지란지교시큐리티

전세계인의 관심이 가장 많이 쏠려 있던 지난 미 대선. 아직도 말끔한 결론이 나지 않고 있는 시점입니다. 대선 시작 직후 이러한 사람들의 관심을 이용해 악성코드 이메일을 배포한 일이 일어났는데요. 지란지교시큐리티의 새니톡스(SaniTox)를 통해 APT 공격에 사용된 미대선 관련 hwp 문서 분석결과를 살펴보도록 하겠습니다.

▶ 분석 파일 : 미국대선예측- 미주중앙일보.hwp

악성 이메일은 수신자들이 관심있어 할 만한 제목으로 발송됩니다. ‘미국대선예측’ 이라는 파일명이 이를 증명합니다. 의심없이 한순간의 클릭만으로 파일을 여는 순간 악성코드에 쉽게 감염되어 버립니다. 하지만 감염되어도 본인이 감염된 지 모르는 경우가 허다합니다. 새니톡스를 사용하여 해당파일을 무해화 해보겠습니다.

▶ 분석 사용 툴 : 새니톡스

파일을 여는 순간 새니톡스가 실행됩니다. 사용자는 평소와 같이 문서를 열고 확인하고 닫았습니다. 하지만 새니톡스는 그 잠깐의 시간동안 해당파일을 위험요소를 무해화 시켰습니다. 결과는 새니톡스 웹에서 확인할 수 있습니다. 새니톡스 웹을 통해 위협요소를 식별하고, 콘텐츠 무해화(CDR: Content Disarm and Reconstruction) 후 문서의 안전성 및 정합성이 보호되었는지 진단할 수 있습니다.

[그림 1] 에서와 같이 새니톡스 웹 대시보드를 통해 대상 한글파일이 무해화 된 것을 확인할 수 있습니다. 해당 파일을 클릭하면 아래 [그림 2]와 같이 위험도 식별(경계 단계, 주황색) 및 문서의 기본정보 등을 확인할 수 있습니다.

상세보기 창에서 “무해화 콘텐츠”, “상세분석” 탭 등을 통해 위협요소에 대한 자세한 정보를 확인할 수 있습니다.
 

상세분석의 분석정보에 “실행 가능한 OLE 객체가 포함되어 있습니다.” 문구를 통해 실행 가능한 OLE(위협 가능)이 포함되어 있음을 알 수 있고, 파일 정보에서 해당 문서의 구조와 위협이 되는 OLE 정보를 보다 자세히 알 수 있었습니다.

해당 한글파일을 바이러스 토탈 등을 통해 무해화 전/후 비교해보면 무해화 전에는 일부 바이러스엔진에서 바이러스가 발견되지만, 무해화 후에는 모든 안티바이러스엔진에서 바이러스가 없다고 보고되었습니다.

무해화 전에는 존재하던 위협적인 OLE가 새니톡스를 통해 무해화 후 제거된 것을 확인할 수 있으며 안심할 수 있는 파일로 재조합 되었습니다.

해당 한글문서는 악성코드를 포함하고 있었지만 새니톡스를 통해 무해화 된 후에 한글파일이 정상적으로 열리고 그 내용도 확인할 수 있습니다.

이미 알려진 악성코드를 포함한 문서는 시그니쳐 기반의 안티바이러스 등을 통해 탐지될 수 있지만, 알려지지 않은 혹은 변형된 위협 요소를 통한 Zero-Day APT 공격에 대해서는 안티바이러스는 대응할 수 없습니다. 하지만 새니톡스의 CDR 기술은 위협적인 액티브콘텐츠를 제거하고 재조립하는 과정을 통해 안티바이러스가 놓친 위협적인 파일에 의한 Zero-Day APT 공격에 대해서 선제적으로 대응할 수 있습니다.

문서로 위장한 표적형 악성위협 차단, 새니톡스로부터 시작됩니다.

새니톡스는 악성코드 의심요소를 원천 차단하여 신뢰할 수 있는 파일로 재조합하여 제공하고 있습니다. 무해화 결과에 대한 상세 정보 보기 기능과 함께 유입된 파일에 대한 유형별 통계, 감사로그, 시스템 현황 등 리포트를 제공하고 있어 문서 무해화 성과와 분석 내용을 직관적으로 파악할 수 있습니다. 지금 새니톡스로 우리기업의 악성코드 위협을 제거해 보시기 바랍니다.

#랜섬웨어 #랜섬웨어제거 #무해화 #새니톡스 #데이터살균 #악성코드보안 #지란지교시큐리티