2020-05-29 15:50 (금)
북한 핵미사일 관련 한글문서로 위장 APT 공격 시도!
상태바
북한 핵미사일 관련 한글문서로 위장 APT 공격 시도!
  • 길민권
  • 승인 2013.07.30 23:32
이 기사를 공유합니다

감염된 시스템 내에 존재하는 문서 정보 및 중요 파일 탈취 목적
작년 12월 장거리 미사일 발사와 올해 2월 3차 핵실험 등 북한의 핵미사일 위협 이슈 속에 최근 국방부가 발표한 북한 핵미사일 탐지/타격체제 구축 방안에 대한 관심이 높아지면서 이와 관련된 APT공격용 한글 악성문서가 발견돼 주의가 요구된다.
 
하우리 보안대응센터 김정수 센터장은 “해당 한글 악성문서는 북한의 도발을 경계, 주시하고 있는 국가기관을 겨냥하여 배포되었을 것이라고 추측하고 있다”며 “해당 악성문서를 열람 시 정상 한글 문서와 악성파일이 동시에 동작하기 때문에 사용자가 감염을 인지하기란 쉽지 않다”고 설명했다.  
 
감염된 시스템은 사용자의 키로깅 기능을 수행해 사용자가 입력한 키보드 내용이 고스란히 탈취되며 감염된 시스템 내에 존재하는 문서 정보 및 중요 파일이 탈취되는 증상이 있는 것이 확인됐다.  
 
김 센터장은 “최근 북한과의 대립적 관계가 악화됨에 따라 대중의 관심과 이슈를 이용해 북한 관련 내용으로 가장한 한글 악성문서가 빈번히 발생하고 있어 주의가 필요하다”며 “사용자는 최신 백신 업데이트를 유지하고 실시감 감시기를 활성화하며 사용자와 관리자의 주의 깊은 관심이 필요하다”고 강조했다.

하우리에서 분석한 상세내용은 아래와 같다.
 
1. 해당 문서열람시 아래와 같은 대비방향에 대한 문서와 함께 다음과 같은 경로에 파일을 생성한다.
 
[파일 생성 경로 ]
C:Documents and Settings사용자계정Local SettingsTemp~AB.tmp
C:Windowsdxset.exe
C:Documents and Settings사용자계정Application Datadxdiagdxdialog.dll
 
2. 생성된 dxset.exe파일이 레지스트리에 등록되어 윈도우 시작시 자동으로 실행되며 dxset.exe파일이 실행되면서 dxdialog.dll파일을 explorer.exe 프로세스 또는 iexplore.exe에 injection되어 동작 한다.
 
3. 현재 시간을 비교하여 오늘의 날짜가 1일 17일인 경우 악성코드는 종료된다.

4. dxdialog.dll파일은 인터넷 관련 프로세스(Internet Explorer / FireFox / Chrome)를 검색 후 해당 프로세스에서 사용자가 입력한 키 로그를 파일로 저장한다. 저장된 파일은 Microsoft Word문서로 위장하고 있다.
 
5. 시스템 시간의 5일 간격으로 Recent 폴더의 문서들의 이름들을 읽어와 저장한다.
 
6. 특정 폴더경로에 .cat 및 .dat 파일을 복사하여 하나의 파일로 저장 후 cat, dat 파일을 삭제한다.
 
7. 최종적으로 키로깅 기능 및 정보 탈취 기능을 동작하게 된다.
[파일 저장 경로 ]
C:Documents and Settings사용자계정Application DataMicrosoft Officesample.doc
 
8. 사용자가 인터넷창을 통해 입력한 내용이 저장되어 있는 sample.doc파일은 다음과 같이 FTP서버로 접속하여 파일을 전송하게 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com