1. HWP 취약점을 이용한 악성파일 변종 증가
주소기업청 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 HWP 취약점 파일은 모두 실행시 임시폴더(Temp)에 "system32.dll" 이름의 악성파일을 생성하고, 시작프로그램 경로에는 마치 어도브 파일처럼 위장한 "AdobeARM.exe" 이름의 악성파일을 설치한다. 설치되는 악성파일이 동일한 것으로 보아 동일한 제작자에 의해서 만들어져 사용된 것으로 보여진다.
그런 다음 정상적인 문서파일(document.hwp)을 별도로 실행하여 사용자로 하여금 악성파일로 의심하지 않도록 하는 과정을
[Update #01] - 2012. 11. 20
연구개발비 산정표 문서로 위장한 변종이 추가 발견
[Update #02] - 2012. 11. 21
HWP 보안취약점이 해결된 한컴오피스에서는 다음과 같은 또 다른 문서내용이 공통적으로 보여진다.
"AdobeARM.exe" 악성파일이 실행되면 약 10초 정도의 간격으로 IP주소 199.188.110.9 호스트로 접속을 지속적으로 시도한다. 해당 호스트의 일부 도메인은 국내 포털사의 웹메일 서비스 도메인처럼 위장하고 있다.
http://hanmail.kwik.to/index.html/KEEP0
악성파일은 특정 C&C 서버로 꾸준히 접속을 시도하고 컴퓨터이름, 사용자 계정명, 운영체제 버전, IP주소 등의 정보 수집활동을 하며, 공격자의 추가명령에 따라서 원격제어(Backdoor) 기능 등이 작동된다.
3. 마무리
현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 Zero-Day 공격도 보고되고 있으므로, 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다.
위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
새롭게 발견된 악성파일은 중소기업청의 신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장된 파일이 동일한 악성파일 공격에 사용되었다.
2. HWP 악성파일 관련 정보
2. HWP 악성파일 관련 정보
[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ http://erteam.nprotect.com/357
[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297
탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292
한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
☞ http://erteam.nprotect.com/357
[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297
탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292
한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
주소기업청 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 HWP 취약점 파일은 모두 실행시 임시폴더(Temp)에 "system32.dll" 이름의 악성파일을 생성하고, 시작프로그램 경로에는 마치 어도브 파일처럼 위장한 "AdobeARM.exe" 이름의 악성파일을 설치한다. 설치되는 악성파일이 동일한 것으로 보아 동일한 제작자에 의해서 만들어져 사용된 것으로 보여진다.
그런 다음 정상적인 문서파일(document.hwp)을 별도로 실행하여 사용자로 하여금 악성파일로 의심하지 않도록 하는 과정을
거친다. 발견된 문서파일은 2가지 형태이며, 중소기업청 공고문과 2013년 대구 세계 에너지 총회와 관련된 조사문서 내용을 담고 있는 형태이다.
또한, HWP 악성파일은 감염활동 과정에서 원래의 악성 HWP 문서파일의 일부 코드를 정상적인 코드로 변경한다.
[Update #01] - 2012. 11. 20
연구개발비 산정표 문서로 위장한 변종이 추가 발견
[Update #02] - 2012. 11. 21
HWP 보안취약점이 해결된 한컴오피스에서는 다음과 같은 또 다른 문서내용이 공통적으로 보여진다.
"AdobeARM.exe" 악성파일이 실행되면 약 10초 정도의 간격으로 IP주소 199.188.110.9 호스트로 접속을 지속적으로 시도한다. 해당 호스트의 일부 도메인은 국내 포털사의 웹메일 서비스 도메인처럼 위장하고 있다.
http://hanmail.kwik.to/index.html/KEEP0
악성파일은 특정 C&C 서버로 꾸준히 접속을 시도하고 컴퓨터이름, 사용자 계정명, 운영체제 버전, IP주소 등의 정보 수집활동을 하며, 공격자의 추가명령에 따라서 원격제어(Backdoor) 기능 등이 작동된다.
3. 마무리
현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 Zero-Day 공격도 보고되고 있으므로, 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다.
위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
http://avs.nprotect.com/
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]보안강화서비스 이제는 전자금융사기 예방 서비스로 둔갑 (0) | 2012.11.28 |
|---|---|
| [긴급]새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격) (1) | 2012.11.26 |
| [정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의! (0) | 2012.11.16 |
| [주의]국내 구직 영문 이력서로 위장한 표적공격형 악성파일 (0) | 2012.10.24 |
| [긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹 (3) | 2012.10.19 |