상세 컨텐츠

본문 제목

직장 내 괴롭힘 보고서 내용 사칭 표적공격 분석

악성코드 분석 리포트

by 알약(Alyac) 2015. 6. 2. 14:12

본문

직장 내 괴롭힘 보고서 내용 사칭 표적공격 분석


2015년 05월 28일 유사한 종류의 악성파일 3종이 발견되었습니다. 이 악성파일들은 한 TV 프로그램에서 지난 02월 24일 방송됐던 <‘직장내 괴롭힘 보고서’ 인격 없는 일터>의 방송화면 중 일부를 모두 보여주는 특징을 공통적으로 가지고 있습니다.


방송 프로그램 내용을 사칭한 표적공격 절차


악성파일들은 '가해자.scr', '연령과근로시간.scr', '피해유형.scr' 등의 이름을 가지고 있으며, 마치 이미지 파일처럼 보이도록 아이콘을 위장하고 있습니다. 공격에 사용된 파일을 분석한 결과, 과거 'Sykipot' 시리즈 (이전 포스팅 참고 )로 분류되었습니다.



직장 내 괴롭힘 보고서 사칭 표적공격 주요내용


1. 유포과정

Sykipot 시리즈는 수년 전부터 스피어피싱(Spear Phishing) 공격을 통한 정보수집 활동에 꾸준히 활용되고 있습니다. 과거의 공격사례를 비추어봤을 때 이번 공격도 이메일을 이용해 유포됐을 것으로 의심됩니다.


보통 악성파일을 이메일에 첨부해 사용할 때는 공격 대상자가 관심을 많이 가질만한 내용으로 위장을 하기 때문에 이번 공격은 기업을 상대로 진행됐을 가능성이 크며, 이와 관련해서 지속적으로 조사를 진행하고 있습니다.


직장인이 관심 가질 만한 이름의 악성파일


각각의 악성파일은 KBS 시사프로그램에서 방송된 내용의 캡처 화면을 사용했으며, 공통적으로 기업인들이 호기심을 가질 만한 이미지를 보여주고 있습니다.


2. 분석정보
'가해자.scr' 악성파일이 실행되면 이용자 계정의 Local 경로에 'ms.exe', '1.jpg' 파일을 생성하고 각각의 파일들을 실행합니다. '연령과근로시간.scr', '피해유형.scr' 파일 역시 생성되는 'ms.exe' 파일은 '가해자.scr'과 코드가 100% 동일한 것이지만, 이미지 파일만 '2.jpg', '3.jpg' 등으로 다르게 생성됩니다.


'가해자.scr' 실행 후 생성된 'ms.exe' 악성파일


실행된 파일은 마치 정상적인 내용처럼 위장하기 위해 다음과 같은 이미지 화면을 공격 대상자들에게 보여줍니다.


'가해자.scr' 실행 후 생성된 '1.jpg' 화면


'연령과근로시간.scr' 악성파일이 실행되면 'ms.exe'는 동일하지만, 생성되는 이미지 파일만 '2.jpg'로 다르게 보여줍니다.


'연령과근로시간.scr' 실행 후 생성된 '2.jpg' 화면


'피해유형.scr' 악성파일이 실행되면 'ms.exe'는 동일하지만 생성되는 이미지 파일만 '3.jpg'로 다르게 보여집니다.


'피해유형.scr' 실행 후 생성된 '3.jpg' 화면


'ms.exe' 악성파일은 WinRAR SFX 형식으로 압축되어 있으며 내부에는 '_tmp001[1].jpg', 'OPPOSVC.exe' 파일이 포함되어 있습니다. '1.jpg'~'3.jpg' 이미지 파일은 실제 내용을 담고 있으며, 이용자로 하여금 마치 정상적인 파일이 실행된 것처럼 보이기 위한 위장 내용이 포함되어 있습니다. 


공격자가 악성파일에 사전 설정한 WinRAR SFX 자동 압축 해제 조건에 따라 %Appdata%\Microsoft\ 경로에 생성되고, 'OPPOSVC.EXE' 파일이 사일런트 모드로 조용하게 실행됩니다. 또한, 압축파일의 정보를 통해 해당 악성파일이 2015년 05월 27일에 만들어진 것을 확인할 수 있습니다.


앞서 언급한 바와 같이 '가해자.scr', '연령과근로시간.scr', '피해유형.scr' 3개의 파일에 포함되어 있는 'ms.exe' 파일은 코드가 모두 동일하며, 보여지는 이미지도 같은 화면에서 캡처한 것으로 만들어져 있습니다.


WinRAR SFX  내부에 포함된 추가 악성파일과 설정화면


더불어 각각의 악성파일은 시계열 분석을 통해 동 시간대에 제작된 것을 확인할 수 있습니다.


악성파일들이 제작된 시간 가격 비교


악성파일은 과거 변종들과 같이 Anti-VM 기능을 가지고 있어, 분석가들이 사용하는 가상환경에서는 정상적으로 작동하지 않도록 만들어져 있습니다. 만약, 실제 윈도우 OS 컴퓨터 환경에서 악성파일이 실행되면 다음과 같이 '_tmp002[2].jpg' 파일과 'OPPOSVC.exe' 파일이 최종적으로 생성되고 실행됩니다.


악성파일이 최종적으로 감염된 화면


'OPPOSVC.exe' 파일이 실행되면 Windows 명령 처리기를 실행한 후, 'rundll32.exe' 파일을 실행합니다. 그리고 JPG 이미지 파일로 위장하고 있는 악성 라이브러리(DLL)인 '_tmp001[1].jpg' 파일을 로딩합니다.


이후 동일한 경로에 파일명만 다른 '_tmp002[2].jpg' 동일파일을 추가 생성하여 로딩하고, 처음 실행된 '_tmp001[1].jpg' 파일은 삭제합니다


이미지로 위장된 악성 라이브러리 동작과정 코드조건


그다음으로 인터넷 익스플로러(iexplore.exe)를 실행하여 '_tmp002[2].jpg' 악성파일을 로딩시켜 작동하게 됩니다.


인터넷 익스플로러에 의해 실행


악성파일은 공격자의 추가 명령 제어(C&C) 서버인 funs.game4fox.com 사이트로 접속하여 다음 명령을 대기합니다. 이러한 공격자의 행위를 통해 중요 자료 및 원격제어 등의 피해로 이어질 수 있습니다.


공격자의 C&C 서버로 접속하는 화면 


funs.game4fox.com 위치화면


악성파일은 레지스트리에 자신을 추가하여 재부팅을 할 때마다 자동으로 실행되도록 설정합니다.


자동 실행되기 위해 레지스트리에 추가된 화면


그리고 국내 특정 보안 모듈의 정상적인 실행을 방해하기도 합니다.


보안 모듈 실행을 방해하는 코드 화면



직장 내 괴롭힘 보고서 사칭 표적공격 정리 및 결론


Sykipot 시리즈의 스피어피싱 공격은 국내외에서 꾸준히 포착되고 있으며 유사한 형태의 변종들을 프로파일링한 결과 매우 다양한 형태의 공격이 진행됐던 것을 파악할 수 있습니다.


공격자는 국내 특정기업 및 기관을 상대로 은밀한 스피어 피싱을 꾸준히 수행하고 있으므로 각별한 주의가 필요합니다. 이와 같은 표적형 스피어피싱 유형은 이메일 이용자들의 심리를 교묘하게 활용합니다. 따라서 이메일에 첨부파일이 포함된 경우 항시 의심해야 하며 신뢰 가능 여부를 꼼꼼히 살펴보는 보안의식이 필요합니다. 


해당 악성파일들은 현재 알약에서 'Backdoor.Agent.Wkysol'로 탐지하고 있습니다.






관련글 더보기

댓글 영역