‘개인정보유출내역.hwp.exe’ 파일명의 악성 파일 실행 유도 문구 포함돼

지금까지 윈도 도움말 파일(.chm), 마이크로소프트 원노트(OneNote) 등의 파일 형식으로 유포되던 악성코드가 최근 실행 파일 형식으로 유포되는 것이 확인됐다. 해당 악성코드에서 사용된 단어 및 실행되는 스크립트 코드가 이전에 분석한 코드와 유사한 것으로 보아 북한 해킹그룹 김수키(Kimsuky)에서 제작한 것으로 추정되고 있다.

▲ 이미지 출처 : readme.txt 파일 및 실행 파일, 안랩 ASEC 분석팀

안랩 ASEC 분석팀에 따르면, 이번에 확인된 악성코드는 압축파일 형태로 유포되며, 내부에 readme.txt와 함께 한글 문서 확장자로 위장한 실행 파일이 존재한다. 또한, readme.txt 파일에는 ‘개인정보유출내역.hwp.exe’이란 파일명의 악성 EXE 파일의 실행을 유도하는 문구가 포함돼 있다. 악성 EXE 파일은 닷넷(.NET)으로 컴파일됐으며, 한글 문서 아이콘을 사용해 문서 파일처럼 보이도록 위장했다. 또한, 확장자가 제대로 보이지 않도록 파일명에 공백을 다수 삽입하는 교묘한 방법을 사용했다.

해당 EXE 파일 내부에는 Base64로 인코딩된 파워쉘 명령어가 존재한다. 따라서 파일을 실행하게 되면 이를 디코딩해 %APPDATA% 폴더에 update.vbs 파일로 저장하고 파워쉘을 통해 생성한 update.vbs 파일을 실행한다.

악성코드 실행 혼란 위해 뜨는 메시지 박스…‘오류’를 ‘오유’로 표기하는 등 북한어 사용

그 이후 메시지 박스를 생성해 사용자가 현재 악성 행위가 수행되는 것을 알아차리기 어렵게 했다. 메시지 내용에는 우리의 ‘오류’가 북한어 ‘오유’로, 우리말 ‘되었습니다’가 북한어 ‘되였습니다’ 등으로 표기된 것을 확인할 수 있다.

▲ 이미지 출처 : 생성되는 메시지 박스, 안랩 ASEC 분석팀

생성된 update.vbs 파일에는 난독화된 명령어가 존재한다. 이를 디코딩하면 특정 링크에서 추가 스크립트를 다운로드 및 실행하는 코드가 확인된다. 해당 URL에 존재하는 스크립트 뿐만 아니라 이후 실행되는 스크립트는 사용자 정보 유출, 키로깅 등의 기능을 수행한다.

안랩 ASEC 분석팀 측은 “해당 유형의 악성코드 유포가 지속적으로 확인되고 있는 만큼 사용자의 각별한 주의가 필요하다”며 “사용자는 메일의 첨부파일 실행 시 확장자를 반드시 확인하고 알 수 없는 사용자로부터 공유받은 파일의 실행을 자제해야 한다”고 밝혔다.

기사 출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=119246&kind=)

기업의 규모나 업종에 상관없이 대한민국에  있는 기업을 타겟으로 하는 변종 랜섬웨어가 계속해서 등장함에 따라 행위 기반 APT 보안 솔루션이 탐지하지 못하는 비실행형 파일(HWP, MS오피스, PDF 등)을 이용한 공격이 급증하고 있습니다.

시큐레터의 보안 솔루션은 리버스 엔지니어링 기반으로 알려지지 않은 Zero-day 공격 및 악성행위가 없는 악성코드까지 시스템을 역으로 분석하여 동작 과정을 파악하고 취약점을 검사하는 특화 된 기술력을 보유하고 있습니다. 기존 APT솔루션 대비 현저히 빠른 진단 속도를 경험 하실 수 있으며, 전문 악성코드 분석기법 자동화를 통해 효율적인 관리가 가능합니다.

* 기존 APT 솔루션의 문제점
– 가상환경 회피 : 파일 열람 시 가상환경임을 확인할 경우 악성코드 분석 미실행
– 시간차 공격 : 파일 열람 시, 바로 악성코드를 배포하지 않을 경우 분석 미실행
– 사용자 행위 조건 : 사용자의 특정 행위가 있을 시 해당 악성행위 분석 미실행
– 문서보안 검열 : 파일 검사 시 최소 3~4분 시간 소요와 미분석 유입 발생

* 시큐레터의 특장점
– 어셈블리 레벨에서 악성코드 분석 악성코드 발생 전 탐지
– 알려지지 않은 신/변종 악성코드 탐지 및 차단, CVC 코드 기반 진단
– 최다 진단 엔진 알고리즘을 통해 제로데이 공격 최소화
– 기존 APT 솔루션 대비 5배 이상 빠른 진단속도
– Non-Pe(비실행형) 파일 전문 진단 분석 엔진 탑재

따라서, 사이버 보안 역량이 주요 기업 경쟁력으로 급부상함에 따라 피플로스는 행위기반 APT솔루션인 시큐레터를 통해 주요 기업의 악성코드 공격을 근본적으로 탐지, 분석, 차단하는 솔루션을 제공하고 있습니다. 악성코드로 인한 피해를 사전에 예방하시길 원하신다면 피플러스와 상의하시기 바랍니다.

정부지원사업

피플러스와 함께 정부지원사업을 진행해 보시기 바랍니다.

진행중인 EVENT · PROMOTION

피플러스에서 제공하는 다양한 이벤트와 프로모션 혜택을 확인해보세요.

제품에 대해 궁금한 점이 있으신가요?
빠르고 정확한 답변을 도와드리겠습니다.

TEL : 031-784-8500~1
E-mail : sales@pplus.co.kr