이스라엘 언론인 The Times of Israle의 "How Israel Police computers were hacked: The inside story"을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다.
이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다.
이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 "Xtreme RAT Targets Israeli Government"를 통해 밝히고 있다.
발신인 - bennygantz59.gmail.com
이메일 제목 - IDF strikes militants in Gaza Strip following rocket barrage
첨부 파일명 - Report & Photos.rar
첨부된 Report & Photos.rar의 압축을 풀게 되면 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"이 생성된다.
생성된 해당 파일은 RARSfx로 실행 가능한 형태로 압축된 파일로 파일 내부에는 아래 이미지와 같이 2.ico(318 바이트), barrage.doc(85,504 바이트)와 Word.exe(827,120 바이트)가 포함되어 있다.
해당 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"을 실행하게 되면, 아래 이미지와 같이 파일 내부에 포함된 barrage.doc(85,504 바이트)을 보여주게 된다.
그러나 사용자 모르게 백그라운드로 다음의 경로에 내부에 포함하고 있는 파일들을 생성하게 된다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\2.ico
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\\barrage.doc
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Word.exe
그리고 생성된 파일 중 Word.exe(827,120 바이트)를 실행시켜 ".exe(4 바이트)" 파일을 생성하고, 윈도우 시스템에 존재하는 정상 파일인 sethc.exe을 로드 한 후 해당 프로세스의 메모리 영역에 자신의 코드 전체를 삽입하게 된다.
자신의 코드가 정상적으로 삽입하게 되면 해당 sethc.exe의 프로세스를 이용하여 다음의 시스템으로 역접속을 시도하게 되나, 분석 당시에는 정상적으로 접속 되지 않았다.
loading.myftp.org:1500
정상적으로 접속이 성공하게 될 경우, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.
원격 제어
화면 캡쳐
실행 중인 프로세스 리스트
파일 생성, 실행 및 삭제
레지스트리 키 생성 및 삭제
파일 업로드 및 다운로드
키보드 입력 값을 후킹하는 키로깅
이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격으로 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.
Dropper/Xtrat.999808
Win-Trojan/Xtrat.827120
향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.
Suspicious/MDP.DropMalware
Malware/MDP.Injector
앞서 언급바와 대만 기상청 타겟 공격과 이번 이스라엘 정부 기관을 대상으로 한 타겟 공격 모두 이메일의 첨부 파일을 이용하여, 내부 직원들의 감염을 유도하였다.
그러므로 외부에서 이메일이 전달 될 경우에는 발신인이 잘 아는 사람인지 그리고 메일 주소가 자주쓰거나 정확한 메일 주소인지를 확인하고, 첨부 파일이 존재 할 경우에는 실행을 해야 될 경우에는 백신으로 미리 검사하는 것이 중요하다.
'악성코드 정보' 카테고리의 다른 글
해커 그룹 어나니머스를 사칭한 랜섬웨어 발견 (0) | 2012.11.06 |
---|---|
이미지 파일들을 탈취하는 악성코드 발견 (0) | 2012.11.05 |
한반도 정황 관련 내용을 가진 취약한 한글 파일 발견 (0) | 2012.11.01 |
연봉 계약서로 위장한 취약한 한글 파일 발견 (0) | 2012.10.26 |
대통령 선거 관련 내용을 담은 취약한 한글 파일 발견 (0) | 2012.10.25 |
댓글