국책사업 관련 기관 근무자 대상 표적공격 분석

국책사업 관련 기관 근무자 대상 표적공격 분석

2015년 1월 15일 목요일, 국책사업 관련 기관 근무자를 대상으로 스피어 피싱(Spear Phishing) 공격이 포착되었습니다. 표적공격 이메일은 실제 2015년 5월 19일 진행 예정인 제50회 발명의 날 포상 계획 공고문으로 사칭했습니다.

발명의 날 포상계획 내용을 사칭한 표적공격 절차

이메일에는 '발명의날포상계획.zip' 압축파일이 첨부되어 있고, 압축 내부엔 '발명의날포상계획.scr' 악성파일이 포함돼 있습니다. 화면보호기 형식의 실행파일(.scr)이지만 이미지 아이콘으로 교묘히 조작해 수신자로 하여금 육안상 정상파일처럼 보이도록 최대한 위장했습니다.

제50회 발명의 날 기념식은 특허청이 주최하고 한국발명진흥회가 주관하는 행사로, 악성파일 제작자는 실제 한국발명진흥회에 게시된 공고문을 악용하였습니다.

국책사업 관련 기관 근무자 대상 표적공격 주요 내용

1. 유포과정

공격자는 먼저 제50회 발명의 날 포상 계획 공고 내용을 무단 도용해 표적 대상자의 이메일 주소로 스피어 피싱 이메일을 발송하였습니다.

이메일은 발명의 날 포상 계획 공고 내용을 본문에 담고 있으며, '2015년 제50회 발명의 날을 맞이해 대한민국 발명진흥에 크게 공헌한 유공자를 포상하고자 하오니 많은 신청(추천)을 해주시기 바란다.'라는 내용으로 수신자를 현혹시키고 있습니다.

만약 이메일 수신자가 발명의 날 포상과 관련된 내용에 현혹되어 첨부파일을 열람하게 될 경우, 악성파일에 노출되어 추후 예기치 못한 정보유출 피해를 입게 될 수 있습니다.

스피어 피싱 기법은 이처럼 매우 간단하게 특정 표적대상을 집중 공략할 수 있습니다. 따라서 이메일 이용자들은 파일이 첨부된 이메일을 수신할 때 좀 더 주의깊게 살펴보는 자세가 필요합니다.

실제 사용된 스피어 피싱 이메일 화면

발신자는 다음카카오(Daum Kakao)의 한메일 서비스 계정을 이용했으며, 수신자는 국책사업 관련 기관 근무자의 계정이 지정되어 있습니다. 또한 제목에 어눌한 띄어쓰기와 쉼표가 포함되어 있는 것을 확인할 수 있고, 제목과 본문내용이 부자연스럽다는 점도 쉽게 알 수 있습니다.

표적 대상지로 보아 공격자는 국책사업 관련 기관의 주요기술 자료를 몰래 훔쳐내기 위해 범행 준비를 했을 것으로 예측됩니다.

첨부되어 있는 “발명의날포상계획.zip” 압축 파일 내부에는 아래 화면과 같이 “발명의날포상계획.scr” 이름의 악성파일이 포함되어 있는 것을 확인할 수 있습니다.

압축내부에 포함된 악성파일 화면

수신자가 압축파일을 해제 후에 내부에 있는 파일을 실행할 경우, 컴퓨터는 악성파일에 감염됩니다.

2. 분석정보

가장 먼저 악성파일이 실행되면, 이용자 계정의 로컬 경로에 “ms.exe”, “mk.jpg” 파일을 생성하고 각각 실행시킵니다.

압축내부에 포함된 악성파일 화면

'ms.exe' 악성파일은 WinRAR SFX 형식으로 압축되어 있고, 내부에는 '_tmp001[1].jpg', 'OPPOSVC.exe' 파일이 포함되어 있습니다. 'mk.jpg' 이미지 파일은 실제 정상적인 내용을 담고 있으며, 이용자로 하여금 마치 정상적인 파일이 실행된 것처럼 보이기 위한 위장 내용을 담고 있습니다.

공격자가 악성파일에 사전 설정한 WinRAR SFX 자동 압축 해제 조건에 따라 %Appdata%\Microsoft\ 경로에 생성되고, 'OPPOSVC.exe' 파일이 사일런트 모드로 교묘하게 실행됩니다.

WinRAR SFX 내부에 포함된 추가 악성파일과 설정화면

악성파일이 압축 해제되어 감염된 화면

'OPPOSVC.exe' 파일이 실행되면 Windows 명령 처리기를 실행하고, 'rundll32.exe' 파일을 실행합니다. 그리고 JPG 이미지 파일로 위장하고 있는 악성 라이브러리(DLL)인 '_tmp001[1].jpg' 파일을 로딩합니다.

그리고 동일한 경로에 파일명만 다른 '_tmp002[2].jpg' 동일파일을 추가 생성하여 로딩하고, 처음 실행된 '_tmp001[1].jpg' 파일은 삭제합니다. 

이미지로 위장된 악성 라이브러리 동작과정 코드조건

그 다음에 인터넷 익스플로러(iexplore.exe)를 실행한 후, '_tmp002[2].jpg' 악성파일을 로딩시켜 작동하게 됩니다.

인터넷 익스플로러에 의해 실행된 화면

만약 악성파일이 실행된 환경이 VMware, VirtualPC 등 악성파일 분석가들이 사용하는 가상 프로그램인 경우에는 임시폴더(Temp) 경로에 'tpmapjq.dat' 파일을 생성하고, 내부에 가상환경이라는 내용을 추가하여 실제 감염된 이용자가 아닐 수 있다는 것을 구분하게 됩니다.

공격자는 이런 기능을 통해 보안 전문가들이 아닌 실제 환경에 감염된 컴퓨터들만 별도 관리하기 위한 치밀함을 보였습니다.

분석가들이 사용하는 가상환경 체크기능

위 화면에서 실행조건이 가상환경이 아닌 경우에는 'tpmapjq.dat' 파일에 'IsInsideVMWare' 문자열이 생성되지 않습니다.

이와 같이 악의적인 행동이 수행됨과 동시에 'mk.jpg' 파일이 실행되는데, 이 그림파일은 아래와 같이 지극히 정상적인 제50회 발명의 날 포상 계획 공고 내용을 담고 있습니다. 앞서 언급한 바와 같이 이 공고 내용은 실제 발명진흥회 사이트에 게재된 내용입니다.

공격자는 실제 내용을 그대로 무단 복제해 이미지 파일로 만든 다음, 악성파일에 추가로 포함해 사용하였습니다.

정상내용을 담고 있는 mk.jpg 이미지 화면

악성파일은 해커의 추가 명령 제어(C&C) 서버인 books.kor1stbbq.com 사이트로 접속하여 다음 명령을 대기하게 되며, 공격자의 행위를 통해 중요 자료 및 원격제어 등의 피해로 이어질 수 있습니다.

공격자의 C&C서버로 접속하는 화면

악성파일은 레지스트리에 자신을 추가하여 재부팅마다 자동으로 실행되도록 설정합니다.

자동 실행되기 위해 레지스트리에 추가된 화면

그리고 국내 특정 보안 모듈의 정상적인 실행을 방해하기도 합니다.

보안 모듈 실행을 방해는 코드 화면

표적공격 분석 정리 및 결론

이번에 분석한 표적공격은 올해 5월에 실제로 진행될 예정인 발명의 날 포상 계획을 사칭하여, 국책사업 관련 기관 근무자를 노린 매우 정교한 공격입니다. 이번 스피어 피싱 사례를 통해, 기관 및 기업 근무자는 이와 유사한 보안위협에 철저히 대비하고 각별한 주의가 필요할 것으로 보입니다.

이와 유사한 악성파일을 추적 분석하여 프로 파일링을 진행해 보면, 매우 다양한 형태의 공격이 진행됐던 것을 파악할 수 있습니다.

2014년과 2015년 초까지 유사한 표적공격이 지속적으로 포착되고 있으며, 공격자는 국내 특정기업 및 기관을 상대로 은밀한 스피어 피싱을 꾸준히 수행하고 있습니다. 지난 연말에는 연하장을 사칭한 경우가 있었고, 2015년 새해 축하 인사로 위장한 공격도 있었습니다.

이외에도 아파트 선거관리 위원회 내용을 사칭하거나 대중 외교 정책 세미나 개최 내용으로 공격이 수행된 이력도 보고되고 있습니다.

유사 악성파일이 표적 공격에 사용한 화면

이와 같은 표적 형 스피어 피싱 유형은 이메일 이용자들의 심리를 교묘하게 활용합니다. 따라서 이메일 수신자들은 받은 이메일에 첨부파일이 포함된 경우, 항시 의심하고 신뢰가능 여부를 꼼꼼히 체크하는 보안의식을 가져야 합니다. 

 

공격자 입장에서 스피어 피싱 기법은 활용도가 매우 높습니다. 간단하면서도 쉽게 내부 네트워크에 침투해 장기간 잠복하면서 각종 기밀정보를 수집하고 유출할 수 있기 때문입니다.

잠깐의 부주의와 보안불감증은 자신을 피해자로 전락시킴과 동시에 후속공격의 가해자로 만들 수 있다는 점을 반드시 명심해야 하겠습니다.

현재 알약에서는 해당 악성코드를 ‘Backdoor.Sykipot’,‘Trojan.Dropper.Sykipot’로 탐지하고 있습니다.