블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

문서로 위장한 표적형 악성위협, 완벽히 차단하는 방법
제이스

 

 

전세계인의 관심이 가장 많이 쏠려 있던 지난 미 대선. 아직도 말끔한 결론이 나지 않고 있는 시점입니다. 대선 시작 직후 이러한 사람들의 관심을 이용해 악성코드 이메일을 배포한 일이 일어났는데요. 지란지교시큐리티의 새니톡스(SaniTox)를 통해 APT 공격에 사용된 미대선 관련 hwp 문서 분석결과를 살펴보도록 하겠습니다.

 

▶ 분석 파일 : 미국대선예측- 미주중앙일보.hwp

 

 

악성 이메일은 수신자들이 관심있어 할 만한 제목으로 발송됩니다. ‘미국대선예측’ 이라는 파일명이 이를 증명합니다. 의심없이 한순간의 클릭만으로 파일을 여는 순간 악성코드에 쉽게 감염되어 버립니다. 하지만 감염되어도 본인이 감염된 지 모르는 경우가 허다합니다. 새니톡스를 사용하여 해당파일을 무해화 해보겠습니다.

▶ 분석 사용 툴 : 새니톡스

 

파일을 여는 순간 새니톡스가 실행됩니다. 사용자는 평소와 같이 문서를 열고 확인하고 닫았습니다. 하지만 새니톡스는 그 잠깐의 시간동안 해당파일을 위험요소를 무해화 시켰습니다. 결과는 새니톡스 웹에서 확인할 수 있습니다. 새니톡스 웹을 통해 위협요소를 식별하고, 콘텐츠 무해화(CDR: Content Disarm and Reconstruction) 후 문서의 안전성 및 정합성이 보호되었는지 진단할 수 있습니다.

 

 

 

 

새니톡스 위협 요소 식별

 

[그림 1] 콘텐츠 예방 로그에서 한/글 파일

 

 

[그림 1] 에서와 같이 새니톡스 웹 대시보드를 통해 대상 한글파일이 무해화 된 것을 확인할 수 있습니다. 해당 파일을 클릭하면 아래 [그림 2]와 같이 위험도 식별(경계 단계, 주황색) 및 문서의 기본정보 등을 확인할 수 있습니다.

 

 

[그림 2] 상세보기 화면

 

 

상세보기 창에서 “무해화 콘텐츠”, “상세분석” 탭 등을 통해 위협요소에 대한 자세한 정보를 확인할 수 있습니다.
 

 

[그림 3] 상세보기에서 위협 요소 식별

 

 

상세분석의 분석정보에 “실행 가능한 OLE 객체가 포함되어 있습니다.” 문구를 통해 실행 가능한 OLE(위협 가능)이 포함되어 있음을 알 수 있고, 파일 정보에서 해당 문서의 구조와 위협이 되는 OLE 정보를 보다 자세히 알 수 있었습니다.

 

 

 

 

안정성 확인

 

해당 한글파일을 바이러스 토탈 등을 통해 무해화 전/후 비교해보면 무해화 전에는 일부 바이러스엔진에서 바이러스가 발견되지만, 무해화 후에는 모든 안티바이러스엔진에서 바이러스가 없다고 보고되었습니다.

 

 

[그림 4] 바이러스토탈을 통한 무해화 전/후 비교

 

 

무해화 전에는 존재하던 위협적인 OLE가 새니톡스를 통해 무해화 후 제거된 것을 확인할 수 있으며 안심할 수 있는 파일로 재조합 되었습니다.

 

 

[그림 5] 무해화 전 OLE 위협 요소와 무해화 후 내용 제거된 화면

 

 

 

 

정합성 확인

 

해당 한글문서는 악성코드를 포함하고 있었지만 새니톡스를 통해 무해화 된 후에 한글파일이 정상적으로 열리고 그 내용도 확인할 수 있습니다.

 

 

[그림 6] 무해화 후 문서를 한글로 연 화면

 

 

 

 

분석결과

 

이미 알려진 악성코드를 포함한 문서는 시그니쳐 기반의 안티바이러스 등을 통해 탐지될 수 있지만, 알려지지 않은 혹은 변형된 위협 요소를 통한 Zero-Day APT 공격에 대해서는 안티바이러스는 대응할 수 없습니다. 하지만 새니톡스의 CDR 기술은 위협적인 액티브콘텐츠를 제거하고 재조립하는 과정을 통해 안티바이러스가 놓친 위협적인 파일에 의한 Zero-Day APT 공격에 대해서 선제적으로 대응할 수 있습니다.

 

 

문서로 위장한 표적형 악성위협 차단, 새니톡스로부터 시작됩니다.

 

 

새니톡스는 악성코드 의심요소를 원천 차단하여 신뢰할 수 있는 파일로 재조합하여 제공하고 있습니다. 무해화 결과에 대한 상세 정보 보기 기능과 함께 유입된 파일에 대한 유형별 통계, 감사로그, 시스템 현황 등 리포트를 제공하고 있어 문서 무해화 성과와 분석 내용을 직관적으로 파악할 수 있습니다. 지금 새니톡스로 우리기업의 악성코드 위협을 제거해 보시기 바랍니다.

 

 

이미지를 클릭하면 해당 신청 페이지로 이동합니다.

 

 

 

 

#랜섬웨어 #랜섬웨어제거 #무해화 #새니톡스 #데이터살균 #악성코드보안 #지란지교시큐리티

  • 제이스
    지란지교시큐리티 주니어 마케터
  • IT회사에서 일하면서 아날로그 감성을 좋아하고 사람을 향하는 기술의 발전을 환영하지만 결코 사람보다 우선하는 가치는 없다고 생각하는 지란인

최신글

  • 기업자료 유출·유실 사례 BEST 3
  • 오늘은 직장생활을 하며 한 번쯤은 겪었을 기업 문서자료 관리에 대한 이야기를 해볼까 합니다. 직장생활을 하며 만났던 사회인 B군의 이야기로 시작을 해볼까요? 어느 날 B군 개인 메신저로 퇴사한 팀장이 연락을 해왔다고 합니다. 첫 회사생활, B군이 잘 따르던 팀장이었고, 더군다나 퇴사한지 두 달 만에 온 연락이었다고 합니다.
  • 제이스2021-01-28
  • 2021년 지란지교시큐리티와 함께하는 정부지원사업 안내
  • 새해가 되면서 각 정부부처에서 2021년 지원사업을 발표하고 있는데요, 오늘은 지란지교시큐리티에서 보안 솔루션을 저렴하게 도입할 수 있는 정부지원사업을 모아서 알려드립니다. 평소 보안 솔루션 도입을 생각하셨지만, 비용이 부담스러웠던 기업들은 모두 집중하세요!
  • 제이스2021-02-05
  • CAD 도면 유출 위협받는 기업들을 위한 체크리스트
  • CAD를 사용하는 기계·제조 분야의 기업이라면 ‘도면유출’에서 자유로울 수 없습니다. 밖으로는 랜섬웨어가 기승을 부리고, 내부 곳곳에는 도면 유출 위협이 도사리고 있습니다. 보안 솔루션을 도입하기 위해 알아보아도 어떤 솔루션이 우리기업에 딱 맞는 것인지, 어느 것부터 도입을 해야 하는 것인지 항상 어렵기만 합니다.
  • 제이스2021-02-19