본문 바로가기

security/해킹 보안

여전히 위협적인 E-mail 기반 패킹(머징) 공격 기법


뭐, 하루 이틀 일은 아니겠지만, 여전히 메일함으로 오는 수많은 메일중에 일부는 악성코드를 첨부한 상태로 배송됩니다.

오늘 메일 한통 열어보다 보니..^^; 귀엽다는 생각이 들어서 웃다가 달리 생각해 보니, 일반적인 사용자들에게는 역시나 큰 위협이 될 것 같다는 생각에 간단히 포스팅 해 보려 합니다.

제가 사용하는 메일에 UPS.com 에서 배송이 실패 했다는 문구의 메일이 있더군요.

예전 같으면 바로 삭제 대상인데....근래에 아마존을 통해서 책도 제법 구매 하고, 이베이 등지를 뒤지다 보니 영문 메일이 바로 삭제의 대상은 아닙니다..^^;

게다가 어렵게 얻은 해외 인맥들의 안부 메일도 간혹 있기 때문에...^^;

암튼...그래서 한번 상세히 보기 위해 클릭 했습니다.


첨부 파일이 압축형태로 되어 있음을 확인 할 수 있습니다.
요즘엔 메일 서비스 들이 악성코드를 필터링 해 주기 때문에 이를 우회하기 위해서 압축을 하는 경우가 많죠.
암튼...다운받은 파일은 아래와 같습니다.


이를 열어보았더니, 아래와 같이 .zip 안에 UPSInvoice.exe 라는 녀석이 존재하고 있음을 알 수 있습니다.
직감적으로 트로이얀, 백도어 등의 공격용 툴임을 직감했습니다만, 직접 제 노트북에 (vm이 아닌..) 압축을 해제 해 봤습니다.

그랬더니, 아래와 같이 .doc 와 동일한 워드 형태로 압축이 해제 되더군요.

결국은 실행파일인데, word 파일로 위장한 파일인거죠.
이를 더블클릭하면 바로 제 컴퓨터에 악성 코드를 삽입하고 좀비PC가 될 수도 있는 상황인거죠..^^;
그래서 이 상태에서 안철수 연구소의 자랑...V3 8.0 을 이용하여 조사를 수행했습니다.
헌데,......결과는 아래와 같네요.

잡지 못하는 군요.
옵션에서 압축파일 검사 기능이 꺼져 있는 것 같아서 다시 옵션을 수정해 보기로 했습니다.
그래서 해당 기능을 켜고 다시 한번 검사를 수행해 보기로 했는데 , 사용자지정을 선택하여 내용을 확인해 보기로 했습니다.

그래서 확인해 보니 , 아래와 같이 압축 파일 타입도 선택할 수 있는 메뉴가 나타납니다.


검사를 수행해 봤으나, 결국은 못 잡네요.
그래서, v3lite와 siteguard 가 탐지를 하는지 갑자기 궁금해 졌습니다.
가상 머신에 xp 를 설치하고 v3lite와 사이트가드를 설치 한 뒤에 동일하게 메일에서 받은 후 검사를 수행해 보기로 하였습니다.


정상적으로 다운로드가 되었습니다. 즉 실시간으로 블럭킹하거나 탐지를 하지는 못했다는 거죠.
그 뒤에 v3lite에서 바로 정밀검사를 수행했습니다.
결과는 아래와 같습니다.
역시나 탐지 못하고 있습니다.
그헐다면 국내에서 무료백신 양강체계를 가진 이스트소프트의 알약은 탐지해 낼까? 하는 궁금증이 또 몰려와서 공개된 가장 최신 버전인 1.43 버전을 다운로드 하였습니다.



설치 후 모든 업데이트를 수행한 뒤에 해당 파일의 정밀검사를 실시 하였습니다.


안타깝게도 알약 역시 탐지해 내지 못합니다.

그래서 아예 행위 기반으로 분석해 보려고 아예 워드 파일로 위장한 파일을 실행 보았습니다.

그랬더니 ,아래와 같이 v3가 트로이 목마로 잡아 냅니다. 알약은 여전히 잡지 못하고 있었습니다.
(나중에 보니 , v3가 먼저 대응한것이고 , 추후에는 알약 역시 탐지해 냈습니다.)

즉, 패킹이 풀리면서 v3는 탐지해 내더군요. 그나마, 다행이지요...+_+

이 녀석은 특정 외부 ip의 웹서버로의 연결시도를 하면서 해당 아이피의 웹사이트에서 악성프로그램을 다운 받게 만들어 좀비화 하는데 사용되는 녀석 같습니다.
 


만약 이러한 위협으로 부터 실시간 대응이나 탐지가 안된다면?
백신이 이런 시그니쳐를 탐지할 수 없다면...너무나 위협적인 공격이 될 것입니다.

결론은.....완벽한 보안은 없으니 , 항상 주의하자...는 것이지요.