확장자에 해당하는글 2



랜섬웨어는 컴퓨터를 감염시키는 즉시 파일을 암호화시키고 천연덕스럽게 복호화툴 구매를 제안한다. 만약 최근에 백업을 해 뒀다면 돈을 낼 필요가 없겠지만 백업이 없는 상태고 데이터를 복구해야 한다면 돈을 낼 수밖에 없다. 물론 맬웨어 제작자의 실수로 인해 복호화 전문가들이 무료 복호화방법을 찾아내는 경우도 있긴 하지만 이는 지극히 드문 경우다.



랜섬웨어는 주로 이메일 첨부물의 형태로 배포되는데 최근 사례를 표시한 위 그림을 보면 랜섬웨어 제작자들은 DOCX 워드파일이나 JS 자바스크립트파일의 형태로 만든 악성파일을 zip 압축파일에 넣는 방법을 즐겨 사용함을 알 수 있다. 사실 이렇게 압축할 필요 없이 직접 워드문서 또는 자바스크립트를 첨부할 수도 있으며 이 경우 악성코드 실행에 필요한 클릭 과정이 줄어들기도 한다. 하지만 악성코드를 압축파일에 넣는 방법은 세 가지 목적이 있다. 우선 zip과 같은 압축파일은 자바스크립트 파일과는 달리 이메일 첨부물로 흔히 볼 수 있어서 눈에 띄는 인상을 피할 수 있다. 그리고 압축파일의 경우 악성코드 실행에 필요한 클릭 수가 늘어나기 때문에 대부분의 기업이 zip 첨부물에 대해서는 개별 파일에 비해서는 다소 관대하게 대하는 경향이 있다. 아울러 압축파일을 여는 과정은 사용자가 악성코드에 실제 접근할 때 시각적으로 이메일프로그램가 분리되는 효과도 있다.


압축파일을 열면 윈도우 탐색창이 뜨면서 비정상적인 이메일 첨부물이 아닌 믿을 수 있는 일반적인 파일이 들어 있다는 인상을 심어주게 된다. 랜섬웨어는 exe 파일, 엑셀 스프레드시트, PDF, batch 파일 등 다양한 형태로 배포될  수 있지만 최근에는 주로 워드 문서파일과 자바스크립트파일의 형태로 퍼지고 있다. 대부분의 워드문서는 단순 텍스트나 이미지만 있으므로 안전하지만 매크로나 내장된 프로그램 명령어를 담고 있을 수도 있으며 이 경우 랜섬웨어와 같은 맬웨어를 다운받아 설치할 수 있다. 한편 자바스크립트파일은 아이콘 모양이 종이처럼 생겨서 무해한 텍스트파일로 보이지만 사실은 보통의 exe 파일이 수행 가능한 작업을 모두 할 수 있는 프로그램이다.


최근 이들 두 유형 외에 LNK 파일이 새로운 배포유형으로 떠오르고 있다. LNK는 Shell Link Binary 파일인데 일반적인 사용자에게는 바로가기(shortcut)로 잘 알려져 있으며 다른 파일로 위장이 용이하기 때문에 맬웨어제작자들이 종종 사용해 왔다.




위 그림을 보면 왼쪽은 MyDoc.pdf 파일이고 오른쪽은 모양은 같지만 오른쪽 하단 화살표를 보면 링크나 바로가기임을 알 수 있다. 물론 해당 파일을 명령 프롬프트를 통해 조회하거나 마우스 우클릭으로 속성을 조회하면 상세정보를 볼 수 있다. 위 그림을 보면 탐색창 설정을 통해 파일 확장자를 보이도록 했음을 알 수 있지만 LNK 파일의 경우 바로가기 대상이 되는 파일의 이름만 보이며 자체적인 파일이름 및 확장자는 표시하지 않는다.



LNK 파일은 또한 위 그림과 같이 파일이름을 변경하고 아이콘까지 다르게 지정할 수 있으며 명령을 실행하도록 할 수도 있다. 위 LNK 파일은 INVOICE.pdf.lnk로 cmd.exe를 통해 명령 프롬프트를 실행하여 s.js라는 자바스크립트파일을 생성 및 실행하도록 설정된 상태다. 이 파일은 PDF와 아무 관련이 없는데도 INVOICE.pdf라는 PDF파일로 표시되며 클릭하면 명령 프롬프트를 통해 생성된 s.js 파일을 실행하여 Wscript.Echo() 함수를 통해 메시지를 띄우게 된다.



이렇게 보면 오늘날 워드문서파일 및 자바스크립트파일에 대한 경각심이 높아진 상태에서 사이버범죄자 측이 LNK 파일을 악용하리라는 점을 짐작할 수 있다. 위 내용처럼 LNK 파일은 파일 확장자를 표시하는 설정을 따르지 않으며  실제 행동과 일치하지 않는 아이콘을 부여받을 수 있기 때문에 아주 매력적인 기만수단이 될 수 있다.


위에서 확인한 각 이메일은 위 INVOICE.pdf의 경우과 유사한 수법을 사용하는 LNK 파일을 첨부물로 가지고 있다.


LNK 감염은 랜섬웨어 외에도 다양한 악성코드를 배포할 수 있으며 피해자별로 운영체제 버전, 시간대, 지리적 위치 등에 따라 제각각 다른 악성코드를 퍼뜨릴 수 있다.




랜섬웨어 등 악성코드 방지요령


1.윈도우에서 파일 확장자가 보이도록 설정한다. 물론 이 방법은 LNK 파일에 대해서는

소용이 없지만 적어도 이를 제외한 모든 파일의 확장자를 보여준다는 면에서 보안향상에 도움이 된다.

2. 요청하지 않은 첨부물을 주의한다.

3. 실시간 안티바이러스 및 웹필터링 솔루션을 사용하고 업데이트를 최신으로 유지한다.

4. 이메일에 첨부된 LNK 파일은 열지 않는다.

5. 이메일첨부물로 허용되는 파일 목록을 확인한다. 시스템관리자 대부분은 exe 파일이나 미디어파일 등 잘 알려진 파일유형 첨부물을 이메일 유입단계에서 차단한다. LNK 파일의 경우처럼 사이버범죄자 측에서 행동양상을 바꿀 경우 해당 차단목록을  확인하고 필요한 경우 목록을 갱신할 필요가 있다.




Paul Ducklin, Beware of ransomware hiding in shortcuts, 8. 3. 2016.

https://nakedsecurity.sophos.com/2016/08/03/beware-of-ransomware-hiding-in-shortcuts/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.08 13:58


파일유형에 따른 위험성

 

컴퓨터를 사용자들은 대체로 실행파일(.exe)가 위험할 수 있다는 사실은 알고 있지만 사실 윈도우 운영체제에는 실행파일 말고도 위험성을 안고 있는 파일확장자가 적지 않으며 심지어 화면보호기 파일도 위험할 수 있다.

 

웹에서 다운받았거나 이메일에 첨부된 파일이 열어도 안전한지 알기 위해서는 우선 어떤 파일확장자가 위험성을 가지고 있는지 알아야 한다. 위험성이 있는 파일을 취급해야 하는 경우라면 해당 파일을 안티바이러스 프로그램으로 검사하거나 VirusTotal과 같은 맬웨어 데이터베이스에 등록하는 등의 조치를 통해 바이러스 등 맬웨어가 아닌지 확실히 해야 한다.

 

파일확장자가 종류에 따라 위험성을 가지는 이유는 코드를 포함하거나 임의명령을 실행할 수 있기 때문이다. 위에서 언급한 .exe 파일은 윈도우 사용자계정제어(User Account Control)의 범위내에서 사실상 무엇이든 할 수 있기 때문이다. 반면 .jpeg 이미지나 .mp3 음원파일 등 미디어파일은 기본적으로 코드를 포함하지 않기 때문에 위험성이 없다(악성으로 조작된 이미지 등 미디어파일이 뷰어 어플리케이션의 취약점을 악용할 수 있었던 사례가 있지만 이런 경우는 극히 드물며 보완도 신속히 이루어진다).

 

프로그램

.EXE 프로그램 실행파일로 윈도우 운영체제에서 실행되는 어플리케이션은 대부분 .exe 파일이다.

.PIF MS-DOS 프로그램에 대한 프로그램 정보파일로 원래는 실행코드를 포함하지 않지만 만약 실행코드가 포함된 경우라면 윈도우에서 .exe와 동일하게 인식되어 실행될 수 있다.

.APPLICATION 마이크로소프트 ClickOnce 기능을 토대로 한 어플리케이션 인스톨러.

.GADGET 윈도우 비스타(Vista)부터 도입된 바탕화면 가젯(gadget) 기능을 작동시키는 가젯 파일.

.MSI 마이크로소프트 인스톨러 파일로 실행시 컴퓨터에 다른 어플리케이션을 설치한다. 참고로 .exe 또한 어플리케이션을 설치할 수 있다.

.MSP 윈도우 인스톨러 패치파일로 .MSI 파일로 설치된 어플리케이션에 대한 패치 용도로 사용된다.

.COM MS-DOS가 사용하는 프로그램 유형.

.SCR 윈도우 화면보호기로 실행코드를 포함할 수 있다.

.HTA HTML 어플리케이션으로 브라우저에서 실행되는 HTML 어플리케이션과 달리 샌드박스 투입 없이 신뢰되는 어플리케이션으로 실행된다.

.CPL 제어판(Control Panel) 파일로 윈도우 제어판에 있는 모든 유틸리티는 .CPL 파일이다.

.MSC 마이크로소프트 관리콘솔(Management Console) 파일로 그룹정책편집기 및 디스크관리툴과 같은 어플리케이션이 .MSC 파일이다.

.JAR 자바 실행코드를 포함하고 있는 파일로 자바 런타임이 설치된 경우 .JAR 파일이 프로그램으로 실행된다.




 

스크립트

.BAT 배치(batch) 파일로 본래 MS-DOS에서 사용되며 열게 되면 컴퓨터에서 실행되는 명령 목록을 포함하고 있다.

.CMD .BAT와 유사한 배치파일이지만 윈도우NT에서부터 도입됐다.

.VB, .VBS VBScript 파일로 실행시 VBScript 코드를 실행하게 된다.

.VBE 암호화된     VBScript 파일로 일반적인 VBScripty 파일과 유사하지만 실행시 어떤 결과가 나올지 예측하기 어렵다.

.JS 자바스크립트 파일로 주로 웹페이지에서 사용되며 웹브라우저에서 실행시 안전하다. 하지만 윈도우에서는 .JS 파일을 브라우저 외부에서 샌드박스 투입 없이 실행시키기 때문에 위험성이 있다.

.JSE 암호화된 자바스크립트 파일.

.WS, .WSF 윈도우 스크립트 파일

.WSC, .WSH 윈도우 스크립트 구성요소(Script Component) 및 윈도우 스크립트 호스트(Script Host) 파일로 윈도 스크립트 파일과 함께 사용된다.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 윈도우 파워쉘(PowerShell) 스크립트로 파일 내에 지정된 순서대로 파워쉘 명령을 실행한다.

.MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML 파워쉘의 전신인 모나드(Monad) 스크립트 파일.


 


바로가기

.SCF 윈도 탐색기(Explorer) 명령파일로 위험한 명령을 윈도 탐색기에 넘길 수 있다.

.LNK 컴퓨터에 깔린 프로그램에 대한 링크로 사용자에 대한 문의 없이 파일을 삭제하는 등의 위험한 행동을 실행할 수 있는 명령어 속성을 포함할 수 있다.

.INF AutoRun이 사용하는 텍스트파일로 실행시 동반하여 실행되는 어플리케이션이 위험할 수도 있으며 윈도우에 포함된 프로그램에 위험한 옵션을 전달할 수도 있다.

 

기타

.REG 윈도 레지스트리 파일로 실행시 추가하거나 삭제할 레지스트리 입력 목록이 들어 있다. 악성 .REG 파일은 레지스트리에서 중요한 정보를 제거하고 이를 불량 또는 악성 데이터로 대체해 버릴 수 있다.


 

오피스(Office) 매크로

.DOC, .XLS, .PPT 마이크로소프트 워드, 엑셀, 파워포인트 문서로 악성 매크로코드를 포함할 수 있다.

.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM 오피스 2007부터 도입된 파일확장자로 확장자 끝의 M은 해당 문서가 매크로를 포함한다는 사실을 가리킨다. 예를 들어 .DOCX 파일은 매크로가 없는 반면 .DOCM 파일은 매크로를 포함할 수 있다.

 

 


Chris Hoffman, 50+ File Extensions That Are Potentially Dangerous on Windows, 2. 12. 2013.

http://www.howtogeek.com/137270/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.22 14:25

위로가기