 전파에 즐겨 사용 되었다. 최근의 추세라면 국내의 경우 점차 정교한 한글 메시지가 포함된 형태가 늘어 날 것으로 전망 되므로 메일 내 첨부된 파일 및 링크 클릭 시 반드시 주의를 기울이고 기본적으로 안티 바이러스 제품 설치 및 악의적인 웹 사이트 여부를 판별 해줄 수 있는 평판 서비스 및 제품을 함께 이용하는 것이 좋다. 해당 파일이 설치 및 실행 되면 특정 서버로부터 똑같은 형태의 메일을 받아와 발송한다.
■ 네이트온을 통해 유포되는 악성코드
네이트온을 통해 유포되는 악성코드가 많이 확산되고 있다. 네이트온을 통해 유포되는 악성코드는 주로 쪽지나 대화창을 통해 전달이 되며 유포 형태는 아래 그림과 같다.
[그림 1-11] 네이트온 악성코드 유포 형태
네이트온 악성코드는 쪽지나 대화창을 통해 URL이 전달되며 해당 URL로 접속 시 악성코드 파일을 다운로드 받게 된다. 최근 다운로드 받는 악성코드 형태가 많이 변화되고 있는데 현재까지 발견된 형태는 아래와 같다.
1. RAR 압축파일로 전달하여 압축을 해제하면 아래와 같은 폴더 아이콘으로 폴더를 가장한 EXE 파일 형태
[그림 1-12] 폴더 아이콘을 위장한 악성코드
2. EXE 파일로 악성코드를 바로 전달하는 경우
3. RAR 압축파일로 전달하여 압축을 해제하면 vbs 파일이 나오는 경우
4. RAR 압축파일이나 암호가 걸려 있으며 아래 그림과 같이 암호를 유추할 수 있는 경우
[그림 1-13] RAR 압축 파일로 암호가 걸려 있으나 아래와 같이 암호를 유추할 수 있는 경우
기존에는 1, 2번과 같이 단순히 EXE 파일 혹은 압축 파일 형태로 전송했으나 최근 V3제품의ASD 엔진에서의 빠른 대응 및 제품의 압축파일까지 검사하는 기능에 의해 선방하고 있는 형태이다.
하지만 이런 점을 감안하여 최근 악성코드 제작자가 vbs 같은 스크립트 형태의 파일로 유포하여 실시간 감시를 우회하거나 압축파일에 암호를 걸어 압축파일 검사를 우회하는 형태가 발견되었으니 주의가 필요하다.
■ 스팸메일을 통해 유포되는 악성코드의 형태
최근 아래와 같은 제목으로 스팸메일에 악성 URL의 링크를 삽입하여 접속을 유도하여 악성코드를 감염시키는 사례가 확인이 되었다.
Amazon.com: Get Ready for Cyber Monday Deals
*이메일주소* has sent you a birthday ecard.
FaceBook message: intense sex therapy
Reset your Facebook password
Reset your Twitter password
FIFA World Cup South Africa... bad news
*도메인명* account notification
위 제목 외에도 다수의 제목이 존재하며 해당 메일에 포함된 html 파일 혹은 링크를 클릭할 경우 악성코드를 유포하는 사이트 및 성인약품 광고 사이트로 자동 접속되게 된다.
[그림 1-14] html 파일 혹은 링크를 클릭하였을 경우 나타나는 성인 약품 광고 사이트
악성코드를 유포하는 사이트는 현재 확인된 바로는 MDAC (MS06-014), JAVA(CVE-2010-0886), Adobe Acrobat Reader취약점을 이용하여 악성코드를 다운로드 및 실행을 하게 된다.
설치되는 악성코드는 아래와 같은 허위 백신이며 설치가 될 경우 치료를 위해 결제를 요구하거나 스팸 메일이 발송되는 증상이 발생한다.
[그림 1-15] 설치되는 허위 백신
예방방법은 우선 무엇보다 중요한 것은 발신자가 불분명한 메일은 열람하지 않는 것이 첫째이며, 둘째는 Adobe Acrobat Reader나 JRE 같은 주요 어플리케이션에 대한 보안패치 및 윈도우 운영체제의 보안패치를 하는 것이다.
■ 사회공학적 기법을 이용한 악성코드 배포
최근 Antimalware Doctor이라는 가짜 백신을 윈도우 운영체제 업데이트를 가장해서 설치하는 사례가 발견되었다.
[그림 1-16] 윈도우 운영체제 업데이트를 가장한 가짜 백신 설치 프로그램
[그림 1-16]에서 알 수 있듯 실제 윈도우 운영체제 업데이트와 동일한 형태를 가지고 있으므로 컴퓨터에 대한 전문적인 지식이 없는 일반적인 사용자들은 의심 없이 가짜 백신을 설치하게 된다. 이때 설치된 Antimalware Doctor 역시 윈도우 보안센터와 비슷한 형태로 구성되어 있어 윈도우 운영체제에서 제공되는 보안 기능으로 착각할 수 있다. 따라서 사용자는 허위/과장 진단된 결과로 유료 결제를 유도한다.
한국에서도 동일하게 윈도우 업데이트를 가장해 윈도우 부팅 시마다 애드웨어를 추가로 설치하는 사례가 발견되었었다.
[그림 1-17] 윈도우 업데이트를 가장한 애드웨어 설치 프로그램
하나의 애드웨어가 설치되면 그 애드웨어가 윈도우 업데이트 형식의 다운로드 프로그램을 실행하고 또 다른 애드웨어를 다운로드 받아 설치한다. 특히 해당 업데이트를 취소하는 버튼이 없으므로 사용자는 무조건 해당 애드웨어를 설치할 수 밖에 없다. 즉, 사용자는 원하지 않는 애드웨어를 지속적으로 다운로드 받고 설치하게 되어 결국 컴퓨터를 정상적으로 사용할 수 없게 된다. 이렇듯 누구나 신뢰하는 윈도우 업데이트 프로그램으로 가장해 악성코드를 배포하는 일종의 사회공학적 기법이 적용되었으며 앞으로도 더욱더 정교한 사회공학적 기법이 적용될 것으로 예상된다. 사용자들은 프로그램을 설치하기 전에 보다 신중하게 해당 프로그램을 살펴볼 필요가 있다.
|
