참여하는 지식마당> 참여하는 지식마당 on None

질문이 있으십니까?

기본 컨텐츠 및 사용자가 직접 참여하여 만들어진 다양한 내용을 검색합니다.

공격유형. 메일 첨부파일안에 공격용 파일을 doc워드 파일로 위장하고 lnk 확장자로 실행하게 하는 경우

보안부문 2019-01-16 신달수 0 댓글

개요

메일을 통한, 공격자의 공격은 아주 오래전부터 사용해 오던 방식입니다. 이번 사례를 통해, 얼마나 정상적인 형태로 파일을 열어볼 수 밖에 없는 상황으로 유도하여 공격하는 파렴치범을 소개합니다. 메일 내용을 공개하니 이런 메일의 경우, 첨부파일을 아주 신중히 살펴보시기 바랍니다.

사례

오늘, 메일 1통을 수신했습니다. 당사가 이미지관련 저작권을 위배했다는 내용으로, 매우 중요한 내용으로 보여지는 메일이였습니다. 위반 사실을 확인하고 싶어, 얼른 첨부파일을 열어보았습니다. 압축 파일 형태의 첨부파일이였습니다.
[ 그림. 새로운 편지 1통 수신 ]
[ 그림. 메일로 첨부된 파일을 압축 풀어 놓은 화면 ]

파일 분석

메일에 첨부된 압축파일을 열어보니, 위와 같은 형태로 구성되어 있었습니다. 파일들을 보시면 아시겠지만, 매우 구성이 전략적으로 들어 있음을 확인할 수 있습니다. 하나 하나 분석해 드리겠습니다.
  • 1.원본이미지.jpg : 이 파일은 탐색기에서는 이미지파일로 보이니, 실제는 lnk 파일입니다. 일명 바로가기 파일입니다.
  • 2.사용중이신이미지.jpg : 이 파일도 바로가기 파일입니다.
  • 참고내용_190115.doc : 워드 파일처럼 보이지만, 확장자만 doc파일로 위장한 어떤 공격이 들어있는지 모를 exe파일 실체입니다.
  • 참고이미지.jpg : 이미지파일입니다. 고객에게 접근하기 위한 말그대로 참고이미지 같습니다. 이것은 큰 문제가 되어 보이지는 않습니다.
결론은, 위 파일들 중에 doc로 위장한 공격용 실행파일을 사용자가 실행하게끔 하는게 공격자의 의도일 텐데요. 그게 바로 이미지 파일로 보이는 lnk 파일입니다. 그 파일 안에는 아주 위험한 실행코드가 들어있습니다. 그것을 알려드립니다.

%windir%\system32\cmd.exe hidden cmd /c @start 참고내용_190115.doc & cmd /c @start 참고이미지.jpg

위 실행코드가 들어 있는 무서운 파일입니다. 결국 microsoft Word파일로 위장한 exe 실행파일인 것입니다. 저 실행파일안에는 어떤 공격이 들어있을까요? 상상만 해도, 치가 떨리고 울분이 터질일입니다. 이런 공격자의 의도에 넘어가지 않기를 바랍니다.

백신이 바이러스 인식 못함

국내 및 해외 유명한 백신 프로그램에서 해당 파일을 체크해봤습니다. 대부분이 바이러스로 인식을 못하고 있었습니다. 일반 사용자가 사용하는 백신 프로그램에서도 체크를 못하고 있네요. 당연히 일반 사용자들은 문제가 없는 파일로 받아들여질 것입니다.
[ 그림. 유명한 백신프로그램에서도 체크를 제대로 하지 못함 ]

조치

당사는, 위 파일의 유형 및 공격을 바로 인지하고 분석하였으며, 해당 조치를 하였습니다. 일반 사용자들에게 본 내용을 인지시켜 사용자 스스로 평소 조심하는 예방 교육도 병행하기 위해 본 문서를 작성합니다.
  • 해당 메일의 Sender를 BlackList에 등록
  • 해당 파일의 HASH도 센터에 등록
  • HASH값은 5분내로, BlackList에 등록된 값은 1시간내로 전 사이트에 전파됨

댓글을 작성하세요

문서 이력