2024-03-29 14:40 (금)
국가안보전략 HLP파일로 위장…APT공격 발견!
상태바
국가안보전략 HLP파일로 위장…APT공격 발견!
  • 길민권
  • 승인 2012.05.14 14:44
이 기사를 공유합니다

소속분야 관심 내용으로 사칭…주요 인물 표적화 공격
알려져 있지 않은 파일 확장명과 Anti-APT 솔루션 우회 시도
잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀을 통해 도움말(HLP)파일로 위장된 국가안보전략 내용의 APT 공격이 발견되었다고 14일 밝혔다.
 
이번 발견된 “국가안보전략 개요.hlp” 파일명의 악성파일은 Windows 도움말 파일 형식(HLP)으로 만들어져 있으며 북한의 대남 위협과 우리의 안보태세와 관련된 내용으로 구성된 본문을 포함하고 있다.

 
최근에 도움말 파일(HLP)을 이용하는 악성파일이 꾸준히 발견되고 있으며 해당 취약점 파일 등에 의해서 또 다른 악성파일이 사용자 컴퓨터에 몰래 설치되는 과정을 거치게 된다.
 
즉 국가안보전략 개요.hlp 파일이 실행되면 아래와 같이 정상적인 문서내용이 보여지게 되며 아무런 경고메시지 없이 추가적인 악성파일이 자신의 컴퓨터에 몰래 설치되고 이러한 악성파일들에 노출될 경우 외부의 악의적인 추가 명령을 통해서 ▲다양한 정보 유출 ▲Zombie PC 등으로 전락하여 DDoS 공격용 에이전트 ▲추가 악성파일 경유지 서버 ▲APT 공격용 2차 전초기지 등으로 악용될 수 있다.
 
일반적으로 널리 알려져 있는 문서파일(DOC, PDF, HWP, XLS, PPT 등)의 취약점을 이용한 악성파일은 꾸준하게 등장하고 있었으나, 일반인들에게 다소 생소한 도움말 파일(HLP)의 취약점 등을 이용한 공격사례는 아무런 의심 없이 실행할 수 있어 그 피해가 더 심각할 수 있을 것으로 예상된다.
 
문종현 잉카인터넷 ISARC 대응팀장은 “기존에 알려져 있는 공격 수법만을 방어하는 시스템만으로는 100% 안전할 수 없다는 것을 보안 관리자는 반드시 유념해야 한다”며 “공격자는 방어자의 기술을 분석하여 역이용하고 탐지를 우회하기 위한 다양한 노력과 실험을 하고 있다는 것을 절대로 잊어서는 안된다”고 전했다.
 
지금까지 널리 알려져 있는 표적형(APT) 공격 이메일의 첨부파일은 대체로 문서파일의 보안 취약점을 이용하는 것이 보편적인 수법이다. 대표적으로 이용되는 파일 형식은 매우 다양하고, 첨부파일뿐만 아니라 본문에 포함된 악의적인 URL 링크 클릭 유도 등을 이용한 사례도 다수 존재한다.
 
문 팀장은 “문서파일에 대한 행위분석 대응법과 일반 실행파일 형태에 대한 APT용 악성파일 대응이 복합적으로 마련되어야만 이상적인 효과를 발휘할 수 있고 공격자는 지속적으로 새로운 위협 모델을 준비하고 있다는 점을 간과해서는 안된다”고 강조했다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#APT