백신 탐지 우회하는 PC 트로이목마, 악성메일로 확산 중

이스트시큐리티, "파일명 `인보이스·송장·temp_xxxx`인 워드·엑셀 첨부 이메일 주의"

백신 프로그램을 무력화하고 감염 PC를 원격제어, 사용자 정보를 무단 수집하는 악성코드가 국내 기업과 기관 종사자를 대상으로 유포되고 있다. 출처가 불분명한 사용자로부터 온 이메일에 포함된 링크나 첨부파일을 열어보지 않는 것이 사이버공격 피해를 예방하기 위한 가장 기본적인 보안 수칙이라고 강조했다.

악성코드는 수신자가 메일 첨부파일을 열어 MS 워드나 엑셀 프로그램 상단에 표시된 보안경고창의 '콘텐츠 사용' 버튼 누르면 PC를 감염시킨다. 감염 PC는 결국 악성 원격제어 프로그램으로 제어되고, 악성코드는 시스템에서 권한상승과 정보유출 동작을 수행한다. 이 과정에 백신 탐지를 우회하는 단계별 추가 코드 다운로드가 진행되는 방식과 최종 악성코드 실행이 지난주 국내 유포된 악성메일과 동일했다.

발견된 악성 이메일은 파일명 ‘인보이스_xxxx’, ‘송장_xxxx", temp_xxxx’ 등의 이름을 가진 마이크로소프트(MS) 오피스 워드(doc) 또는 엑셀(xls) 문서 파일을 첨부하고 있다. 메일 수신자가 첨부된 파일을 열람하면, 문서를 정상적으로 보려면 MS워드나 엑셀 프로그램 상단에 표시된 보안 경고 창의 ‘콘텐츠 사용’ 버튼을 누르라는 안내문구가 나온다.

버튼을 누르면 공격자가 사전에 삽입해 둔 매크로가 실행되고, 명령제어(C&C) 서버에 접속한다. 이후 추가 악성코드가 MSI(MicroSoft Installer)를 활용해 PC로 수차례 전달된 다음 최종 악성코드를 실행한다. 이 과정에서 사용자 PC의 프로세스를 확인한다. 알려진 백신 프로그램이 실행되고 있을 경우, 백신 프로그램 프로세스 종료를 시도하는 동작을 수행하기 위해서다.

최종으로 실행되는 악성코드에 감염될 경우 공격자가 사용자 PC를 원격제어할 수 있게 된다. 이 밖에 사용자 정보 수집, 권한 상승 등 다양한 악성 기능을 수행하게 된다. 이 최종 실행 악성코드는 상업용 원격제어 프로그램의 유출된 소스코드를 기반으로 제작됐다는 게 이스트시큐리티 시큐리티대응센터(ESRC) 측의 분석이다.

ESRC 센터측은 "단계적으로 수차례 악성코드를 내려받아 최종 악성코드를 실행한 부분이, 지난주 국내에 대량 유포된 악성 메일과 일치하는 것으로 확인했다"며 "다만 이번 공격은 유효한 디지털 서명을 도용해 포함하고 있고 IBM사의 보안 프로그램으로도 위장하는 등 윈도OS 보안 로직과 화이트리스트 기반 보안 솔루션을 효과적으로 우회할 수 있게 제작돼, 더욱 큰 피해가 예상된다"고 말했다.

현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력해 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 또한 보안 백신 프로그램 알약(ALYac)에서 공격에 사용된 악성코드를 탐지명 ‘Trojan.Downloader.W97M.Gen’, ‘Backdoor.Agent.RAbased’, ‘Trojan.Downloader.XLS.gen’으로 탐지 및 차단할 수 있도록 긴급 업데이트했다.

https://news.v.daum.net/v/20190219183948311