[ESTsecurity] ESRC 주간 Email 위협 통계 (9월 셋째주)

https://blog.alyac.co.kr/5460

ESRC 주간 Email 위협 통계 (9월 셋째주)

---

1. 이메일 유입량

 

지난 주 이메일 유입량 중 악성은 20.78%

 

 

 

 

 

2. 이메일 유형

1. Attach-Malware

• 개념: Attach-Malware는 이메일에 악성코드를 첨부파일로 포함시켜 수신자가 이를 열어보면 악성코드가 실행되는 공격 방법임. 주로 문서 파일(.doc, .pdf 등), 실행 파일(.exe 등), 스크립트 파일(.vbs, .bat 등) 형태로 첨부됨.
• 공격 방식:
  • 사회공학 기법: 공격자는 수신자가 호기심을 갖거나 신뢰할 만한 제목과 내용을 사용해 파일을 열어보도록 유도함.
  • 악성코드 실행: 수신자가 첨부파일을 실행할 경우, 컴퓨터 내에 악성 소프트웨어가 설치되며, 정보 탈취, 시스템 손상, 랜섬웨어 감염 등의 결과를 초래할 수 있음.
  • 대응 방법: 출처가 불분명한 이메일 첨부파일을 절대 열어보지 않으며, 정기적으로 안티바이러스 소프트웨어를 업데이트하고 사용함.

 

2. Attach-Phishing

• 개념: Attach-Phishing은 피싱 공격의 일종으로, 악의적인 첨부파일을 통해 수신자의 개인 정보나 금융 정보를 훔치는 방식임. 이메일 본문에서는 첨부파일을 열어 보도록 유도함.
• 공격 방식:
  • 위장된 첨부파일: 첨부된 파일은 합법적인 문서처럼 보이지만, 실제로는 사용자의 컴퓨터나 네트워크에서 민감한 정보를 유출시키는 역할을 함.
  • 사회공학적 유도: 공격자는 수신자를 속여 파일을 열어보도록 설득하는 메시지(예: 세금 보고서, 급여 명세서, 법적 문서 등)를 사용함.
  • 정보 유출: 첨부된 악성 문서를 열면 악성 스크립트가 실행되어 사용자의 로그인 정보, 금융 정보 등을 수집함.
  • 대응 방법: 의심스러운 이메일의 첨부파일을 절대 열어보지 않고, 특히 출처를 모르는 이메일은 무시하거나 삭제함.

 

3. Link-Malware

• 개념: Link-Malware는 이메일, 메시지, 웹사이트 등의 링크를 통해 악성코드가 다운로드되거나 실행되는 공격 방식임. 사용자가 링크를 클릭하면 악성 웹사이트로 이동하거나 자동으로 악성코드가 다운로드됨.
• 공격 방식:
  • 링크 클릭 유도: 공격자는 이메일이나 메시지에 악성 링크를 삽입하고, 수신자가 이를 클릭하면 악성코드가 자동으로 설치되거나 웹 브라우저를 통해 악성 스크립트가 실행됨.
  • 자동 다운로드: 사용자가 링크를 클릭하는 순간 악성코드가 다운로드되거나 실행 파일이 설치됨.
  • 악성 웹사이트: 링크가 악성 웹사이트로 연결되며, 이 사이트는 사용자의 시스템을 감염시키거나 민감한 정보를 입력하도록 유도할 수 있음.
  • 대응 방법: 신뢰할 수 없는 링크를 클릭하지 않으며, 웹사이트나 이메일에서 제공하는 링크는 항상 주소를 확인한 후 클릭함.

 

 

 

 

 

3. 첨부파일 종류

1. Phish (Phishing)

• 개념: Phishing은 사용자를 속여 민감한 정보를 빼내기 위한 사기성 공격 방식임. 주로 이메일, 문자 메시지, 소셜 미디어 등을 이용해 공격자는 자신을 신뢰할 만한 기관이나 개인으로 위장하여 피해자로부터 로그인 정보, 금융 정보, 또는 기타 중요한 데이터를 얻으려고 시도함.
• 공격 방식:
  • 위장된 이메일/웹사이트: 공격자는 사용자가 신뢰하는 은행, 회사, 정부 기관 등으로 위장된 이메일이나 웹사이트를 만들고, 사용자가 해당 페이지에 로그인하거나 정보를 입력하도록 유도함.
  • 사회공학 기법: 공포를 유발하거나 긴급성을 강조하는 메시지로 사용자가 빨리 응답하게 만듦. 예를 들어, 계정이 해킹되었으니 즉시 비밀번호를 변경하라는 내용이 있을 수 있음.
• 예방 방법: 의심스러운 이메일이나 링크를 주의 깊게 확인하고, 피싱 공격에 노출되지 않기 위해 이중 인증(2FA)을 사용하며, 출처를 확인하지 않은 링크는 클릭하지 않음.

 

2. ETC (Executable and Linkable Format)

• 개념: ETC는 일반적인 줄임말이 아니라, 여기서는 보통 ELF(Executable and Linkable Format)를 의미할 가능성이 높음. ELF는 Linux 및 Unix 계열 운영체제에서 사용하는 파일 형식으로, 실행 파일, 오브젝트 파일, 공유 라이브러리 등을 저장하기 위해 사용됨.
• 특징:
  • 플랫폼 독립성: ELF는 다양한 하드웨어 플랫폼에서 동작할 수 있도록 설계됨. 따라서 동일한 포맷을 사용하여 여러 운영체제와 아키텍처에서 실행할 수 있음.
  • 유연한 구조: ELF 파일은 세그먼트와 섹션으로 구성되어 있으며, 각각 프로그램의 데이터와 코드가 저장됨. 실행 중에는 이 파일 구조가 운영체제에 의해 로드되고 실행됨.
• 사용 예시: 대부분의 Linux 기반 시스템에서 프로그램이 실행 가능한 상태로 저장될 때 ELF 포맷이 사용됨.

 

3. MSIL (Microsoft Intermediate Language)

• 개념: MSIL은 .NET 프레임워크에서 사용되는 중간 언어임. .NET 언어로 작성된 코드는 먼저 MSIL로 컴파일된 후, 실행 시 JIT(Just-In-Time) 컴파일러에 의해 실제 하드웨어에서 실행 가능한 기계어로 변환됨.
• 특징:
  • 플랫폼 독립성: MSIL 코드는 여러 플랫폼에서 실행될 수 있는 독립적인 상태로 존재함. 이는 .NET에서 다중 언어 지원을 가능하게 하며, C#, VB.NET 등 다양한 언어로 작성된 프로그램이 MSIL로 변환됨.
  • JIT 컴파일: MSIL로 컴파일된 코드는 프로그램 실행 시점에서 JIT 컴파일러에 의해 네이티브 코드로 변환되어 실행됨.
• 보안 문제: MSIL 코드는 쉽게 역공학될 수 있어, 악성코드가 이를 악용해 자바스크립트와 같이 MSIL 기반 악성 프로그램을 만들기도 함.
• 사용 예시: .NET 프레임워크 기반 애플리케이션에서 공통적으로 사용되며, 이는 플랫폼 간의 코드 이동성을 지원함.

 

4. AutoIt

• 개념: AutoIt은 윈도우 환경에서 작업을 자동화하기 위한 스크립트 언어임. 주로 반복적인 작업을 자동화하거나 시스템 관리 스크립트를 작성하는 데 사용됨. 초기에 마우스 클릭이나 키보드 입력을 자동화하는 데 중점을 두었지만, 점차적으로 더 강력한 기능을 갖추게 되었음.
• 특징:
  • 자동화 작업: AutoIt은 GUI 상호작용을 모방할 수 있어 마우스 클릭, 키보드 입력, 창 조작 등을 자동화할 수 있음.
  • 스크립트 기반: 사용자가 직접 스크립트를 작성해 특정 작업을 자동으로 수행하도록 할 수 있음. 이는 주로 시스템 관리 및 테스트 자동화에 많이 사용됨.
  • 악성코드 사용: 일부 공격자들은 AutoIt을 사용해 악성 스크립트를 만들어 사용자 시스템에 침입하는 방법을 사용함. 예를 들어, 백도어나 키로거와 같은 악성코드가 AutoIt으로 작성되기도 함.
• 사용 예시: 소프트웨어 테스트 자동화, 반복적인 시스템 관리 작업, 게임에서 매크로 기능 등.