세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
이메일 첨부파일 잘못 클릭했다간...PC·스마트폰까지 해커 ‘장악’
  |  입력 : 2018-01-24 17:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이메일 첨부파일 형태로 애드윈드 악성코드 유포
악성코드 피해, PC 뿐만 아니라 모바일까지 이어질 수도
악성코드 감염시 해커가 원격에서 완벽하게 통제 가능


[보안뉴스 권 준 기자] 최근 자바 아카이브 파일(이하 jar) 형식으로 위장한 ‘애드윈드’ 악성코드가 이메일을 통해 유포되고 있는 것으로 드러났다. 이메일 첨부파일을 클릭해 해당 악성코드에 감염될 경우 사용자 PC 뿐만 아니라 자칫하면 스마트폰까지 해커에 의해 완전히 장악 당할 수 있어 각별한 주의가 필요하다.

▲ 애드윈드 악성코드가 첨부된 이메일 모습[자료= 순천향대 SCH사이버보안연구센터]


순천향대 SCH사이버보안연구센터(센터장 순천향대 염흥열 교수)에 따르면 jar 파일 형식을 갖는 원격접속 트로이목마(이하 RAT)인 애드윈드 악성코드가 이메일을 통해 유포되고 있다고 밝혔다. 해당 악성코드는 jar 파일 확장자 형식을 사용함으로써 악성코드로 인한 피해가 모바일 운용체제 환경까지 확대될 위험성이 크다는 지적이다.

애드윈드 RAT는 스피어피싱 공격에 자주 악용된 악성코드로, 특히 지난 2015년 싱가폴 은행 직원들 메일로 유포된 적이 있다. 애드윈드는 AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat 이라는 다양한 이름을 가지며, 여러 변종들이 존재한다. 또한, 공격자가 구매해 사용할 수 있는 백도어 프로그램으로, 자바 기반으로 작성되어 작동하는 운영체제 환경이 윈도우, OS X, 리눅스, 안드로이드 등을 모두 포함한다.

SCH사이버보안연구센터에서 입수한 애드윈드 악성코드는 메일의 첨부파일로 유포되고 있으며, 첨부된 파일인 image003.png.zip 파일이 악성코드를 포함하고 있는 것으로 분석됐다. 이 악성코드는 최근인 1월 18일에 제작된 것으로 추정된다.

해당 악성코드는 ‘Statement of Account’라는 이메일 제목, ‘Sent from my iPhone’이라는 이메일 내용, 그리고 ‘image003.png.zip’ 이라는 파일이 첨부된 상태로 유포된다. 악성코드의 md5 값은 ‘58923c7f4a277b52f2b6659f8189f7ee’로 분석됐다.

▲ 숨겨진 jar 확장자 형태로, 다양한 플랫폼에서 감염될 수 있는 위험성이 존재한다. jar 파일 내부는 AES로 암호화되어 있다[자료= 순천향대 SCH사이버보안연구센터]


첨부된 파일의 압축을 풀면 Image003.png.jar라는 파일이 복구되는데, 확장자 숨기기 옵션을 선택한 사용자는 png 확장자로 보여 이미지로 오인하기 때문에 해당 파일을 직접 실행하게 만든다는 게 센터 측의 설명이다. 또한, 해당 jar 파일 진단을 우회하기 위해 문자열 난독화 기법이 사용되고 있는 것으로 드러났다.

▲ 센터에서 발견한 3개의 명령제어 서버 IP. 토르(Tor)를 통해 연결되는 명령제어 서버도 존재
[자료= 순천향대 SCH사이버보안연구센터]


애드윈드에 감염된 컴퓨터는 ‘7777’ 포트를 통해 원격제어가 가능하며, 이후 포트 스캐닝을 통해 감염된 컴퓨터에서 열려있는 다른 포트를 이용해 명령제어(C&C) 서버와 추가 명령을 받기 위해 통신하게 된다.

해당 악성코드는 기존 RAT와 마찬가지로 원격 데스크톱 제어, 데이터 수집, 데이터 유출 등의 악성 기능을 수행한다. 세부적으로는 키보드 입력값 수집, 화면 스크린 샷, 웹캠 제어, 마이크 사운드 녹음, 파일 전송, 일반 시스템 및 사용자 정보 수집 등 기능을 갖추고 있는 것으로 조사됐다.

특히, 애드윈드 변종에는 탐지 방해 기능들도 탑재되어 있는데 샌드박스 탐지 기능, 다양한 백신 및 보안 솔루션 비활성화 기능, 리버스 엔지니어링 방해 기능 등이 존재한다.

SCH사이버보안연구센터 김예준 연구생은 “애드윈드 악성코드는 이메일을 통해 유포되고 있기 때문에 이메일 수신자는 출처가 수상한 이메일의 첨부파일을 함부로 실행하지 않는 등 각별한 주의가 필요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)