사회공학 악성코드, 수상한 이메일 열지 마세요

2010.04.07

 

2-3. 사회공학적 기법

 

사람은 가장 취약한 정보 개체로 일컬어지고 있다. 눈에 보이는 욕심에 마음이 동요되기도 하고, 권력에 의한 명령/지시를 여과없이 따르기도 하며, 세상의 관심사에 쉽게 노출될 수 있는 약한 존재이기도 하다. 이렇듯 외부의 다양한 환경에 의해 동일한 사람임에도 각기 다른 행동(결과)을 취할 수 있는 모습을 가지고 있다. 공격자가 이러한 인간의 취약성을 공격하여, 자신이 원하는 의도에 맞게 행동하도록 유도하는 사회공학적 기법이 올해에도 그 위세를 떨치고 있다.

 

스팸봇 활동 꾸준

 

스팸 메일을 발송하는 기계라 할 수 있는 커널 스팸 봇의 피해 신고가 올 상반기에 급증했다. 커널 스팸 봇이란 커널 모듈로 존재하며 윈도우 주요 시스템 프로세스에 자신의 쓰레드를 생성하여 동작하는 악성코드를 말한다. ‘러스톡’(Win-Trojan/Rustock)이 대표적이다.
이 악성코드에 감염된 PC에서는 주로 불법적인 약품 광고 스팸 메일이 발송된다. 단지 스팸 메일을 보내는 데 그치지 않고 정보 유출(백도어) 기능도 하고 있다. 또한 고도의 자기 보호 기능이 있어 진단 및 치료가 매우 어렵다. 이 악성코드의 감염 경로는 다양하다. 메일에 삽입된 인터넷 주소를 클릭하거나 보안이 취약한 웹사이트를 방문했을 때 웹브라우저의 취약점 등으로 자동 다운로드 및 실행되기도 한다.
또한, 대량의 스팸메일을 발송하기 때문에, 감염된 PC가 속해있는 네트워크 망에 상당한 부하를 주게 된다. 감염된 PC의 수에 따라 내부 네트워크 망이 점차 서비스 불능 상태로 빠지게 되어 업무 효율을 크게 저하시킬 수 있어 주의가 요구된다

<그림> 커널 스팸봇의 다른 악성코드 다운로더 기능

 

 

커널 스팸봇에 감염이 되면 다른 악성코드에 의한 2차, 3차 감염이 발생할 수 있으며 일반적인 방식으로 해당 악성코드를 탐지 및 치료를 하기가 쉽지 않다.

이메일을 통한 악성코드 유포

 

2009년 ASEC을 통해 모니터링/분석된 대표적인 공격 사례는 다음과 같다. 사회공학적 공격 형태의 이메일을 통한 악성코드 유포가 유독 많았던 한 해로 기억된다.

 

■n 보안업데이트 공지메일로 위장한 형태 - 아웃룩 업데이트, 컨피커 웜 보안패치
■n 운송장, 주문서 메일로 위장한 형태 – UPS, DHL, 삼성노트북 주문서
■n 금융거래, 세금고지 메일로 위장한 형태 – WorldPay CARD, IRS 세금고지
■n 서비스 관리자 공지메일로 위장한 형태 – 사용자 계정 변경 요청
■n 사회적 이슈를 담은 형태 – 마이클잭슨의 사망, 신종인플루엔자, 911테러
■n 기념일을 담은 형태 – 미국 독립기념일, 할로윈데이
■n 소셜 네트워크 서비스를 담은 형태 – 트위터 초대메일, 페이스북, 마이스페이스

 

이메일을 통해 악성코드를 유포하는 대표적인 형태는 다운로드가 가능한 URL Link 혹은 첨부파일 형태로 전파하는 방식이다. 이메일에 첨부된 악성코드 파일 형식은 대부분 압축파일 형태(zip 등) 를 이용하고 있는데, 이는 실행파일 형식의 첨부파일이 이메일 보안 솔루션에서 쉽게 탐지되거나 차단이 가능할 수 있는 상황을 손쉽게 우회하기 위한 것이라 하겠다.

 

사회공학적 공격 기법 (이메일)을 이용한 악성코드 유포 과정:

1. 공격자는 시스템 해킹(Hacking)을 통해 스팸/피싱/악성코드 유포 사이트를 개설하거나, 혹은 악의적인 호스팅 업체를 통해 직접 개설하기도 한다.

2. 직접 수집하거나 외부의 또 다른 공격자를 통해 구매한 개인정보(이메일주소)를 이용하여, 자신의 웹사이트로 유도되는 악의적인 URL을 통해, 악성코드 제작자를 통해 구매하거나 자체 제작한 악성코드를 첨부파일 형태로 이메일 발송에 들어간다. 이때에는 봇넷이나 스팸봇이 이용되는 것이 일반적이다.

3. 이메일을 수신하게 되는 네티즌은 보안의식의 정도에 따라, 사용 시스템의 보안 정도에 따라, 공격자의 공격에 쉽게 노출되어 피해자의 일원이 될 수 있다. 

<그림> 사회공학적 공격 기법 (이메일)을 이용한 악성코드 유포 과정

 

 

이메일을 통해 전파된 악성코드 유형은 다음과 같다. 특히, 6월 경부터 한국으로도 유입되기 시작한 브레도랩 (Win-Trojan/Bredolab) 변형들을 분석하는 과정에서 해당 악성코드가 허위 안티 바이러스 소프트를 설치하여 다수의 악성코드에 감염된 것으로 컴퓨터 사용자에게 허위 정보를 제공한 뒤 해당 허위 안티 바이러스 소프트웨어를 구매하도록 유도하고 있는 것으로 분석되었다.

■n 브레도랩 트로이목마 (Win-Trojan/Bredolab)
■n 제우스 봇넷 에이전트 (Win-Trojan/Zbot)
■n 허위 안티스파이웨어 (Win-Trojan/Fakeav)
■n 온라인뱅킹 트로이목마 (Win-Trojan/Banker)
■n 다중 악성코드 드롭퍼 (Win-Trojan/Mdrop.143360)

 

악성코드의 유포를 통해 공격자가 얻고자 하는 궁국적인 목표가 대부분 금전적인 이윤 추구에 있음을 상기 악성코드 유형을 통해 직잠할 수 있는 대목이다.

 

 

<그림> Antispyware 2010 허위 안티스파이웨어의 설치화면

 

 

 <그림> Antispyware 2010 허위 안티스파이웨어의 허위 경고 화면

 

 

<그림> Antispyware 2010 허위 안티스파이웨어의 허위 치료 화면

 

 

※  본 원고의 저작권은 한국인터넷진흥원(KISA)과 안철수연구소 시큐리티대응센터(ASEC)에 있습니다

 

         김지훈시큐리티 분석가

 

안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 일반인들이 쉽게 이해할 수 있도록 보안지식을 전파하는 "전문 보안교육전문가"가 되는 것이 그의 소박한 꿈이라고 한다

위 글은 안랩닷컴 

 페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
악성코드 이렇게 움직인다. #3 이메일, 아무거나 열지 마세요. 
보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요