블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

문서로 위장한 표적형 악성위협, 완벽히 차단하는 방법
제이스2021-01-14

 

 

전세계인의 관심이 가장 많이 쏠려 있던 지난 미 대선. 아직도 말끔한 결론이 나지 않고 있는 시점입니다. 대선 시작 직후 이러한 사람들의 관심을 이용해 악성코드 이메일을 배포한 일이 일어났는데요. 지란지교시큐리티의 새니톡스(SaniTox)를 통해 APT 공격에 사용된 미대선 관련 hwp 문서 분석결과를 살펴보도록 하겠습니다.

 

▶ 분석 파일 : 미국대선예측- 미주중앙일보.hwp

 

 

악성 이메일은 수신자들이 관심있어 할 만한 제목으로 발송됩니다. ‘미국대선예측’ 이라는 파일명이 이를 증명합니다. 의심없이 한순간의 클릭만으로 파일을 여는 순간 악성코드에 쉽게 감염되어 버립니다. 하지만 감염되어도 본인이 감염된 지 모르는 경우가 허다합니다. 새니톡스를 사용하여 해당파일을 무해화 해보겠습니다.

▶ 분석 사용 툴 : 새니톡스

 

파일을 여는 순간 새니톡스가 실행됩니다. 사용자는 평소와 같이 문서를 열고 확인하고 닫았습니다. 하지만 새니톡스는 그 잠깐의 시간동안 해당파일을 위험요소를 무해화 시켰습니다. 결과는 새니톡스 웹에서 확인할 수 있습니다. 새니톡스 웹을 통해 위협요소를 식별하고, 콘텐츠 무해화(CDR: Content Disarm and Reconstruction) 후 문서의 안전성 및 정합성이 보호되었는지 진단할 수 있습니다.

 

 

 

 

새니톡스 위협 요소 식별

 

[그림 1] 콘텐츠 예방 로그에서 한/글 파일

 

 

[그림 1] 에서와 같이 새니톡스 웹 대시보드를 통해 대상 한글파일이 무해화 된 것을 확인할 수 있습니다. 해당 파일을 클릭하면 아래 [그림 2]와 같이 위험도 식별(경계 단계, 주황색) 및 문서의 기본정보 등을 확인할 수 있습니다.

 

 

[그림 2] 상세보기 화면

 

 

상세보기 창에서 “무해화 콘텐츠”, “상세분석” 탭 등을 통해 위협요소에 대한 자세한 정보를 확인할 수 있습니다.
 

 

[그림 3] 상세보기에서 위협 요소 식별

 

 

상세분석의 분석정보에 “실행 가능한 OLE 객체가 포함되어 있습니다.” 문구를 통해 실행 가능한 OLE(위협 가능)이 포함되어 있음을 알 수 있고, 파일 정보에서 해당 문서의 구조와 위협이 되는 OLE 정보를 보다 자세히 알 수 있었습니다.

 

 

 

 

안정성 확인

 

해당 한글파일을 바이러스 토탈 등을 통해 무해화 전/후 비교해보면 무해화 전에는 일부 바이러스엔진에서 바이러스가 발견되지만, 무해화 후에는 모든 안티바이러스엔진에서 바이러스가 없다고 보고되었습니다.

 

 

[그림 4] 바이러스토탈을 통한 무해화 전/후 비교

 

 

무해화 전에는 존재하던 위협적인 OLE가 새니톡스를 통해 무해화 후 제거된 것을 확인할 수 있으며 안심할 수 있는 파일로 재조합 되었습니다.

 

 

[그림 5] 무해화 전 OLE 위협 요소와 무해화 후 내용 제거된 화면

 

 

 

 

정합성 확인

 

해당 한글문서는 악성코드를 포함하고 있었지만 새니톡스를 통해 무해화 된 후에 한글파일이 정상적으로 열리고 그 내용도 확인할 수 있습니다.

 

 

[그림 6] 무해화 후 문서를 한글로 연 화면

 

 

 

 

분석결과

 

이미 알려진 악성코드를 포함한 문서는 시그니쳐 기반의 안티바이러스 등을 통해 탐지될 수 있지만, 알려지지 않은 혹은 변형된 위협 요소를 통한 Zero-Day APT 공격에 대해서는 안티바이러스는 대응할 수 없습니다. 하지만 새니톡스의 CDR 기술은 위협적인 액티브콘텐츠를 제거하고 재조립하는 과정을 통해 안티바이러스가 놓친 위협적인 파일에 의한 Zero-Day APT 공격에 대해서 선제적으로 대응할 수 있습니다.

 

 

문서로 위장한 표적형 악성위협 차단, 새니톡스로부터 시작됩니다.

 

 

새니톡스는 악성코드 의심요소를 원천 차단하여 신뢰할 수 있는 파일로 재조합하여 제공하고 있습니다. 무해화 결과에 대한 상세 정보 보기 기능과 함께 유입된 파일에 대한 유형별 통계, 감사로그, 시스템 현황 등 리포트를 제공하고 있어 문서 무해화 성과와 분석 내용을 직관적으로 파악할 수 있습니다. 지금 새니톡스로 우리기업의 악성코드 위협을 제거해 보시기 바랍니다.

 

 

이미지를 클릭하면 해당 신청 페이지로 이동합니다.

 

 

 

 

#랜섬웨어 #랜섬웨어제거 #무해화 #새니톡스 #데이터살균 #악성코드보안 #지란지교시큐리티

  • 제이스
    지란지교시큐리티 주니어 마케터
  • IT회사에서 일하면서 아날로그 감성을 좋아하고 사람을 향하는 기술의 발전을 환영하지만 결코 사람보다 우선하는 가치는 없다고 생각하는 지란인

최신글

  • 가트너(Gartner)에 등재된 지란지교시큐리티 CDR 기술
  • Gartner 2021 ‘악성 파일 업로드 시 웹 애플리케이션을 보호하는 빠른 해법(Quick Answer: Protect Web Applications Against Malicious File Uploads)’에서 CDR 기술 부문 벤더 등재! 지란지교시큐리티가 자체 개발한 CDR 기술 역량이 글로벌 수준임을 검증했습니다!!
  • 제이스2021-11-02
  • 모바일키퍼4.0, 조달청 나라장터 종합쇼핑몰 등록!
  • 모바일 보안의 마스터 키, 모바일키퍼(MobileKeeper), 마스터 키(Master Key), 무엇이든 열 수 있는 만능 열쇠. 빠르게 변화하는 모바일 환경, 모바일 보안에 대한 걱정이 갈수록 높아지는데요,오늘 소개해 드릴 모바일키퍼는 기업이 원하는 모바일 보안 운영 정책에 최적화된 만능 키, 모바일 보안의 마스터 키라고 할 수 있습니다.
  • 제이스2021-11-23
  • 모바일 이메일 보안도 이젠 안심, 메일세이퍼(MailSafer)
  • 우리는 언제 어디서든 모바일로도 업무 이메일을 열람하고 작성하고 전송하는 일상을 살고 있습니다. 그런 만큼 PC 이메일 보안과 동일하게 모바일 이메일 보안 환경도 매우 중요해질 수밖에 없는데요. 메일세이퍼(MailSafer)는 바로 모바일 이메일 업무 환경을 지키기 위해 탄생한 기업용 모바일 이메일 보안 MEM!
  • 제이스2021-12-09