7월 중순 경부터 8월 초까지 일본과 한국의 특정 기관들을 노린 은밀한 방식의 지능형 표적공격 정황이 다수 포착됐다. 이 공격방식은 바로가기(.LNK) 파일형식으로 만들어져 있고, LNK 내부에 삽입된 악의적 스크립트 코드명령에 의해 특정 사이트로 연결이 된다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 다운로드해 몰래 실행하는 일종의 원격실행 취약점이 작동하게 된다.
 
또한 공격자들은 바로가기 파일이 마치 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행해 이용자로 하여금 정상적인 문서파일로 인지하도록 현혹한다. 현재까지 한국과 일본을 상대로 한 공격 징후가 계속 발견되고 있는 상태이고, 대부분 바로가기 파일을 ZIP 등으로 압축해 이메일에 첨부하는 유포기법을 이용하고 있다.
 
해당 공격을 최초 발견하고 포스팅한 잉카인터넷 대응팀 문종현 팀장은 “실제 문서파일의 취약점 공격은 아니기 때문에 기존의 문서기반 악성파일 탐지정책을 우회하거나 회피하기 위한 용도로 교묘하게 이용되고 있으므로 각별한 주의가 요구된다”며 “해당 악성파일은 현재 이 시점까지 전 세계 대부분의 보안제품들이 탐지하지 못하고 있는 실정이다. 잉카인터넷 대응팀은 악성파일 변종들을 다수 확보해 긴급 업데이트를 완료한 상태”라고 밝혔다.
 
다음은 이번 악성파일 공격에 대한 잉카인터넷의 상세분석 내용이다.


◇악성파일 종류별 공격 사례="필요한 자료.rtf.zip" 파일명으로 유포되었으며 내부에 "필요한 자료.rtf.lnk" 이름의 악성파일이 포함되어 있고 문서파일처럼 보이도록 하기 위해서 2중 확장자로 만들어져 있다. 압축을 해제하면 LNK 확장명은 보여지지 않고 RTF 문서포맷처럼 보여진다.
 
"필요한 자료.rtf.lnk" 파일은 내부적으로 바로가기 대상 내용에 악의적인 스크립트 코드를 포함하여 두었기 때문에 특정 사이트로 연결되어 추가적인 스크립트 명령어가 실행되도록 만든다. 이 명령어는 임시폴더(Temp)에 "u.js"라는 이름으로 생성되고 실행된다.
 
추가로 접속되는 사이트에는 또 다시 스크립트 명령이 작동되도록 만들어져 있고, 이 파일은 10진수 코드값으로 암호화되어 있으나 실제로 ASCII 코드값으로 변환되면 특정 사이트에서 "application.rtf" 파일과 "config.exe" 파일을 다운로드하고 실행하는 명령어라는 점을 알 수 있다.
 
정상적인 문서파일이 실행된 것처럼 보이도록 하기 위해서 다운로드한 정상적인 "application.rtf" 문서 파일을 실행하여 보여준다. 하지만 사용자 컴퓨터에는 "config.exe" 라는 악성파일이 이용자 몰래 다운로드되고 실행된다.
 
또 다른 사례는 다음과 같다.
"resume.zip" 파일명으로 마치 이력서 파일처럼 위장하여 유포된 경우이며 압축파일 내부에는 "details.rtf.lnk" 파일이 존재한다. 이는 앞서 언급한 사례와 동일하게 2중 확장자와 RTF 문서파일처럼 위장하고 있으며 특정 사이트로 접속을 시도하여 악의적인 스크립트를 실행하게 된다.
 
특히, 접속 사이트 도메인명에 KR 등 특정 키워드가 포함되어 있어 공격자의 표적 및 의도를 간접적으로 유추해 볼 수 있다.
 
"details.rtf.lnk" 악성파일이 실행되면 a.js 스크립트 파일에 의해서 특정 사이트에서 "explorer.exe" 와 "details.rtf" 파일이 다운로드되고 실행된다.
 
이때 "details.rtf" 이름의 정상적인 문서파일이 실행되면서 마치 정상적인 문서파일처럼 보여지도록 위장한다. 스크립트 명령어에 따라서 wordpad.exe에 의해서 "details.rtf" 파일이 실행된다.
 
"explorer.exe" 악성파일은 임시경로(Temp)에 "iexplore.exe"라는 이름으로 생성되고 실행되며 다시 "All Users" 경로에 복사본을 "intel.exe" 파일명으로 생성하고 실행한다. 해당 악성파일은 아이콘이 투명하게 되어 있어 파일명만 보인다.
 
"intel.exe" 악성파일은 홍콩의 특정 호스트(C&C)로 접속해 추가적인 명령을 수행하게 되며 각종 개인정보 등이 외부로 노출될 수 있다.
 
또 다른 사례는, 앞서 설명한 대표사례의 경우들은 2013년 7월 25일과 31일에 제작된 것으로 모두 한국내 특정인을 겨냥한 표적형 공격기법이었다. 그러나 이번 사례는 2013년 07월 18일 제작된 것으로 일본 통신회사의 이용요금 정보와 법조계 모임 내용처럼 위장하여 전파된 경우이다.
 
이와 관련해 일본 KDDI 공식 웹 사이트에서는 공지사항을 통해서 요금안내로 사칭한 이메일을 주의하라고 안내하고 있다.
 
일본 통신사 요금안내 파일로 사칭한 악성파일은 "ＫＤＤＩ料金のお知らせ.zip" 과 "「日本の司法を正す?」ご?係者各位.zip" 등의 파일명으로 유포되었으며, 파일명만 다른 동일한 압축파일이다.
 
한국을 겨냥한 방식과 동일하게 일본을 겨냥한 악성파일도 RTF 문서파일처럼 보이도록 2중 확장자를 사용하고 있으며, 접속을 시도하는 웹 사이트 형식이 두번째 사례와 매우 흡사해 동일한 제작자나 조직의 공격으로 추정된다.
 
일본용으로 제작된 LNK 악성파일은 "a.js" 스크립트 파일을 통해서 추가적인 "explorer.exe" 파일과 정상적인 문서파일인 "details.rtf" 파일을 다운로드하고 실행하게 된다.
 
이때 "details.rtf" 이름의 정상적인 문서파일이 실행되면서 마치 정상적인 문서파일처럼 보여지도록 위장한다. 스크립트 명령어에 따라서 wordpad.exe 에 의해서 "details.rtf" 파일이 실행된다.
 
설치되고 실행되는 "explorer.exe" 악성파일은 기존 변종들과 대부분 동일하게 작동하며, 최종 설치되는 악성파일들은 언제든지 새로운 종류가 유포될 수 있으므로 각별한 주의가 필요하다.
 
문종현 팀장은 “LNK 취약점을 이용해서 마치 문서파일처럼 위장한 악성파일이 증가함에 따라 기업 관리자들의 각별한 주의가 요망된다”며 “변종 악성파일이 다수 전파되고 있으므로 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하고 기본적인 보안수칙 준수가 필요하다. 더불어 의심스러운 이메일의 첨부파일은 가급적 열람하지 않도록 하여야 한다”고 강조했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com