잉카인터넷, 바로가기로 위장한 표적 공격 파일 발견

글로벌 정보보안 전문기업인 잉카인터넷(대표 주영흠, www.nprotect.com) 대응팀은 한국과 일본의 특정 기관들을 지능형 표적공격, 정황을 다수 포착하여 자사 백신 제품인 nProtect AVS 3.0 제품에 긴급 업데이트를 진행하였다.

공격 파일은 바로가기(.LNK) 파일형식으로 만들어져 있고, LNK 내부에 삽입된 악의적 스크립트 코드명령에 의해 특정 사이트로 연결이 된다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 다운로드하여 몰래 실행하는 일종의 원격실행 취약점이 작동하게 된다.

또한, 공격자들은 바로가기 파일이 마치 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행하여 이용자로 하여금 정상적인 문서파일로 인지하도록 현혹한다. 현재까지 한국과 일본을 상대로 한 공격 징후가 계속 발견되고 있는 상태이고, 대부분 바로가기 파일을 ZIP 등으로 압축하여 이메일에 첨부하는 유포기법을 이용하고 있다. 실제 문서파일의 취약점을 공격하진 않았기 때문에, 기존의 문서기반 악성파일 탐지정책을 우회하거나 회피하기 위한 용도로 이용될 수 있어 각별한 주의가 요구된다.

이번 지능화된 표적 공격은 다양한 변종이 발견 되었으며, 사례 하나로 "필요한 자료.rtf.zip" 파일명으로 유포된 경우가 있다.  이 사례는 내부에 "필요한 자료.rtf.lnk" 이름의 악성파일이 포함되어 있고, 문서파일처럼 보이도록 하기 위해서 2중 확장자로 만들어져 있다. 악성파일을 압축 해제하면 LNK 확장명은 보여지지 않고, RTF 문서포맷처럼 보여지며, 실행시 특정 사이트로 연결되어 추가적인 스크립트 명령어가 실행되도록 만든다. 이 명령어는 임시폴더(Temp)에 "u.js" 라는 이름으로 생성되고 실행된다.

연결되는 스크립트 파일은 10진수 코드값으로 암호화되어 있으나 실제로 ASCII 코드값으로 변환되면 특정 사이트에서 "application.rtf" 파일과 "config.exe" 파일을 받아오며, 정상적인 문서파일이 실행된 것처럼 보이도록 하기 위해서 다운로드한 정상적인 "application.rtf" 문서 파일을 실행하여 보여준다. 하지만 사용자 컴퓨터에는 "config.exe" 라는 악성파일이 이용자 몰래 감염되게 된다

해당 악성파일은 대부분의 보안제품들이 탐지하지 못하고 있는 상황이며, 잉카인터넷은 변종 파일들을 다량 확보하여 nProtect AVS3.0 제품에 긴급 업데이트를 완료하였다.