상세 컨텐츠

본문 제목

입사지원서 문서파일 사칭 악성코드 공격 사례 분석

악성코드 분석 리포트

by 알약(Alyac) 2015. 1. 28. 14:09

본문

입사지원서 문서파일 사칭 악성코드 공격 사례 분석


2015년 01월 22일 목요일, 국내 특정 여성의 이력서와 자기소개서 문서내용을 보여주는 악성파일 공격사례가 발견되었습니다. 악성파일은 ZIP 형식으로 압축되어 있었고, 내부에 “오예슬.scr” 이름으로 이용자를 현혹시키고 있습니다.


주로 이런 형식의 보안위협은 마치 정상적인 구직 희망자의 정상적인 이메일처럼 위장해, 특정 기업의 인사담당자를 표적으로 삼아 공격을 진행합니다.


채용의뢰 내용을 사칭한 표적공격 사례


흔히 이러한 표적공격 형태를 스피어 피싱(Spear Phishing)이라 말합니다. 이는 이메일 첨부파일에 악의적인 파일을 첨부해 수신자로 하여금 실행을 유도하게 만드는 대표적인 사회공학적 기법입니다.


물론 이메일을 이용한 공격방식은 역사가 매우 오래된 고전적인 수법 중에 하나입니다. 그렇지만, 현재도 국내외 기관과 기업 등 사회전반에 걸쳐 은밀하고 조용한 타깃공격에 꾸준히 악용되고 있는 실정입니다.


특히, 다양한 문서파일(HWP, PDF, DOC, XLS, PPT 등) 내부의 알려지지 않은 보안 취약점을 이용할 경우, 수신자가 악성여부를 쉽게 구별하기 어려워 잠재적 보안위협에 노출될 가능성이 커질 수 있습니다.



입사지원 문서파일 사칭 악성코드 공격 사례의 주요 내용


1. 유포과정


공격자는 수신자가 좀 더 빠르게 악성파일에 접근하고 현혹되어 실행할 수 있도록, 악성파일을 다양한 형태의 파일명으로 지정합니다.


압축파일 내부에 포함된 “오예슬.scr” 화면


ZIP 형식으로 압축된 파일 내부에는 “오예슬.scr” 파일이 포함되어 있고, 압축된 시점이 2015년 01월 21일이라는 것을 확인할 수 있습니다. 


“오예슬.scr” 파일의 속성


일반적으로 SCR 확장명은 화면보호기(Screen Saver)용으로 쓰이는 확장자로, 실행(EXE)파일과 동일하게 인식되어 실행되기 때문에 악성파일 제작자들이 자주 위장하는 형식입니다.


“오예슬.scr” 파일의 속성을 자세히 살펴보면, 마치 한컴오피스 한워드 2010 파일로 보이도록 설명부분이 조작되어 있습니다. 아이콘도 HWP 문서파일로 교묘하게 위장되어 있음을 확인할 수 있습니다. 더불어 압축 내부에 포함되어 있는 파일의 크기가 약 55Mb로, 일반적인 악성파일 크기에 비해 다소 큰 편에 속한다는 것도 알 수 있습니다. 


공격자는 비교적 큰 사이즈로 악성파일을 제작했는데, 이는 보안전문가의 신속한 분석과 대응을 일정시간 지연시키기 위한 나름의 전략으로 보여집니다. 더불어 Anti-VM 등의 기능을 통해 가상환경에서는 악의적인 기능이 바로 작동하지 않도록 조작한 부분도 고유한 특징 중 하나로 꼽을 수 있습니다.


또한, 악성파일 실행이 될 때 정상적인 이력서, 자기소개서 내용이 있는 HWP 파일을 동시에 생성하고 실행하여, 사용자에게 정상적인 문서로 보이도록 현혹시킵니다.



2. 분석정보


먼저 악성파일은 가상의 환경에서 악의적인 기능이 작동하지 않고, 정상적인 프로그램이 출력되도록 만들어져 있습니다. 그리고 홍콩의 C&C 서버에 접속한 후 악의적인 원격제어 명령을 대기하게 됩니다.


“오예슬.scr” 파일이 실제 컴퓨터 환경에서 실행되면, 윈도우(Windows) 하위 경로에 “GGTALL15” 이름의 고정적인 폴더를 생성하고 하위에 “gtall6687.exe”, “gtall6687.KInf” 등의 추가 파일을 생성합니다.

 

추가로 생성된 악성파일


특히, “오예슬.scr”, “gtall6687.exe” 파일에 유효하지 않은 허위 디지털 서명을 보유하고 있는데, 국내에 널리 알려져 있는 KAKAO 서명자 정보 이름을 사칭하고 있습니다.


공격자는 국내에 널리 알려져 있는 특정 기업의 디지털 서명을 무단 도용해, 감염 대상자에게 신뢰할 수 있는 파일처럼 보이도록 고의로 조작해 두었습니다. 


추가로 생성된 악성파일


악성파일은 최초 동작할 시점에 입사지원서와 자기소개서 내용이 담긴 HWP 문서파일을 만들고, 이를 실행하여 육안상 정상적인 문서로 보이도록 이용자를 현혹시킵니다.


이 문서는 실제 특정인의 개인정보가 포함되어 있어, 이미 다른 침해사고 과정을 통해 외부로 유출돼 악용되고 있는 것으로 추정됩니다.


악성파일 작동 시 보여지는 정상적인 입사지원서 화면


또한, 악성파일 제작자는 VMware 등 가상의 환경에서 악의적인 기능이 정상적으로 작동하지 않도록 Anti-VM 기능을 넣어두기도 했습니다.


“오예슬.scr” 파일명의 악성파일이 VMware 가상의 환경에서 실행되면 [한글도구모음]이라는 프로그램이 실행되어 보여지고, “gtall6687.exe” 악성파일이 가상 환경에서 실행되면 [Regedit fast jump V1.2] 제목의 프로그램이 보여집니다.


가상환경에서 보여지는 화면


악성파일이 자신의 설치과정을 마치면 임시폴더(Temp) 경로에 “Temp0.bat” 파일을 생성하고 실행합니다. 해당 배치파일 명령에는 Dropper 파일의 삭제 기능을 가지고 있습니다.


배치파일 내부 명령어


“gtall6687.exe” 파일은 레지스트리 RunOnce 경로에 다음과 같은 데이터를 등록하여 재 부팅마다 자동으로 실행되도록 만듭니다.


레지스트리 등록 화면


악성파일은 홍콩의 원격 호스트(122.10.93.136) 주소로 접속하여 이용자 정보 유출 및 추가적인 명령을 대기하게 됩니다. 이 과정에서 “VideoCore.dll” 파일을 다운로드 하여 추가 설치하는 것도 목격되었습니다.


추가 설치된 VideoCore.dll 파일


추가로 설치된 라이브러리는 캠(Camera) 정보 등을 수집 시도할 수 있습니다. 악성파일의 코드 내부에 사용된 리소스를 확인하면 중국어 간체가 사용된 것을 알 수 있으며, 공격자의 원격제어 서버는 홍콩에 있습니다.



홍콩 원격지 정보 화면



악성코드 공격 사례 정리 및 결론


구직자로 사칭해 특정기업 및 주요기관의 내부 직원을 겨냥한 표적공격 사례가 수 년에 걸쳐 빈번히 발생하고 있습니다. 관련된 업무 담당자들은 평소 흔하게 보던 이메일 중 하나이기 때문에 아무런 의심과 거리낌없이 쉽게 접근하고 열람해 보는 경우가 많습니다. 


이러한 스피어 피싱의 유형은 이용자들의 심리를 잘 활용합니다. 따라서 이메일 수신자들은 첨부파일을 항시 의심하고 신뢰가능 여부를 꼼꼼히 체크하는 보안의식을 갖는 것이 중요합니다.


공격자 입장에서 스피어 피싱 기법은 활용도가 매우 높습니다. 간단하면서도 쉽게 내부 네트워크에 침투해 장기간 잠복하면서 각종 기밀정보를 유출할 수 있기 때문입니다.


“이런 파일 하나쯤 별로 문제없겠지?”라며 안일하게 대처하고 방심하는 순간, 예기치 못한 대형 보안사고로 이어질 수 있다는 사실을 결코 잊어서는 안될 것입니다. 잠깐의 부주의와 보안불감증은 자신을 피해자로 전락시킴과 동시에 후속공격의 가해자로 만들 수 있다는 점도 반드시 명심해야 하겠습니다.


알약은 현재 해당 악성코드를 Backdoor.Agent.GTL로 탐지하고 있습니다.


관련글 더보기

댓글 영역