화면보호기 악성코드를 이용한 피싱 메일 사례

오늘 에세이에서는 화면 보호기를 이용한 악성코드 사례에 대해서 설명드릴까 합니다. 화면 보호기는 최근에는 잘 사용하지 않는 기능이지만, 구조적인 특성을 이용하여 한 때 해커들이 많이 활용했는데요. 작년까지만 해도 화면 보호기를 이용한 악성코드가 유행했기 때문에 알고 계시면 도움이 될 것 같아, 이와 관련해서 말씀드리고 해당 악성코드의 동작 방식도 간단하게 설명해보도록 하겠습니다.

​

인용한 기사의 첫 줄에서 APT 공격이라는 용어가 나오는데, 일단 이것부터 설명드리고 가도록 하죠. APT는 Advanced Persistent Threat의 약자로 직역하자면 지능형 지속 공격이라고 부릅니다. 이 APT 공격은 앞으로 꽤 자주 등장할텐데 단순히 말해서 불특정 다수에게 악성코드를 메일로 뿌리고 끝나는 1회성 공격이 아닌, 타겟을 정해두고 성공할 때까지 오랜 시간 다양한 공격을 수행한다..라고 보시면 됩니다. 이 APT 공격에 대해서는 추후에 자세히 설명드리도록 하고 본론으로 넘어가겠습니다.

​

이번 악성 메일 사례의 경우 북한 해커 조직에서 수행한 공격으로, 스크린 세이버라는 scr 파일을 이용했는데요. 알고계실지 모르겠지만, 예전 윈도우 XP 시절만 하더라도 화면 보호기라는 기능을 많이 이용했습니다. PC를 장시간 사용하지 않을 때 화면 보호기 기능을 통해 전력을 절약했죠. 물론 지금은 절전 모드를 해두는게 더 좋기 때문에 거의 사용하지 않는 기능인데요. 이 스크린 세이버라는 scr 파일을 열면 화면 보호기 실행되는데, scr 파일이 exe 실행 파일과 구조가 동일하기 때문에 해커들이 이를 활용하게 됩니다.

​

scr 파일을 실행하면 해커가 생성해둔 C&C(Command & Control, 명령 제어 또는 C2라고 부름) 서버와 통신하여 추가적인 악성코드를 다운로드 받게 됩니다. 인용한 기사에는 자세히 나와있지 않지만, 윈도우 탐색기로 불리는 explorer 프로세스에 다운로드 받은 악성코드를 삽입한다는 말로 봐서, DLL 인젝션 기법을 이용한게 아닌가 생각되는데요. 이와 관련해서는 기술적인 내용을 길게 언급드려야하기 때문에 여기서는 생략하기로 하고, explorer 프로세스에 악성코드가 삽입된 상황에 대해서만 간단히 설명드리겠습니다.

​

여러분들의 PC에서 작업 관리자에 실행해 보면 explorer.exe가 항상 떠 있는 것을 보실 수 있는데요. explorer 프로세스는 바탕화면에 파일이나 작업표시줄을 표시하고 사용자와 상호작용을 해주는 GUI Shell이라고 보시면 됩니다. 여기서 보통 사용자가 PC에서 실행하는 대부분의 프로세스는 explorer 프로세스의 하위 프로세스로 실행되는데, 이 explorer에 악성코드가 삽입되면 사용자가 어떤 프로세스를 실행했는지와 같은 행위들을 모니터링 할 수 있겠죠. 하지만 사용자들은 이 악성코드에 감염되었어도 잘 몰랐을텐데, scr 악성코드를 실행시킬 때 해커가 이력서로 위장한 루어(Lure) 파일이 실행되도록 함으로써 잘 인지하지 못했을 것으로 생각됩니다.

 

한글 이력서 위장 악성메일 유포! 北 추정 김수키 조직의 계속되는 APT 공격

 

전체적으로 정리하자면, 해커가 exe와 동일한 구조를 가진 scr 파일을 이용해서 악성코드를 만들었는데, 메일로 받은 scr 악성코드를 실행하면 이력서로 위장한 한글 문서가 실행되면서, C&C 서버와 통신을 통해 추가 악성코드를 다운로드 받고 explorer 프로세스에 삽입되어 사용자의 행위를 모니터링 한다..로 보실 수 있습니다. 또한 단순히 불특정 다수를 노린 공격이 아닌 특정 조직을 타겟으로 한 APT 공격이라는 것도 기억해두시면 좋을 것 같습니다. 조금 길어졌지만 오늘 설명드릴 내용은 여기까지 입니다. 그럼 마치도록 하죠. 감사합니다.