|
2010년 2분기를 결산해보면 2분기에 있었던 사회적인 이슈들을 이용한 공격들이 주로 발견되었다. 남아공 월드컵과 관련 악성코드가 발견되거나, 스마트폰의 확산에 따른 Windows Mobile 계열의 악성코드, 트위터 열풍에 따른 트위터 봇넷 등이 주요 이슈로 볼 수 있다.
■ 남아공 월드컵을 이용한 악의적인 PDF 문서
4월에는 Adobe Acrobat Reader의 잘못된 TIFF 이미지 파싱 관련 취약점을 이용한 악성코드 유포 사례가 국외에서 발견, 보고 되었다. 여기에 사용된 주제는 2010 남아공 월드컵 관련 내용으로 위장 되어 있었다. 악의적인 PDF 는 기존에 알려진 CVE-2010-0188 취약점을 가지고 있었다. 메일로 전송 되었던 해당 악성코드는 취약한 Adobe Acrobat Reader에서 읽혀진 경우 TIFF 파일에 대한 잘못된 파싱과 이를 통하여 쉘코드가 실행 되며, 이후 특정 폴더에 악성코드 파일을 생성하고 정보의 유출을 시도 할 것으로 보인다.
■ Windows Mobile 계열에서 동작하는 악성코드 국내발견 주의보
4월에는 국내에서 윈도우 모바일 계열 (5.0, 6.1, 6.5버전) 에서 동작하는 스마트폰 악성코드인 WinCE/TredDial.a (일명 3D Antiterrorist)가 발견, 보고 되었다. 해당 악성코드는 게임 어플리케이션에 포함 되어 발견 되었다. 해당 악성코드의 실행 후 증상은 임의로 특정 전화번호의 국제전화를 무단으로 발신 하도록 되어 있었다. 이 경우 사용자에게 원치 않는 통신비가 과금 되는 상황이 발생 된다. 이용된 게임명은 ‘3D Antiterrorist’ 이며 다음과 같은 ‘antiterrorist3d.cab’ 파일명을 가지고 있다. 실행 시에는 Program Files 폴더에 reg.exe가 설치되며, 시스템 폴더에 smart 32.exe라는 이름으로 해당 파일을 복사한다. 또한 해외 Premium-rate number에 국제전화를 시도하여 국제전화 과금을 발생시킨다.
■ 트위터 봇넷 악성코드
5월에는 트위터의 대중화를 틈타 트위터를 이용하여 악성코드를 제어하는 악성코드가 알려졌다. 지금까지 SNS 관련 악성코드는 사용자 계정이나 버디 계정에 스팸성 메시지를 달거나 악성코드가 업로드 된 사이트로 유도하는게 일반적이었다. 그러나 해당 악성코드는 먼저 사용자 계정이나 이미 훔쳐낸 계정에 악성코드 제어관련 내용을 트윗 한 후 악성코드가 이를 읽어 들인 후 악의적인 행동을 취한다.
일반적인 봇넷의 차단 방법은 봇넷이 이용 하는 서버에 대한 차단을 통해서 근본적으로 봇넷이 활성화 될 수 없게 한다. 그러나 트위터와 같은 상용 서비스를 이용한다면, 일반적인 차단방법을 사용할 수 없어 공격자는 자유롭게 명령을 내보낼 수 있게 되므로 이러한 상용 서비스를 악용하는 봇넷 사례가 증가할 것으로 예상 된다.
■ 문서파일에 포함된 악성코드 주의
5월에는 메일을 통해 유포되는 악성코드 중 DOC 혹은 RTF 등의 확장자의 문서를 이용한 악성코드 유포 사례가 확인되었다. 문서파일에 첨부된 파일을 실행하면 문서 내부에 특정 아이콘이 나타나며 클릭을 유도하게 된다. 만일, 클릭을 하게 되면 경고 창이 나타나며 [확인] 버튼을 누를 경우 문서 내부에 포함된 악성코드가 실행이 된다. 최근 악성코드 유포 기법이 점점 다양해지며 발전되고 있어 이러한 발신인이 불분명한 메일을 통해 첨부되는 문서나 기타 첨부파일은 되도록이면 실행하지 않는 것을 권장한다.
|
