기록하는 공부

[IT/보안 뉴스] 취약점 공격보다 더 답없다는 LNK…"화살표 따라가선 안돼" 본문

정보보안/IT 및 보안 뉴스

[IT/보안 뉴스] 취약점 공격보다 더 답없다는 LNK…"화살표 따라가선 안돼"

SS_StudySteadily 2023. 8. 16. 14:59
728x90
반응형

 

 

뉴스 요약

 

 

 '바로가기·링크'파일인 LNK를 악용한 사이버 공격이 올해 들어 기승을 부려 보안 업계가 주의를 당부했다. 공격자는 공정거래위원회, 국세청 등 국내 기관을 사칭한 메일에 악성코드를 심은 LNK파일을 첨부해 발송했다. 수신자가 이 파일을 실행하는 경우, 악성 명령이 작동하며 개인정보 등이 외부로 유출되는 피해를 입게 된다. 특히, 기존 소프트웨어 취약점을 노린 공격의 경우 보안 업데이트, 보안 패치 적용 등으로 일차적인 예방이 가능하지만 LNK파일을 이용한 공격은 수신자가 해당 파일을 클릭하지 않도록 하는 것 이외엔 별다른 예방법이 없다. 이 때문에 보안 업계선 파일 실행 전 파일 확장자를 확인하고, 용량이 비정상적으로 큰 LNK 파일은 악성파일의 가능성을 의심하고 주의를 해야 할 필요가 있다고 당부했다.

 

 

https://n.news.naver.com/mnews/article/003/0012016428?sid=105

 

 

 

 

 

 

 

리뷰

 

 

위 사진에서 첨부한 것과 같이 파일의 아이콘은 HWP 한컴 오피스 문서이다. 하지만 자세히 보면 아이콘 오른쪽 아래에 화살표가 있으며 이를 통해 HWP 문서처럼 보인은 LNK파일임을 알 수 있다.

일반 사용자들은 이를 아이콘과 파일 제목만 보고 업무용 파일인 줄 알고 쉽게 열람할 것이다. 그렇기 때문에 피해자들이 늘어나게 되었다.

일차적으로는 이메일로 발송된 파일은 열람하지 않아야 한다.

 

 

 

 

링크파일을 통한 악성코드 감염이 어떤식으로 이루어지는지 살펴보았다.

 

먼저, 한글 파일로 위장한 링크 파일을 클릭하면 파워쉘을 통해 악성 행위가 수행된다.

이 파워쉘 명령어는 링크 파일 내부에 존재하는 한글 문서를 생성 및 실행하여 정상적인 한글파일을 실행한 것처럼 보이게 한다. 그리고 public이라는 폴더에 21358.cab과 24360.vbs 파일을 생성하고 24360.vbs를 실행한다.

이 스크립트 코드는 난독화 되어 있다. 스크립트가 실행되면 21358.cab 내부에 압축되어 있는 파일들을 public/documents 폴더에 복사한 후 생성된 start.vbs를 실행한다. 그리고 처음에 생성되었던 21358.cab과 24360.vbs 파일은 삭제한다.

생성된 start.vbs 파일 역시 난독화되어 있으며 최종 실행 코드는 fully.bat 파일을 실행하도록 작성되어 있다. 이 bat 파일은 start.vbs 파일이 자동 실행될 수 있도록 HKCU\Software\Microsoft\Windows\CurrentVersion\Run에 svchostno2으로 등록한다.

그리고 no1.bat과 no4.bat 파일을 실행하고 download.vbs를 이용해 hxxps://filecompact.com/list.php?q=%COMPUTERNAME%.txt 에서 추가 파일을 다운로드한다. 다운로드 한 파일은 setup.cab로 저장 후 압축 해제한 뒤 삭제한다.

여기서 실행된 no1.bat은 start01.vbs와 start02.vbs를 실행하며, no4.bat 파일은 사용자 PC 정보를 유출하는 코드를 담고 있다. 여기서 수집된 정보는 public/documents 폴더 내에 cuserdown.txt, curserdocu.txt, tsklt.txt 등에 저장되고 이 파일들은 upload.vbs 파일을 이용해 hxxps://filecompact.com/upload.php로 전송된다.

 

 

 

 

이렇게 사용자의 PC 정보가 유출될 수 있다.

코드를 명확히 살펴보면서 직접 분석해보면 정말 좋은 기회가 될 것 같다는 생각이 들었고 분석자료를 보면서 어떠한 경로로 파일이 실행되고 악성코드가 심어지며 자료가 어떻게 유출되는지 배울 수 있는 좋은 기회라고 생각한다. 회사에서 근무 중에는 방심하고 손쉽게 당할 수 있는 이 공격을 모두들 경각심을 가지고 신중하게 판단하고 행동하면 좋을 것 같다는 생각이 들었다.

 

 

 

 

https://asec.ahnlab.com/ko/45988/

 

정상 한글 문서를 위장한 악성 링크 파일(LNK) - ASEC BLOG

ASEC 분석팀은 정상 한글 문서를 위장한 악성 LNK 파일이 유포되고 있음을 확인하였다. 국세청을 사칭한 텍스트 파일과 함께 유포되고 있으며 관련 내용이 담긴 정상 한글 문서가 실행되어 사용자

asec.ahnlab.com

 

 

 

 

 

 

뉴스 출처

 

 

https://n.news.naver.com/mnews/article/003/0012016428?sid=105 

 

취약점 공격보다 더 답없다는 LNK…"화살표 따라가선 안돼"

#회사를 운영하는 A 씨는 어느날 '비정기 세무조사 통지서'란 이름의 메일을 받았다. '이런 메일도 오는구나'생각도 잠시, 정보 누락을 피해를 입지 않기 위해 메일을 열었다. 최근 보안 업데이트

n.news.naver.com

 

728x90
반응형
저작자표시 비영리 변경금지

'정보보안 > IT 및 보안 뉴스' 카테고리의 다른 글

[IT/보안 뉴스] 비트코인 지갑 가로챈다…신종 랜섬웨어 '비상'  (0) 2023.08.17
[IT/보안 이슈] 210321 내가 겪은 보안 이슈 - 제주항공 SITA 개인정보 유출  (0) 2023.08.08
[IT/보안 뉴스] 유명 워드프레스 플러그인 닌자폼즈, 취약점 3개 발견돼  (0) 2023.08.03
'정보보안/IT 및 보안 뉴스' Related Articles more