APT 공격은 공격방법과 피해증상도 중요하지만, 공격대상이 어디인가? 어떤 조직, 어떤 기관, 어떤 단체를 겨냥하여 제작된 악성코드인가도 매우 중요한 정보이다.
 
김정수 하우리 보안대응센터장은 ”8월 1일 발견된 한글 악성문서는 내용적인 면에서 볼 때 기존에 있었던 정치, 경제, 사회전반의 이슈의 내용으로 작성된 한글 악성문서와는 차이를 보인다. 해당 악성문서의 내용이 일반 PC 사용자의 인터넷 사용시 보안상 주의해야 할 사항들을 언급한 점에서 해당 한글 악성문서는 일반 사용자를 겨냥한 것으로 추정된다”며 “더군다나 한글 악성문서가 보여질 때 악성코드 또한 숨겨져 실행되므로 감염된 사용자는 감염여부를 알 수 없으며, 감염 시 시스템 정보, 사용자가 입력한 키보드 내용, 시스템에 존재하는 파일리스트 등을 수집하여 악성코드 제작자가 미리 개설해 놓은 메일로 발송된다”고 주의를 당부했다.
 
또 “APT 공격용 한글 악성문서는 핵티비즘을 이용한 사례가 많았으나, 최근에는 공격대상이 개인 사용자, 중소기업 등으로 범위가 확대되고 있어서 사용자의 관심과 주의가 필요하다”고 강조했다.
 
하우리는 이번 악성코드에 대해 다음과 같이 분석했다.
1. 해당 한글 악성문서 열람 시 다음과 같은 경로에 파일이 생성된다.
 
[파일 생성 경로]
(Temp 폴더)RegUtil.exe
C:Windowssystem32vpn.lib
C:windowssystem32vpn.dll
C:windowssystem32hvmen.exe
C:windowssystem32fvmen.exe

 
2. RegUtil.exe 에서 생성된 vpn.dll 파일은 hvmen.exe 파일을 생성한다. 해당 파일은 바이너리가 암호화 되어 있으며, vpn.dll 파일이 복호화 로직을 이용하여 복호화 후 fvmen.exe 파일로 재생성하며, fvmen.exe 파일을 실행한다.

 
3. fvmen.exe 파일은 다음과 같은 사이트에 연결을 시도하며, 연결되는 경우 아이디와 패스워드를 이용하여 로그인한다.
- 도메인 : pop.aol.com

 
4. 로그인에 성공한 경우 메일함에서 파일을 다운받아 실행하지만, 현재는 파일이 삭제되어 다운받지 못한다.

 
5. 다운받은 파일은 다음과 같은 경로에 파일을 생성한다.
C:Documents and Settings(사용자계정)Application DataMozillassc.exe
C:Documents and Settings(사용자계정)Application DataMozillafll.exe
C:Documents and Settings(사용자계정)Application DataMozillaICNotify.exe
C:Documents and Settings(사용자계정)Application DataMozillagfile.exe
 
6. 생성된 파일(ssc.exe, fll.exe)은 다음과 같은 경로에 파일 리스트를 생성한다.
C:Documents and Settings(사용자계정)Application DataMozillaudr.dat
 
7. 생성된 파일(gfile.exe)은 밑줄 그어진 파일을 읽어와 다음과 같은 경로에 파일 생성을 시도한다
C:Documents and Settings(사용자계정)Application DataMozillawindrv.dll

 
8. 생성된 파일(ICNotify.exe, svchost.exe)은 아래와 같은 레지스트리에 등록되어 자동실행 된다.
키: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
이름: SystemHdle
값: C:Documents and Settings(사용자계정)Application DataMicrosoftsvchost.exe
 
9. 생성된 파일(ICNotify.exe, svchost.exe)은 후킹을 통하여 사용자의 키보드 입력값을 가로채어 파일에 저장 한다.

 
10. 저장된 내용은 다음과 같은 메일로 전송되며, 전송되는 메일의 제목은 사용자 PC의 컴퓨터 이름이다.
- 받는 사람 : dong******@gmail.com

 
데일리시큐 길민권 기자 mkgil@dailysecu.com