랜섬웨어

문서 파일로 위장한 지능형 악성코드 공격 급증

1,962    2015-05-13


개요  

최근 발견된 조류독감 안내문, 북한 관련 문서 관련 문서 등 사회적 이슈를 이용해 악성코드를 배포하는 사례가 증가하고 있습니다.

문서파일의 아이콘을 사용하여 확장자명을 교묘하게 숨기거나 S/W의 취약점을 이용해 지능화된 방법으로 악성코드 공격이 이루어지고 있습니다.



문서의 취약점을 이용한 악성코드 배포 방식 

북한 관련 정보를 담은 파일로 위장한 '한국의 대응전략.HWP' 이라는 파일은 문서에 북한의 핵 개발 및 핵 관련 6자 회담 북한 비핵화 위한 대응 전략 등의 내용이 담겨 있습니다.

 이러한 배포 방식은 보안 업데이트를 하지 않거나 버전이 낮은(한글 2010 미만) S/W에서 작동하는 악성코드로 한글 2010 이상 또는 보안 업데이트를 한 S/W에서는 악성코드가 작동하지 않습니다.

▶ 한글과 컴퓨터 업데이트 



사회적 이슈를 활용한 악성코드 배포 방식

조류독감 안내문을 위장한 악성코드는 최근 중국에 발생한 '신종 조류독감(H7N9)'에 대해 사회적 관심을 이용했습니다. 이메일에 첨부된 파일 '조류독감 안내문.exe'는 아이콘이 문서처럼 보이지만 실제로는 악성코드를 담은 실행파일입니다.

이 파일을 실행하면 신종 조류독감에 대한 안내문이 열려 사용자는 일반 문서라고 생각하지만 사용자 몰래 악성코드가 설치되어 개인 정보를 연결된 특정 서버에 전송하는 방식을 사용합니다.

이처럼 사회적 이슈 또는 확장자를 은닉해 악성코드를 배포하는 사례가 2014년 5월 ~ 2015년 4월까지 다양한 방법으로 이루어지고 있어 주의가 필요합니다.



문서파일로 위장한 악성코드 파일 형식   


위와 같이 정상 워드 파일처럼 보이지만 대부분의 사용자가 '폴더 옵션 - 확장자명 숨기기' 기능을 사용해 악성코드에  노출되어 있습니다.



악성코드로 사용되는 대표적인 확장자명

1. EXE

문서파일 확장자가 아닌 응용프로그램 실행파일 확장자로 이 확장자의 파일을 실행하면 프로세스가 작동해 특정 서버로  연결되거나 또는 추가적인 악성코드가 다운로드는 경우가 있습니다. (문서를 위장한 악성코드로 사용될 경우)

 

2. RAR 

압축파일의 형태로 실행시.exe(실행파일)과 .dll(Link 연결 함수) 파일로 압축 해제되어 악성코드로 사용되는 경우가 많습니다.


3. SCR

PC 화면보호기에 사용하는 확장자로 일정 시간 키보드, 마우스의 움직임이 없을 경우 여러 이미지를 보여주는 기능을 합니다. 악성코드에 자주 사용되지 않았지만 최근에 많이 사용하는 확장자입니다.


.SCR 파일을 실행하면 내부에 있던 이미지나 문서파일을 보여주고 해당 파일은 C드라이브 특정 경로에 PE파일을 생성해 사용자 정보를 빼내 다른 추가적인 피해를 입힐 수 있습니다.

* PE파일 : Portable Executable File Format


문서 파일로 위장한 악성코드 실행시 사용자 PC의 정보 전송, 추가적인 악성코드 다운로드 위험, 백도어 악성코드 침투 등 위험이 발생할 수 있으므로 주의해야 합니다.



파일의 확장자 확인 방법



제어판 ▷ 모양 및 개인 설정  폴더 옵션 ▷ 보기 탭 ▷ '알려진 파일 형식의 파일 확장명 숨기기' 해제.



예방 방법

1. 발송자 확인 후 이메일 열람 및 첨부파일 다운로드

2. 이메일에 첨부된 링크 주소 확인 후 이동

3. 첨부 파일 다운로드 후 실행 전 아이콘과 파일 확장자 확인

4. 백신을 사용하여 악성코드 침투 방지



관련 자료  

악성코드 교육영상



댓글 : 0