EMC/RSA 침해 사고 유발한 타깃 공격 이메일 발견

ASEC에서는 2011년 4월 4일 EMC/RSA에서 APT 형태의 침해 사고가 발생하였으며, 이로 인해  2 팩터 인증(2 Factor Authentication) 관련 정보들이 외부로 유출 되었다는 사실을 전한 바가 있다.

당시 EMC/RSA에서는 해당 APT 형태의 침해 사고는 "2011 Recruitment plan.xls"라는 마이크로소프트(Microsoft)의 엑셀(Excel)파일이 첨부된 메일을 이용한 타깃 공격(Targeted Attack)으로부터 침해 사고가 발생하였다는 사실을 공개하였다.

이러한 사실 관계가 현지 시각 2011년 8월 26일 핀란드 보안 업체인 F-Secure의 "How we found the file that was used to Hack RSA" 블로그를 통해 공개되었다.

F-Secure에서는 밝힌 EMC/RSA에서 발생한 APT 형태의 침해 사고는 ASEC에서 확인한 아래 이미지와 같이 2011 Recruitment plan.xls(108,032 바이트) 이 첨부된 타깃 공격을 위한 이메일로 부터 시작되었다.

 해당 엑셀 첨부파일은 당시 제로 데이(Zero-Day, 0-Day) 취약점이었던 어도비 플래쉬 플레이어(Adobe Flash Player)의 CVE-2011-0609 취약점을 악용하도록 제작되었다.

EMC/RSA에서 발생한 APT 형태의 침해 사고는 사람의 심리를 공격한다는 고도화된 사회 공학(Social Engineering)과 제로 데이 취약점을 악용해 원격 제어 형태의 악성코드 감염을 시도한 복합적인 형태로 볼 수가 있다.

이번 EMC/RSA에서 발생한 침해 사고에 이용된 타깃 공격을 위한 이메일에 첨부된 엑셀 파일은 V3 제품군에서 다음과 같이 진단한다.

Dropper/Cve-2011-0609

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.