최신 보안 동향

[정보]한글(HWP) 취약점을 이용한 악성파일 지속 등장

TACHYON & ISARC 2011. 11. 21. 17:37

1. 개 요 


한글(HWP) 취약점을 이용한 악성 문서가 지속적으로 발견되고 있어 관련 제품을 사용하고 있는 사용자들의 각별한 주의가 요구되고 있다. 근래에 발견된 악의적 한글 문서의 경우 특정 공문서 관련 내용으로 조작되어져 있어 정상 발급 문서로 판단하여 무심코 실행할 경우 보안 위협에 노출될 가능성이 높다. 이에 업데이트 되어진 한글과 컴퓨터사의 보안패치 내용과 최근에 발견된 악성 파일 사례에 대하여 알아보도록 하겠다.

  

[관련 정보]
한글 내용을 포함하여 유포되어지는 악성 문서파일 발견
http://erteam.nprotect.com/201

한글 문서(HWP)취약점을 이용한 악성파일 발견
http://erteam.nprotect.com/176

Korean Office Software Exploited
http://www.symantec.com/connect/blogs/korean-office-software-exploited


 

[한글 스택 버퍼오버플로우 취약점 보안 업데이트 권고]

▶ KISA 보호나라
http://www.boho.or.kr/dataroom/data_05_dtl.jsp?u_id=217&page=1&TempNum=216

   ▣ 개요 
       o 국내 한글과컴퓨터社에서 개발한 워드프로세서인 '한글'에서 스택 버퍼오버플로우 취약점이 발견됨
       o 공격자는 해당 취약점을 악용하여 영향 받는 소프트웨어를 비정상적으로 종료시키거나, 이 취약점을 이용해 악의적인
           코드를 실행할 수 있음
       o 낮은 버전의 한글 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

   ▣ 해당 시스템 
       o 영향 받는 소프트웨어
          -  한글 2004.6.0.5.770 이전버전
          -  한글 2005.6.7.10.1067 이전버전
          -  한글 2007 4.5.12.623 이전버전
          -  한글 2010 SE 8.5.6.1131 이전버전

   ▣ 해결방안
       o 취약한 한글버전 소프트웨어 사용자
          -  다음과 같은 한글과 컴퓨터 홈페이지를 방문하여 보안업데이트 파일을 다운받아 설치하거나, 자동 업데이트를 통해
              한글 최신버전으로 업데이트
          -  http://www.hancom.co.kr/downLoad.downPU.do?mcd=001
          -  자동 업데이트 : 시작 → 모든 프로그램 → 한글과컴퓨터 → 한컴 자동 업데이트

 


▶ 한글과컴퓨터
http://www.hancom.co.kr/downLoad.downPU.do?mcd=001

2. 유포 경로 및 감염 증상

위와 같은 악성파일은 출처가 불분명한 이메일의 첨부파일이나, 특정 웹사이트 등을 통하여 다운 로드 받아 실행할 경우 사용자 시스템에 감염 되어질 수 있다. 또한, 해당 문서의 경우 특정 기관으로 부터 발급되어진 내용처럼 위장 되어져 있어 사용자 입장에서 의심하는 수준이 낮아질 수 있다.

 


[파일생성 정보]

[한글과컴퓨터 한글2007 기준]

- (Application Program 폴더)\Hwp70\Hwpeq9x.dll (57,344 바이트)
- (윈도우 시스템 폴더)\mvcert.dll (32,768 바이트)

[레지스트리 등록 정보]


3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 한글과컴퓨터에서 제공하는 상용 애플리케이션 최신 보안 패치를 적용하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안관리 수칙을 준수하여 이와 같은 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

[보안 관리 수칙]

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다.

2. 출처가 불분명한
이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자재하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는
백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4.
인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.

※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 제품으로 관련 악성파일 진단 현황

- Trojan-Exploit/W32.Hwp-Exploit.322296
- Trojan-Exploit/W32.Hwp_Exploit.439312
- Trojan/W32.Agent.193736
- Trojan/W32.Agent.32768.BWC
- Trojan/W32.Agent.57344.COQ
- Trojan/W32.Agent.65536.CBK