[주의]표적공격 유발자 HWP 악성파일 지속 출현

1. 악성 HWP 파일의 생명보험은 바로 제품 업데이트

잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 HWP 문서파일 취약점을 이용하는 악성파일을 지속적으로 발견하고 있다. 문서파일의 취약점을 이용한 공격은 특정기업이나 기관을 겨냥한 1차침투 및 정찰용 악성 이메일을 은밀하게 발송하는 스피어피싱(Spear Phishing)기법이 활용된다. 이러한 공격기법은 과거부터 많이 사용되던 매우 고전적인 수법이지만, 외부에 쉽게 노출되지 않고, 이용자들의 보안의식에 따라 공격대비 성공율이 나름대로 높아 주로 이용되는 방식 중 하나이다. 평소 업무에도 자주 이용하는 친숙한 문서파일은 이용자로 하여금 악성파일로 의심받을 확률이 낮고, 감염여부를 쉽게 판단하기 어렵다는 점에서 특정인이나 조직을 겨냥한 표적공격에 꾸준히 악용되고 있는 실정이다.

특히, 흥미로운 소재의 한글제목이나 관련문구로 현혹하여 감염을 유도시키고, 최대한 공격대상과의 연관성이 높은 맞춤형 문서파일이 사용된다. 최근까지 HWP 문서파일의 취약점을 이용한 공격은 꾸준히 발생하고 있고, 일반에 공개되는 것은 빙산의 일각일 수 있다는 점을 항시 명심하여야 한다. 따라서 이용자들은 알려져 있는 보안취약점에 쉽게 노출되지 않도록 항시 최신버전의 한컴오피스 프로그램으로 업데이트를 유지하는 보안습관이 절대적으로 중요하며 이는 선택이 아니라 필수이다.

2. 악성 HWP 문서파일이 당신을 노린다.

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272

꾸준히 발견된 악성 HWP 파일의 업데이트 내역은 잉카인터넷 nprotect 웹 사이트를 통해서 조회해 볼 수 있고, 오늘도 새로운 형태가 발견된 상태이다.

[HWP 악성파일 업데이트 내역 조회 -> 검색창에 HWP 입력 후 검색 -> 해당 게시물 내용에서 HWP 악성파일 확인]
http://www.nprotect.com/v7/nsc/sub.html?mode=engine

이처럼 현재에도 악성 HWP 문서파일이 꾸준히 발생하고 있다는 점을 명심해야 하며, 종종 알려지지 않은 새로운 보안취약점(Zero-Day) 공격도 발생하고 있다.

2013년 08월 08일 업데이트 된 HWP 악성파일은 얼마전 있었던 한/중 평화통일 포럼의 "한국전쟁 정전 60주년 평화를 묻다"의 발표내용 요약문처럼 위장한 형태도 발견됐다.

이 HWP 악성파일이 실행되면 한컴오피스 프로그램의 취약점에 의해서 정상적인 문서화면이 보여지면서, 임시폴더(Temp)에 exor.dll 이라는 악성 DLL 파일이 생성되며, 시스템 폴더 경로에는 "mfc100esu.dll" 파일이 생성된다. 마치 시스템파일 처럼 자신을 숨겨두고 있기 때문에 일반 사용자가 육안상으로 악성여부를 판단하기는 거의 불가능에 가깝다. 

해당 악성파일은 "Trojan-Exploit/W32.Hwp_Exploit.284672", "Trojan/W32.Agent.69632.DLH" 이라는 진단명 등으로 nProtect 제품군에 탐지 및 치료기능이 추가된 상태이며, 2013년 08월 08일 기준 바이러스 토탈의 진단현황은 다음과 같다.

https://www.virustotal.com/ko/file/5074f9d2f1e4b50ad8b12c532a2a5e085621fed76d7137396770b2591121669b/analysis

https://www.virustotal.com/ko/file/a081a9f648fff536616ceb896886f406f498bbdefb871d5bd9b7d2ca489a81cb/analysis 

이외에도 발견된 HWP 악성파일은 매우 다양하며, 은밀한 표적공격에 지능적으로 사용되고 있기 때문에 이용자들의 각별한 주의가 필요하다. 발견된 바 있는 몇가지 사례는 다음과 같다.

https://www.virustotal.com/ko/file/b64064cac8315749e6c8e2d41434a4e3fbf4a306d1785120bb5e4799079877f8/analysis

https://www.virustotal.com/ko/file/bc151334779ea341892af1baca46d949670b6d4b3369dc71da8893a7548e2178/analysis

https://www.virustotal.com/ko/file/e7e10e3c4edb9d848fc9a2a50dfc4222d017613f5ed5228f0a90dfc14dda703e/analysis

https://www.virustotal.com/ko/file/aa081f7d1d5da4709237d082f546ce729b13619d2b3c6562e4268e597336f695/analysis

https://www.virustotal.com/ko/file/8deedd20fab3aaa23cdf03a30af3c5efccf248f22c6ccafbd83f05e264712a6e/analysis

https://www.virustotal.com/ko/file/09d3b2c7d870b96e9dabaebee643a7c1c22f0c70f67abee15a2122a07a6da47d/analysis

https://www.virustotal.com/ko/file/226ec39363f0672eabcd9a500bf3d70b16e7fd786b032c857d13891912d1632b/analysis

- 이하생략

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 07월 10일 최신 보안패치가 발표된 상태이므로, 아래 사이트에서 업데이트를 설치하도록 한다.

http://www.hancom.com/downLoad.downPU.do?mcd=001

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의

※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com