1. 개요
2. 악성파일 내용
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
한글 문서(HWP)취약점을 이용한 악성파일 발견
☞ http://erteam.nprotect.com/176
이번에 발견된 악성파일은 HWP용 문서파일의 취약점을 이용하였으며, 악성파일 실행시 정상적인 문서파일을 보이도록 하기 위해서 한국정보보호학회 홈페이지에 등록되어 있는 실제 정상적인 논문 규정 파일(journal_rule.hwp)을 도용하여 사용하였다.
한국정보호호학회 홈페이지에 등록된 정상 문서는 다음과 같이 누구나 쉽게 다운로드 받을 수 있다.
☞ http://kcert.designq.kr/image/journal_rule.hwp
공격자는 이 HWP 문서파일을 불법적으로 악용하여, 열람하는 수신자로 하여금 최대한 신뢰할 수 있도록 조작하였다. 정상적인 파일의 크기는 약 32Kb 정도이지만, 악의적인 파일의 크기는 약 429Kb 로 차이가 많다는 것을 알 수 있다.
하지만 일반적인 사용자가 파일크기 이외에 육안상으로 정상파일과 악성파일을 구분하는 것은 결코 쉽지 않다.
악성파일에 표적이 된 사용자가 해당 악성 journal_rule.hwp 파일을 보안취약점이 존재하는 상태에서 실행할 경우 임시폴더(Temp)에 정상적인 haha.hwp(약 32Kb)파일이 생성하고 실행된다. 이에따라 사용자 화면에는 아래와 같은 "논문지 투고 규정" 이라는 내용의 정상적인 문서가 보여지게 되고, 이 때문에 사용자는 악성파일을 실행한 상태라는 것을 인지하기 어렵게 된다.
haha.hwp 파일은 실제 한국정보보호학회 홈페이지에 등록되어 있는 journal_rule.hwp 문서와 100% 동일한 파일이다.
이어서 C:\Program Files\Common Files\Microsoft Shared\Triedit 경로에 "8d01df96.dll" 라는 이름의 악성파일이 사용자 몰래 생성되고 실행된다.
"8d01df96.dll" 악성파일은 실행되는 컴퓨터 환경에 따라서 다양한 형태로 생성되며, 이것은 Anti-Virus 제품의 탐지 우회를 목적으로 사용되었을 것으로 보인다. 악성파일은 rundll32.exe 파일에 의해서 Dll Injection 되어 로딩된다.
악성파일은 일정시간 후에 한국의 특정 호스트로 접속을 시도하며, 공격자의 추가적인 악성 명령을 대기한다. 보통 이런 경우 공격자의 C&C 명령에 따라서 개인정보 유출 및 원격제어 등을 통한 추가 피해를 입을 가능성이 높다.
3. 마무리
정보보호 전공자 및 대학원생, 보안업계 직원, 보안 관련 웹 사이트 등 보안 전문가들을 표적으로 하는 APT 공격도 꾸준히 보고되고 있는 만큼 각별한 주의가 필요하다. 또한, 공격자는 주변 지인들을 먼저 공격하고 성공한 경우 지인들의 이메일을 도용하여 2차, 3차 공격에 사용할 수 있다는 점을 잊어서는 안된다.
그동안 알고 지내던 지인이 보낸 메일이 악의적 기능을 가진 표적 공격형일 수도 있다는 점을 항상 유념하고, 항상 조심하는 습관을 가지는 것이 중요하고, 한글과컴퓨터의 한컴 오피스를 사용하는 경우 공개된 취약점이 해결된 최신 보안 업데이트를 설치하는 것이 필수적이라 할 수 있다.
개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
한글과컴퓨터 패치 업데이트 링크
☞ http://www.hancom.com/downLoad.downPU.do?mcd=001
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
- 한국정보호호학회 정상문서처럼 양의 탈을 쓰고 있는 표적형(APT) 공격
- 기업, 기관, 금융, 언론, 보안 등 HWP 문서파일 취약점 악용 증가
- 정보보호 관련자 정보를 불법 탈취하여 얻고자 하는 당신은 누구인가?
- 공격자는 방어자를 연구하고, 방어자는 공격자를 분석한다!
- APT 공격의 시작과 끝은 없다. 오직 은밀한 진행만 있을 뿐‥
- 기업, 기관, 금융, 언론, 보안 등 HWP 문서파일 취약점 악용 증가
- 정보보호 관련자 정보를 불법 탈취하여 얻고자 하는 당신은 누구인가?
- 공격자는 방어자를 연구하고, 방어자는 공격자를 분석한다!
- APT 공격의 시작과 끝은 없다. 오직 은밀한 진행만 있을 뿐‥
2. 악성파일 내용
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
한글 문서(HWP)취약점을 이용한 악성파일 발견
☞ http://erteam.nprotect.com/176
이번에 발견된 악성파일은 HWP용 문서파일의 취약점을 이용하였으며, 악성파일 실행시 정상적인 문서파일을 보이도록 하기 위해서 한국정보보호학회 홈페이지에 등록되어 있는 실제 정상적인 논문 규정 파일(journal_rule.hwp)을 도용하여 사용하였다.
한국정보호호학회 홈페이지에 등록된 정상 문서는 다음과 같이 누구나 쉽게 다운로드 받을 수 있다.
☞ http://kcert.designq.kr/image/journal_rule.hwp
공격자는 이 HWP 문서파일을 불법적으로 악용하여, 열람하는 수신자로 하여금 최대한 신뢰할 수 있도록 조작하였다. 정상적인 파일의 크기는 약 32Kb 정도이지만, 악의적인 파일의 크기는 약 429Kb 로 차이가 많다는 것을 알 수 있다.
하지만 일반적인 사용자가 파일크기 이외에 육안상으로 정상파일과 악성파일을 구분하는 것은 결코 쉽지 않다.
악성파일에 표적이 된 사용자가 해당 악성 journal_rule.hwp 파일을 보안취약점이 존재하는 상태에서 실행할 경우 임시폴더(Temp)에 정상적인 haha.hwp(약 32Kb)파일이 생성하고 실행된다. 이에따라 사용자 화면에는 아래와 같은 "논문지 투고 규정" 이라는 내용의 정상적인 문서가 보여지게 되고, 이 때문에 사용자는 악성파일을 실행한 상태라는 것을 인지하기 어렵게 된다.
haha.hwp 파일은 실제 한국정보보호학회 홈페이지에 등록되어 있는 journal_rule.hwp 문서와 100% 동일한 파일이다.
이어서 C:\Program Files\Common Files\Microsoft Shared\Triedit 경로에 "8d01df96.dll" 라는 이름의 악성파일이 사용자 몰래 생성되고 실행된다.
"8d01df96.dll" 악성파일은 실행되는 컴퓨터 환경에 따라서 다양한 형태로 생성되며, 이것은 Anti-Virus 제품의 탐지 우회를 목적으로 사용되었을 것으로 보인다. 악성파일은 rundll32.exe 파일에 의해서 Dll Injection 되어 로딩된다.
악성파일은 일정시간 후에 한국의 특정 호스트로 접속을 시도하며, 공격자의 추가적인 악성 명령을 대기한다. 보통 이런 경우 공격자의 C&C 명령에 따라서 개인정보 유출 및 원격제어 등을 통한 추가 피해를 입을 가능성이 높다.
3. 마무리
정보보호 전공자 및 대학원생, 보안업계 직원, 보안 관련 웹 사이트 등 보안 전문가들을 표적으로 하는 APT 공격도 꾸준히 보고되고 있는 만큼 각별한 주의가 필요하다. 또한, 공격자는 주변 지인들을 먼저 공격하고 성공한 경우 지인들의 이메일을 도용하여 2차, 3차 공격에 사용할 수 있다는 점을 잊어서는 안된다.
그동안 알고 지내던 지인이 보낸 메일이 악의적 기능을 가진 표적 공격형일 수도 있다는 점을 항상 유념하고, 항상 조심하는 습관을 가지는 것이 중요하고, 한글과컴퓨터의 한컴 오피스를 사용하는 경우 공개된 취약점이 해결된 최신 보안 업데이트를 설치하는 것이 필수적이라 할 수 있다.
개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
한글과컴퓨터 패치 업데이트 링크
☞ http://www.hancom.com/downLoad.downPU.do?mcd=001
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]사진파일로 위장잠입 시도하는 악성 이메일 국내발견 증가 (0) | 2012.05.30 |
|---|---|
| [주의]디아블로3 파일로 변장한 랜섬웨어형 악성파일 등장 (1) | 2012.05.29 |
| [주의]한국 정부 기관을 표적으로 삼는 APT 공격 발견 (1) | 2012.05.15 |
| [긴급]조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입 (0) | 2012.05.15 |
| [주의]국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견 (4) | 2012.05.14 |