정상 이력서처럼 보이지만 실행 순간 감염 시작
Contents
정상 이력서처럼 보이지만 실행 순간 감염 시작
최근 이력서 파일로 위장한 악성 바로가기 파일이 유포되고 있어 기업 사용자들의 주의가 필요하다. 공격자는 기업명과 직무명이 포함된 이력서 문서처럼 파일명을 구성하고, 실행 시 정상 디코이(Decoy) 문서를 함께 보여줘 사용자의 의심을 낮춘다. 이후 추가 악성 파일을 내려받아 백도어 악성코드 실행을 시도하며, 작업 스케줄러 등록, 시작 프로그램 등록, DLL Side Loading 등으로 지속성을 확보한다. 특히 이력서로 위장한 문서 파일은 업무 환경에서 쉽게 열람될 수 있어 보안 담당자와 임직원의 신중한 확인이 요구된다. 이력서 파일로 위장해 유포 중인 악성 LNK 파일의 주요 특징과 대응 방안을 살펴보자.
이번 사례에서 확인된 이력서 위장 파일은 특정 기업명과 직무명이 포함된 형태로 제작됐다.
- (RESUME)_국내 기업명_직무명_***.LNK
해당 LNK 파일 내부에는 정상 디코이 문서가 포함돼 있으며, 사용자가 파일을 실행하면 정상 문서처럼 보이는 이력서 문서가 함께 열린다. 이로 인해 사용자는 실제 이력서 문서를 열람하고 있다고 인식할 수 있지만, 백그라운드에서는 악성 스크립트와 추가 파일이 생성되며 감염 절차가 진행된다.
[그림 1] 정상 디코이 문서
이처럼 정상 문서를 함께 보여주는 방식은 사용자의 의심을 …
최근 이력서 파일로 위장한 악성 바로가기 파일이 유포되고 있어 기업 사용자들의 주의가 필요하다. 공격자는 기업명과 직무명이 포함된 이력서 문서처럼 파일명을 구성하고, 실행 시 정상 디코이(Decoy) 문서를 함께 보여줘 사용자의 의심을 낮춘다. 이후 추가 악성 파일을 내려받아 백도어 악성코드 실행을 시도하며, 작업 스케줄러 등록, 시작 프로그램 등록, DLL Side Loading 등으로 지속성을 확보한다. 특히 이력서로 위장한 문서 파일은 업무 환경에서 쉽게 열람될 수 있어 보안 담당자와 임직원의 신중한 확인이 요구된다. 이력서 파일로 위장해 유포 중인 악성 LNK 파일의 주요 특징과 대응 방안을 살펴보자.
이번 사례에서 확인된 이력서 위장 파일은 특정 기업명과 직무명이 포함된 형태로 제작됐다.
- (RESUME)_국내 기업명_직무명_***.LNK
해당 LNK 파일 내부에는 정상 디코이 문서가 포함돼 있으며, 사용자가 파일을 실행하면 정상 문서처럼 보이는 이력서 문서가 함께 열린다. 이로 인해 사용자는 실제 이력서 문서를 열람하고 있다고 인식할 수 있지만, 백그라운드에서는 악성 스크립트와 추가 파일이 생성되며 감염 절차가 진행된다.
[그림 1] 정상 디코이 문서
이처럼 정상 문서를 함께 보여주는 방식은 사용자의 의심을 …