최근 윈도 핵심 프로세스인 conime.exe로 위장해 기밀자료 유출을 시도한 APT공격을 탐지한사례가 나왔다. 트루컷시큐리티 심재승 대표는 이에 대한 주의를 당부했다.
 
정상 프로세스 : C:＼windows＼system32＼conime.exe
위장 프로세스 : C:＼temp＼conime.exe
                     C:＼temp＼comime.exe
 
심 대표는 “이처럼 동일 프로세스명인데 폴더 위치만 바꾸거나 프로세스명의 글자 1자를 바꾸는 방식으로 위장하니 특히 주의하여야 한다”고 밝혔다.
 
또한 “윈도 업데이트 프로그램인 wuauclt.exe로 위장해 기밀자료 유출을 시도한 악성코드와 윈도 시스템 폴더에 worker.exe라는 프로세스명으로 위장해 기밀자료 유출을 시도한 악성코드도 함께 탐지되었다”며 이에 대한 주의도 같이 당부했다.
[데일리시큐=길민권 기자]