Unicode Character Right to Left Override(U+202E) 기법을 이용한 표적공격 정황이 포착됐다. 이 공격방식은 2중 확장자명의 순서를 임의로 변경할 수 있어 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만든다.
 
해당 공격을 발견하고 주의를 당부한 잉카인터넷 대응팀 관계자는 “2중 확장자로 만들어진 악성파일이 압축파일(ZIP, RAR) 내부에 포함된 경우 확장명 앞의 3바이트를 U+202E 유니코드 포인트 RLO(Right to Left Override) HEX 값인 E2, 80, AE 값으로 조작하면 확장자 순서를 우측에서 좌측으로 변경할 수 있다”고 설명했다.

 
◇이력서 문서파일로 위장한 악성파일=잉카인터넷에 따르면, 지난 10월 8일에 보고된 이번 표적공격은 한국의 특정인 이력서 파일로 위장해 유포되었다. 실제로는 자동압축해제 형식의 실행파일(SFX RAR) 형식이지만 확장자와 아이콘을 모두 DOCX MS워드 문서파일로 보이도록 조작했다.
 
악성파일명은 "김영주 이력exe.docx"이라는 이름으로 발견되었고, 실제로는 DOCX 문서파일이 아니라 조작된 EXE 파일이다. 유니코드로 확장자의 순서가 변경되었기 때문에 윈도우 폴더화면에서는 문서파일 확장자가 최종적으로 보여지지만 CMD 화면창에서 확인해 보면 실제로는 EXE 파일이라는 것을 확인해 볼 수 있다.
 
공격자는 확장자 유니코드와 아이콘을 조작해 이용자로 하여금 문서파일로 인식하게 만든 후 실행을 유도하게 된다. 특히 이력서 파일로 위장해 특정 기업의 채용 구직 이메일로 둔갑한 후 표적공격에 은밀히 활용되고 있다.
 
실제 확장자인 EXE 형식으로 변경하면 SFX RAR 압축파일이라는 점을 확인할 수 있다.
 
압축 내부에는 실제 정상적인 파일인 "김영주 이력서.docx" 파일과 "SB360.exe" 이름의 악성파일이 동봉되어 있다. 그리고 2개의 파일은 함께 자동으로 실행되기 때문에 실제 이력서 화면이 보여지고, 은밀히 악성파일에 감염된다. 따라서 이용자는 정상적인 이력서 파일로 착각할 가능성이 높게 된다.
 
해당 이력서 내용에는 실제 특정 이용자의 개인신상 정보가 포함되어 있고 외부로 유출되어 악용된 것으로 추정된다.
 
압축파일 내부에 포함되어 있던 "SB360.exe" 파일은 VMWare Workstation 파일처럼 속성을 위장하고 있으며 중국어로 제작되어 있다.
 
"SB360.exe" 악성파일이 실행되면 [Program Files] 경로에 "Ruquhn aarmu" 이름의 폴더를 생성하고 내부에 "Aiwinme.exe" 이름의 악성파일을 생성하고 실행한다. 그러면 루트 드라이브에 랜덤한 4자리 숫자의 VBS 스크립트를 생성하고 실행하는데. 이 파일에 의해서 임시폴더(Temp)에 생성한 "SB360.exe" 최초 생성파일을 삭제한다.
 
컴퓨터가 재부팅시 자동으로 실행되도록 "Ayouyc saaaea" 이름의 서비스를 등록한다.

 
"Aiwinme.exe" 악성파일은 외부의 222.73.15.115 (중국), 60.254.142.32 (미국) 등의 명령제어(C&C) 호스트로 접속을 시도한다. 이를 통해서 정보유출 및 추가 악성파일 설치 등의 보안위협에 노출될 수 있다.
 
잉카인터넷 문종현 팀장은 “지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다”며 “이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다. 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서는 기본적인 보안 관리 수칙을 준수해 악성파일 감염을 사전에 예방할 수 있도록 해야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com