리더쉽에 대한 주제로 특정 단체를 타깃으로 한 APT 공격을 위한 한글 악성문서가 발견돼 주의가 요구된다.
 
김정수 하우리 보안대응센터장은 “이번에 발견된 한글 악성문서 또한 특정 단체를 가장하고 리더쉽에 대한 주제로 제작되어 유포되었으며 문서를 확인하기 위해 열람할 경우 정상 한글문서가 보여짐과 동시에 사용자 모르게 악성파일을 생성 및 실행한다”며 “설치되는 악성파일은 시스템 정보전송, 파일 다운로드 및 업로드, 프로세스 실행 등의 기능을 하며, 악성코드 제작자에게 수신받은 명령에 따라 악의적인 기능이 수행된다”고 설명했다.

 
APT 공격용 한글문서는 정치, 경제, 사회 전반에서 일어나는 최신 이슈를 이용하여, 사용자에게 현혹될 수 있는 내용이나 업무내용, 회의자료 등 일반적인 문서를 가장하여 사용자가 의심없이 열람할 수 있도록 접근한다. 접근 방법은 1차 유출된 타깃 기관의 사용자 메일정보를 활용한다. 
 
하우리 보안대응센터는 이번 악성문서를 다음과 같이 분석했다.
1. 다음과 같은 경로에 파일을 생성한다.
 - C:WINDOWSsystem32isrdbg32.dll
 - C:WINDOWSsystem32wshatm.nls (C&C 서버 IP 주소 저장)
 - C:Documents and SettingsAdministratorLocal SettingsTempAAAA
 
2. isrdbg.dll 파일이 서비스로 등록되어 윈도우 시작시 자동 실행될 수 있도록 한다.
[HKCMSYSTEMCurrentControlSetServicesISecctr]
" ImagePath" = " %SystemRoot%system32svchost.exe -k ISecctr"
“ServiceDll” = “%SystemRoot%system32isrdbg.dll”
 
3. C&C 서버 IP 로 접속을 시도한다.

 
4. 수신받은 명령에 따라 아래와 같은 동작을 수행한다.
- 0x5A253401 : 디스크 정보 전송
- 0x5A25340A : 프로세스 종료
- 0x5A253405 : 프로세스 실행
- 0x5A253404 : 파일 다운로드
- 0x5A253406 : 파일 삭제
- 0x5A25340D : 컴퓨터 이름, 호스트네임, IP 전송
- 0x5A253402 : 파일 검색
- 0x5A253409 : 프로세스 검색
- 0x5A253408 : cmd를 이용한 프로세스 실행
- 0x5A25340B : 파일 시간 변경
- 0x5A253403 : 파일 업로드
- 0x5A253400 : C&C 서버  IP 변경
 
김 센터장은 “문서파일이 첨부된 메일은 발신자에게 진위여부를 확인하거나 최신으로 업데이트된 백신으로 검사 후 열람하는 것이 바람직하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com