[상세보고서] APT : PDF 파일 내에 삽입되어 유포되는 악성코드

malwares.com 악성코드 분석팀 분석 자료


< 부제 : 문서 파일을 이용한 APT 공격 제 1탄 - PDF >


1. 개요


최근 몇년동안 해킹공격의 가장 큰 트렌드를 꼽자면 단연 APT 공격을 들 수 있다. APT 공격은 해킹 공격의 흔적을 남기지 않기 위해 또는 정상 접근을 가장해 보안 솔루션의 탐지 및 차단을 우회하기 위해 사용된다. 이러한 APT 공격의 단계를 구분하면 4단계로 다음과 같다.
* 침투 단계 : 이메일, USB, 웹사이트를 통한 악성코드 감염
* 탐색 단계 : 네트워크 정보, 시스템 정보,등 내부 시스템 구조 파악
* 수집 단계 : 데이터 수집
* 유출 단계 : 정보 유출
이러한 APT 공격의 가장 첫번째 단계인 침투 단계에서는 이메일등을 통해 사회공학적 기법으로 접근을 시도해 악성코드에 감염시킨다. 이 과정에서 사회공학적 기법의 매개체로 문서 파일을 사용한다. 

그 중 PDF 문서 파일은 어도비사에서 제공하는 문서 파일 포멧으로 전 세계적으로 널리 사용되고 있는 만큼 APT 공격시 사용되는 문서 파일 중 가장 높은 비중을 차지한다. 
따라서 APT 공격에 많이 사용되는 PDF 문서 파일의 분석 과정을 살펴보고 PDF 문서 파일 내부에 존재하는 악성 실행파일이 어떻게 실행되는지 원리를 확인해 보자.

※APT(Advanced Persistent Threat : 지능형 지속가능 위협) 
   : 타겟 공격, 표적형 공격에서 발전한 형태로 다양한 IT기술과 방식을 이용해 지속적으로 특정 대상에 가하는 일련의 
     공격행위 

2. 악성코드 파일 정보

파일명 : tdp.pdf
파일크기 : 619,451 Bytes
특징 : 인코딩된 실행파일을 갖고 있는 PDF 문서 파일
SHA-256 : 225AF32209508945E3437454037DEE8742C851EF931A8096EE290E62D64F7115
mawlares.com 정보 : https://goo.gl/FuWtY2

파일명 : NoName.exe
파일크기 : 73,802 Bytes
특징 : 악성코드 다운로더
SHA-256 : 66CAAF3C84570AD8C5AEC99CA67415F3BEEFB55112576C4BB85CD1C5E2B047E2
mawlares.com 정보 : https://goo.gl/lBclEs













▶ 보고서 원본 PDF 다운로드: https://goo.gl/YvL1Dx


* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.


이 글을 공유하기

댓글(0)