트위터 짤에 악성코드?
스테가노그래피에 대한 오해 트위터에 포스팅된 이미지, 일명 '짤'을 통해 해커의 명령을 전달받는 악성코드가 발견됐다. 트렌드 마이크로에서 발견했으며, TROJAN.MSIL.BERBOMTHUM.AA라고 이름 붙였다. 시스템의 각종 정보를 빼돌리는 트로이 목마인데, 해커의 지시를 받는 경로가 특이하다. 대부분 C2 서버를 통해 해커의 명령을 받는데, 네트워크를 감시하는 보안 소프트웨어에게 수상한 IP로 탐지될 수가 있다. 따라서 최근에는 이메일, 클라우드 같은 합법적인 서비스를 이용해 명령을 전달하는 수법이 늘어나고 있다. 이번 악성코드의 경우는 트위터 계정을 이용한 것이다. 해커가 악성 명령을 삽입한 이미지 파일을 만들어 자신의 트위터 계정에 게시했다. 이처럼 다른 파일에 비밀스런 내용을 첨부하는 것을 steganography라고 한다. 악성코드는 해커의 트위터에서 그림 파일을 찾아, 그 안에 숨겨진 명령을 추출해서 실행한다. 여기서 착각하기 쉬운 점은, 어떤 사람이 해커의 트위터에 있는 그림을 보거나 다운로드했다고 해서 악성코드에 감염되는 것이 아니라는 점이다. 스테가노그래피로 숨겨진 내용물은 적당한 방법으로 추출돼야 한다. 저절로 실행되는 것이 아니다. 이미 다른 경로로 해당 악성코드에 감염되지 않았다면 아무 일도 일어나지 않는다. exploit과는구별해야 물론 인터넷 상의 그림 파일이 모두 안전하다는 말은 아니다. 그림 파일로 위장한 실행 파일일 수도 있고, 취약점을 이용하기 위해 특별하게 조작된 exploit code일 수도 있다. MS 워드 문서나 HWP의 취약점을 이용한 악성 문서가 있는 것처럼, 사진 뷰어나 동영상 플레이어의 취약점을 악용하는 악성 미디어 파일도 존재한다. 이런 것들은 익스플로잇 코드이지 steganography와는 전혀 다른 것이다. 관련 자료 파일 확장명 위장한 악성코드 참고 자료 트위터에 돌아다니는 ‘짤’, 악성 코드 있을 수 있다 New Malware Takes C...