[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

1. 확장자 조작한 지능형 표적공격 주의

잉카인터넷 대응팀은 Unicode Character Right to Left Override (U+202E) 기법을 이용한 표적공격 정황을 포착했다. 이 공격방식은 2중 확장자명의 순서를 임의로 변경할 수 있어 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만든다.  

[참고자료]
Unicode를 이용한 윈도우 확장자 변조 가능 취약점 이용한 악성코드 주의
http://viruslab.tistory.com/1986 

Right-to-Left Override Aids Email Attacks
https://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks

2중 확장자로 만들어진 악성파일이 압축파일(ZIP, RAR) 내부에 포함된 경우 확장명 앞의 3바이트를 U+202E 유니코드 포인트 RLO(Right to Left Override) HEX 값인 E2, 80, AE 값으로 조작하면 확장자 순서를 우측에서 좌측으로 변경할 수 있다.

[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272

해당 악성파일의 바이러스 토탈 현황은 다음과 같다.

https://www.virustotal.com/ko/file/01276823febac2533892806c2a792266e1b6d900f02d3d054f97a685514f57a1/analysis/1383022696/

https://www.virustotal.com/ko/file/c7912f2f0897d00e38f5db330bcf8d972d063a1bfbc1700218ab6fc6b0ae488f/analysis/1383025999/

2. 이력서 문서파일로 위장한 악성파일

2013년 10월 8일에 보고된 이번 표적공격은 한국의 특정인 이력서 파일로 위장하여 유포되었다. 실제로는 자동압축해제 형식의 실행파일(SFX RAR) 형식이지만 확장자와 아이콘을 모두 DOCX MS워드 문서파일로 보이도록 조작하였다.

악성파일명은 "김영주 이력exe.docx" 이라는 이름으로 발견되었고, 실제로는 DOCX 문서파일이 아니라 조작된 EXE 파일이다. 유니코드로 확장자의 순서가 변경되었기 때문에 윈도우 폴더화면에서는 문서파일 확장자가 최종적으로 보여지지만 CMD 화면창에서 확인해 보면 실제로는 EXE 파일이라는 것을 확인해 볼 수 있다.

공격자는 확장자 유니코드와 아이콘을 조작하여 이용자로 하여금 문서파일로 인식하게 만든 후 실행을 유도하게 된다. 특히, 이력서 파일로 위장하여 특정 기업의 채용 구직 이메일로 둔갑한 후 표적공격에 은밀히 활용되고 있다.

실제 확장자인 EXE 형식으로 변경하면 SFX RAR 압축파일이라는 점을 확인할 수 있다.

압축 내부에는 실제 정상적인 파일인 "김영주 이력서.docx" 파일과 "SB360.exe" 이름의 악성파일이 동봉되어 있다. 그리고 2개의 파일은 함께 자동으로 실행되기 때문에 아래와 같은 실제 이력서 화면이 보여지고, 은밀히 악성파일에 감염된다. 따라서 이용자는 정상적인 이력서 파일로 착각할 가능성이 높게 된다.

해당 이력서 내용에는 실제 특정 이용자의 개인신상 정보가 포함되어 있어 임의로 부분 모자이크 처리를 하였으며, 외부로 유출되어 악용된 것으로 추정된다.

 
압축파일 내부에 포함되어 있던 "SB360.exe" 파일은 VMWare Workstation 파일처럼 속성을 위장하고 있으며, 중국어로 제작되어 있다.

"SB360.exe" 악성파일이 실행되면 [Program Files] 경로에 "Ruquhn aarmu" 이름의 폴더를 생성하고 내부에 "Aiwinme.exe" 이름의 악성파일을 생성하고 실행한다. 그러면 루트 드라이브에 랜덤한 4자리 숫자의 VBS 스크립트를 생성하고 실행하는데. 이 파일에 의해서 임시폴더(Temp)에 생성한 "SB360.exe" 최초 생성파일을 삭제한다.

컴퓨터가 재부팅시 자동으로 실행되도록 "Ayouyc saaaea" 이름의 서비스를 등록한다.

 
"Aiwinme.exe" 악성파일은 외부의 222.73.15.115 (중국), 60.254.142.32 (미국) 등의 명령제어(C&C) 호스트로 접속을 시도한다. 이를 통해서 정보유출 및 추가 악성파일 설치 등의 보안위협에 노출될 수 있다.

 3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com