포스팅 내용

악성코드 분석 리포트

확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

 

안녕하세요. 알약입니다.

최근 바로가기(*.lnk) 파일을 활용해 ‘비너스락커(Venus Locker)’ 변종 랜섬웨어 작동을 유도하는 악성 이메일이 유포되고 있어, 사용자 주의를 당부 드립니다.


▲ 숙소 예약 문의로 위장한 스피어피싱 메일


이스트시큐리티 시큐리티대응센터 분석 결과, 이번 공격은 2016년 말부터 국내 특정 기관 및 기업 임직원을 상대로 유포된 비너스락커 랜섬웨어 공격의 연장 선상으로 확인됩니다. 최근 블로그 운영자들을 상대로 한 원격제어(RAT, Remote Administration Tool) 공격 역시 같은 성격을 띠고 있습니다.


공격자가 발송한 악성 이메일에는 신분증 등 사진 파일 형태(*.jpg)로 확장자가 위장된 실행 파일과 문서 파일(*.doc)로 보이도록 만든 바로가기(*.lnk) 파일이 포함된 압축 파일이 첨부되어 있습니다.


메일 수신자가 첨부된 파일의 압축을 해제한 뒤 문서 파일로 위장된 바로 가기 파일을 실행할 경우, 사진 파일로 위장된 실행 파일이 자동으로 작동해 랜섬웨어에 감염됩니다.


▲ 문서(*.doc)와 사진(*.jpg) 파일로 위장한 악성 파일


특히 이번 공격은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 제공한다는 점을 악용해, ‘지원서.doc.lnk’, ‘룸사진2.jpg.lnk’ 등 이중 확장자명으로 파일을 조작하는 기법을 사용한 것으로 분석되었습니다.


▲ 바로 가기 속성 명령을 통해 랜섬웨어를 실행하는 화면


윈도 운영체제의 기본 설정을 사용하는 사용자 PC 폴더에서는 이중 확장자명으로 조작된 첨부 파일이 실제 확장자인 바로가기(*.lnk)가 생략돼 ‘지원서.doc’ 등으로 보입니다. 따라서 정상적인 문서나 사진 파일로 오인할 가능성이 커 더욱 각별한 주의가 필요합니다.


현재 알약에서는 이번 피싱 공격에 사용된 악성 파일을 ‘Trojan.Bafometos, Backdoor.Androm.gen’ 등의 이름으로 탐지 및 치료하고 있습니다.






  1. 추연수 2017.01.20 23:42 신고  수정/삭제  댓글쓰기

    알약 요즘 레알 꿀팁만 올려주시네요.
    시큐리티 대응조직도 만들고 앞으로도 잘부탁합니다.

    • 알약(Alyac) 2017.01.23 09:22 신고  수정/삭제

      안녕하세요. 댓글 남겨 주셔서 감사합니다. ^^ 앞으로도 안전한 보안 환경을 위해 열심히 노력하겠습니다!

  2. CDSLAB 2017.01.22 19:30 신고  수정/삭제  댓글쓰기

    그런데
    pe파일이 jpg파일로 위장이 가능한가요?(몰라서;;)

    • 알약(Alyac) 2017.01.23 09:23 신고  수정/삭제

      안녕하세요. 알약입니다. 본문에서와 같이, 이번 공격은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 제공한다는 점을 악용한 특징이 있습니다. 악성 파일을 ‘지원서.doc.lnk’, ‘룸사진2.jpg.lnk’ 등 이중 확장자명으로 파일을 조작하는 기법을 사용한 것으로 분석된 점 참고해주시기 바랍니다. 감사합니다.

  3. 2017.02.01 15:19 신고  수정/삭제  댓글쓰기

    혹시 치료하면 문서 복구도 되나요?
    ㅜㅜ

    • 알약(Alyac) 2017.02.01 19:56 신고  수정/삭제

      안녕하세요. 치료 시 숙주 파일을 제거하는 것일 뿐, 관련 랜섬웨어의 복구툴이 개발되지 않는 한 문서를 복호화하는 것은 어렵습니다. ㅠㅠ 관련하여 더 자세한 사항이 궁금하시다면 알약 [신고하기]를 통해 관련 내용을 신고해주시기 바랍니다. 감사합니다.

    • 2017.02.14 15:06  수정/삭제

      비밀댓글입니다

  4. 지나가다 2017.12.19 13:44 신고  수정/삭제  댓글쓰기

    알집은 이기사를 부끄러워해야합니다. 사용된 형식이 EGG인데요. 즉 EGG는 알집의것이고 알집으로 여는게 당연할것입니다. 하지만 옛날 컴퓨터잘몰랐던사람들은 이스트의알패키지를 많이사용했습니다. 알다시피 알집을 인터넷에 검색하여 평판을 확인해보면 성능이 낮고 문제가 많은 프로그램이란 인식이 사용자들에게 남아있죠. 즉 EGG를 사용한 이유도 사용하는사람들은 상대적으로 컴퓨터에 신경을 안씁니다. 더좋은 반디집이나 외국산이 있지만 계속 쓰던거 쓰는경향이 강하니깐요. 이스트제품들 반성많이해야됩니다. 건의하면 부서에 전달만하지 개선잘안해요 ㄷㄷ 멀리서 지켜보지만 참 아쉬운기업이죠

티스토리 방명록 작성
name password homepage