국방 관련 한글파일로 위장한 악성 파일 발견!

한글 파일 실행되면 악성코드가 함께 생성돼

[보안뉴스 김태형] 안랩 시큐리티대응센터(이하 ASEC)는 최근 이메일의 첨부파일로 특정 대상을 위해 제작해 유포되었을 것으로 추정되는 한글문서 파일을 위장한 악성코드가 발견되었다고 밝혔다.

아래 그림의 왼쪽의 ‘정상 한글 파일.hwp’ 파일이 정상파일이며 오른쪽의 한글 파일과 유사한 아이콘을 가진 ‘XXX 연구용역 관련.exe’파일이 악성파일이다.

아래 ‘국방정책 최종 자료입니다.exe’ 파일은 최근에 발견된 또 다른 유사한 악성코드이다.

유사한 파일들을 추적해 본 결과 2012년 6월부터 발견되기 시작했으며 2012년 11월부터 조금씩 발견 건수가 늘어나고 있지만 그 수는 3개 이하이다. 즉, 공격을 시도할 특정 타깃에게만 유포되는 것으로 추정된다.

해당 악성코드는 한글문서 아이콘을 사용하지만 실행 파일(SFX 압축 파일)로 확인된다. 사용자가 한글문서로 착각하여 실행할 경우 악성코드에 감염된 것을 인지할 수 없도록 아래와 같은 한글문서(hwp.hwp)가 실행된다.

▲ 한글문서 파일 실행 화면

한글 파일이 실행되면 아래와 같은 악성코드가 함께 생성된다.

그리고 아래와 같은 레지스트리 값을 생성해 서비스로 동작하도록 구성되어 있다.

악성코드에 감염되면 키보드에 입력된 정보가 kl.log 파일에 저장된다. 또한 bug.log 파일에 에러로그가 저장되는 것으로 추정된다.

▲ kl.log 키로깅 파일

다음은 kl.log 파일과 함께 생성된 bug.log 파일을 메모장으로 열어본 화면이다.

▲ bug.log 파일 정보

kl.log 파일을 열어보면 사용자가 키보드로 입력한 키로깅 정보가 저장되며 추후 키로깅한 정보를 외부로 유출할 것임을 확인할 수 있다.

▲ kl.log 파일에 저장된 키로깅 정보

V3 제품에서는 아래와 같이 진단이 가능하다.

·Win-Trojan/Agent.261705 (V3, 2013.01.28.00)

·Win-Trojan/Agent.236544.AP (V3, 2013.02.03.00)

·Dropper/Plugx.307690 (V3, 2013.02.03.00)

·Dropper/Agent.232173 (V3, 2013.01.28.03)

·Backdoor/Win32.Etso (AhnLab, 2012.07.05.00)

·Win-Trojan/Agent (V3, 2013.01.28.03)

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)