보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
[특집] 코로나19(COVID-19)와 악성코드
2020.05.07
49,054
01. 개요
단순 폐렴으로 치부되었던 신종코로나 바이러스(COVID-19)로 인해 전세계는 팬데믹(Pandemic)사태를 맞이하게 되었다. 현실세계의 혼란이 투영되었는지 사이버세계에서도 코로나바이러스를 이용한 공격이 급증하기 시작하였다. 코로나19 안내문자를 사칭하는 스미싱 문자부터 사칭 앱, 사칭 피싱 메일까지 다양한 유포방식을 이용하여 무차별공격을 지속하고 있다. 이러한 공격은 현재까지도 지속되고 있기 때문에 사용자들의 각별한 주의가 요구되고 있다.
이러한 시대적 환경을 반영하여 월간보안동향 4월호 Analysis Report에서는 “알아보잡 Series” 대신 사이버 세상을 위협 중인 다양한 ‘코로나19 사칭 악성코드’에 대해서 이야기해보고자 한다. 유포되는 방식의 상당수가 메일을 매개체로 유포되고 있기 때문에 메일 내용의 특징과 악성코드의 종류에 대해서 알아보고자 한다
02. 악성 메일
공격자들은 악성코드 유포에 주로 메일을 사용한다. 정보 탈취를 위한 사이트로 리다이렉션되는 악성 URL을 포함하거나 다양한 형태의 첨부파일을 이용하여 공격을 진행하고 있으며 첨부파일에 사용되는 악성코드의 종류도 다양하다.
1) 미 질병통제예방센터(CDC) 사칭
미 질병통제예방센터를 사칭한 피싱 메일이다. 메일 본문에는 실제 질병통제예방센터의 도메인 주소 www.cdc.gov가 적혀있으나 해당 하이퍼링크를 실행 시 메일 본문에 안내되어 있는 URL이 아닌 다른 링크로 리다이렉션된다. 이후 사용자의 아웃룩 계정 정보를 요구한다.
[그림 1] 미 질병통제예방센터(CDC) 사칭 메일 본문 (출처 : 카스퍼스키)
2) 기업 코로나 관련 지시사항 사칭
기업의 경영관리부를 사칭한 메일도 유포되었다. 해당 메일은 국내를 타깃으로 유포되었으며 첨부파일은 워드 매크로를 악용하는 문서형 악성코드였다.
[그림 2] 분석에 사용된 샘플의 파일 정보
3) WHO 사무총장 사칭
WHO를 사칭한 메일도 발견되었다. WHO 사무국장이 직접 보낸 메일일 것처럼 위장하고 있으며 첨부파일로 정보 탈취형 악성코드가 포함되어 있었다. 실제 세계보건기구(WHO)의 도메인 주소는 www.who.int 이다.
[그림 3] WHO 사무총장 사칭 메일 본문 (출처 : IBM X-Force Exchange)
4) 질병 관리본부 사칭
질병관리본부를 사칭한 메일도 발견되었다. 질병관리본부 홈페이지의 도메인(www.cdc.go.kr)으로 연결되는듯한 링크가 포함되어 있으나 실행 시 악성 URL로 리다이렉션 된다.
[그림 4] 질병관리본부 사칭 메일 본문 (출처 : 지란지교 시큐리티)
03. 악성코드
그렇다면 사칭 메일이나 코로나를 이용한 공격에는 어떤 종류의 악성코드들이 사용되고 있을까?
1) 문서형 악성코드
워드 매크로 기능을 악용하는 악성코드이다. 국내를 대상으로 진행하는 공격에서 발견되었으며 ‘코로나 바이러스 대응.doc’ 라는 이름으로 유포되었다. 실행 시 다음과 같은 화면이 나온다.
[그림 5] 악성 매크로 실행 전과 실행 후
파일 실행과 동시에 다음과 같이 난독화된 코드가 실행된다. 이를 통해 임의의 C2에 접근하여 추가 악성 행위를 진행하는 악성 문서형 악성코드이다. 해당 악성코드는 지난 2월 ‘알아보잡 Series’에서 다뤘던 ‘KIMSUKY’ 그룹이 유포한 것으로 추정되고 있다.
[그림 6] 문서에 포함된 난독화된 악성 매크로(일부)
2) 폼북(FormBook)
주로 △사용자 스크린샷 캡쳐, △호스트 파일 정보수집, △인터넷 정보 수집, △ PC의 다양한 정보를 수집 후 C2서버로 전송하는 기능을 가진 악성코드이다. 최근 WHO 사칭 메일의 첨부파일에 포함되어 있었으며 해당 악성코드의 경우 코로나19 사칭 메일 뿐만 아니라 다양한 대상을 사칭하여 활발하게 유포되고 있다. 영어뿐만 아니라 국문으로 된 메일로도 유포되고 있으며 구글 드라이브에 접속하여 인코딩된 파일을 다운로드 받은 후 추가 악성 행위를 진행하는 특징을 가지고 있다. *.img, *.iso등 생소한 파일 확장자로 유포되고 있는 것이 특징이다.
[그림 7] 실제 유포된 폼북 악성코드
3) 비소날(Bisonal)
공격자들은 국가적으로 관심이 높은 키워드를 기반으로 악성코드를 유포한다. ‘신천지’의 비상연락처를 사칭한 악성코드 또한 다수 유포되고 있다. 문서형 파일로 위장하고 있으나 실제로는 실행파일로 되어있다. 비소날(Bisonal)의 경우 2010년도부터 발견되고 있으며 지금까지 수시로 리뉴얼하여 유포된다. 러시아, 일본, 한국 등을 공격 대상으로 삼고 있으며 △백도어, △레지스트리에 등록되어 재부팅 시 실행, △PC 정보 수집 후 C2 서버로 전송 등의 기능을 가지고 있다.
[그림 8] 신천지 비상연락처 사칭 악성코드 실행 화면
04. 대응방안
이번 특집 편을 준비하면서 다양한 코로나19 사칭 관련 악성코드 사례를 조사했다. 피싱에 사용되는 이메일은 상당히 정교하게 만들어진 경우가 많았으며 첨부파일로는 백도어 및 정보 수집(Infostealer)용 악성코드가 많았다. 관련 정보들을 수집하면서 느낀 대응 방안에 대해 적어보자 한다.
▶ 재택근무 확대와 악성코드
코로나19가 확산되면서 재택근무를 하는 회사가 증가함에 따라 기존에 사용하던 PC, 네트워크 망 등이 아닌 VPN(혹은 일반 인터넷망), 개인 PC 등으로 업무를 보는 사례도 함께 늘어나고 있다. 공격자들은 보안정책의 사각지대에 놓인(마치 세렝게티 초원의 한마리 톰슨 가젤같은) 공격 대상들을 대상으로 앞으로도 더 정교한 공격을 진행할 것으로 보인다. 코로나19 이슈를 이용하여 질병통제예방센터, 질병관리본부, 세계보건기구 등을 사칭한 피싱메일은 코로나19가 잠잠해질 때까지 계속해서 늘어날 것이고, 보다 더 자극적인 내용으로 유포될 것으로 예상된다.
▶ 개인이 보다 더 신경을 써야 할 때
재택근무 시 제공되는 네트워크 환경을 포함하여 개인이 보다 더 보안에 신경을 써야 할 때가 도래했다고 생각한다. 미뤄두었던 PC의 보안 업데이트를 항상 최신 버전으로 유지하고, 백신 및 보안 프로그램에도 신경을 쓰도록 하자. 유포되는 악성코드들은 주로 정보 수집용 악성코드이며 이는 실행이 되어도 랜섬웨어처럼 감염된 사실을 알기가 어렵기 때문이다. 메일을 확인 시 발신자의 이메일 주소를 한 번 더 확인하는 등의 주의가 요구된다.
05. 참고자료
[1] https://www.yna.co.kr/view/AKR20200219134800009
[2] https://exchange.xforce.ibmcloud.com/collection/2f9a23ad901ad94a8668731932ab5826
[3] https://blog.alyac.co.kr/2809
[4] https://blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html
[5] https://asec.ahnlab.com/1298
[6] https://www.jiransecurity.com/support/securitytrend