1. 잠재적 보안위협, 악성 문서파일을 방어하라!


잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 문서파일 취약점을 이용한 표적 공격을 집중 모니터링 하던 과정 중 "박근혜의 외교정책.hwp" 이름의 악성파일을 발견했다. 이 파일은 실행 시 HWP 파일의 보안 취약점을 이용해서 시스템 폴더 경로에 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll", "mnsandp.dll" 등의 악성파일을 몰래 설치하고, 사용자 화면에는 「박근혜 정부의 외교·안보 정책의 기조와 딜레마」제목의 정상적인 문서파일을 보여준다. 그렇기 때문에 이용자에게는 마치 정상적인 파일로 보여지게 된다. 이러한 문서파일 취약점을 이용한 악성파일은 지능적인 표적공격에 은밀하게 사용되고 있으며, 피해자들은 자신이 어떤 과정에서 신종 악성파일에 노출되었는지 정확한 내용을 인지하기 어렵게 된다. 그러므로 공격자들이 꾸준히 문서파일의 취약점을 악용하고 있다는 것을 명심해야 한다.

기존에 공개되어 알려져 있는 보안취약점의 경우 최신버전으로 프로그램을 업데이트하면 손쉽게 해결할 수 있다. 따라서 운영체제(OS)를 포함해 자주 활용하는 문서 및 응용 프로그램들은 반드시 자동 업데이트로 조건을 설정하고, 수시로 최신버전 여부를 체크하는 보안습관이 중요하겠다. 더불어 보안 프로그램의 실시간 감시 활성화및 정기적 검사를 통해서 숨겨져 있는 악성파일을 찾아 제거하는 특단의 조치가 굉장히 중요한 부분이다.

2. 문서파일 보안 취약점의 공격은 현재진행형

대부분의 악성파일은 실행파일(EXE, SCR, DLL, SYS 등) 확장자 기반으로 작동한다. 그렇다 보니 이메일의 첨부파일에 EXE 파일이 첨부되어 있다면 육안 상으로도 금방 의심으로 분류되어 감염될 확률은 비교적 감소한다. 이런 이유로 공격자들은 실행파일을 숨기기 위한 다양한 수법을 동원하는데, 대표적으로 2중 확장자 속임수를 쓰거나, ZIP/RAR 형태로 압축을 쓰거나 하는 등 고전적인 방식도 많이 존재한다. 그러나 이용자를 속이기 위한 가장 효과적인 방법은 문서파일 내부에 악성파일을 숨겨두는 것이다. 평소에도 문서파일은 이메일로 전달하는 경우가 비일비재하기 때문에 상대적으로 의심의 눈초리를 낮출 수 있기 때문이다.

국내에서 이용자가 많은 HWP 문서파일은 국지적 표적 공격에 꾸준히 이용되고 있고, 은밀하게 유포되고 있기 때문에 외부에 알려지는 경우도 매우 적은 편에 속한다. 이용자들은 이런 점을 잊지 말고, 문서파일에 대한 보안을 강화할 수 있도록 각자 많은 관심과 노력을 기울여야 할 때이다.

[주의]표적공격 유발자 HWP 악성파일 지속 출현
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

이번에 발견된 사례는 정치적인 문서파일 내용처럼 위장하여 전파되었고, 실행시 보여지는 화면은 아래와 같다.


보안취약점이 존재하는 경우 상기와 같이 정상적인 문서파일이 보여지는 동시에 이용자 컴퓨터의 시스템 경로에는 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll" 등 다양한 악성파일이 은밀하게 설치된다.


[Trojan-Exploit/W32.Hwp_Exploit.516054]
https://www.virustotal.com/ko/file/9a4f9713f5555dfcedf8d6abb4f2c1a32652e5b26285f3a4bb6ea152f2d49ec0/analysis/1377834570

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 08월 30일 최신 보안패치가 추가 발표된 상태이므로, 항시 최신버전으로 업데이트 하도록 한다.


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com

 

저작자 표시
신고
Posted by nProtect
1. HWP 0-Day 취약점 공격 발생


한컴오피스 한글 2010 프로그램의 HWP 문서파일에서 2012년 11월 26일 현재 보안취약점 제거 패치가 제공되고 있지 않은 HWP 2010 0-Day 공격 기능의 악성파일이 발견됐다. 해당 악성파일은 한컴오피스 최신버전(8.5.8.1300)의 한글 2010을 사용하더라도 악성파일이 몰래 설치되고 있기 때문에 이용자들의 각별한 주의가 요망된다. 최근 연이어 HWP 문서 취약점을 악용한 악성파일 표적공격이 지속적으로 발생하고 있으므로, 의심스럽거나 신뢰하기 어려운 경우의 HWP 문서파일에 무의식적으로 접근하고 실행하지 않아야 할 것으로 보인다. 특히, 특정 기업이나 정부기관 등을 겨냥한 은밀한 표적공격에 다수 이용되고 있다는 점에 주목하여야 한다.



[주의]HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

2. 악성파일 정보

이번에 발견된 HWP 문서파일은 "한국 공군의 위상에 대한 평가와 진단"이라는 제목을 가진 HWP 문서파일로 위장하고 있으며, 본문 내부에는 공군과 관련된 내용이 포함되어 있다.


2012년 11월 26일 현재 한컴 오피스 2010 최신 버전 8.5.8.1300 에서 악성파일이 실행되면 다음과 같이 Zero-Day 취약점이 작동된다. 


취약점이 존재하는 HWP 문서파일을 열람 후 스크롤바를 통해서 어느정도 아래로 내용을 내리다보면 "문제 제기" 라는 부분에서 아래와 같이 Temp 폴더에 "HncCtrl.exe" 이름의 악성파일이 생성되고 실행된다.

보통 HWP 취약점을 이용한 악성 문서파일은 실행 즉시 또 다른 EXE 실행파일 형태의 악성파일이 생성되고 실행되지만, 이번 Zero-Day 공격용은 실행 후 문서 내용을 어느정도 읽어 내려가야지만 작동된다. 만약 공격자가 의도적으로 이 기능을 사용한 것이라면 자동화된 악성파일 분석 시스템을 우회하기 위한 목적으로 추정할 수 있다. 



실행환경에 따라서 아래와 같이 오류창이 발생하기도 하며, 생성되는 악성파일은 마치 한컴 컨트롤 파일처럼 보이도록 하기 위해서 파일명을 "HncCtrl.exe" 이름으로 위장하였다.


"HncCtrl.exe" 이름의 악성파일이 실행되면 시스템폴더의 하위에 "IE" 라는 폴더를 생성하고 내부에 "taskmgr.exe", "sens.dll" 이름의 악성파일을 추가로 생성하고 실행한다.


악성파일은 사용자 컴퓨터에서 개인정보를 수집하여 구글의 Gmail 을 이용해서 외부로 유출을 시도한다.




3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2012년 11월 26일 현재 Zero-Day 공격 기능을 가진 악성파일이 발견된 상태이므로, 신뢰하기 어려운 조건의 HWP 문서파일을 실행하지 않도록 세심한 주의가 필요하다.

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/


저작자 표시
신고
Posted by nProtect
1. HWP 취약점을 이용한 악성파일 변종 증가


잉카인터넷 대응팀은 한글과컴퓨터사(http://www.hancom.com)의 HWP 문서파일 취약점을 이용한 악성파일을 꾸준히 발견하여 대응하고 있다. 2012년 초부터 최근까지 HWP 문서파일의 취약점을 이용한 악성파일이 약 100 여개 가깝게 발견되고 있으며, 특히, 해당 프로그램이 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황이다. 따라서 HWP 문서파일을 이용하는 고객들은 항시 최신버전으로 업데이트하여 이미 알려져 있는 취약점을 적극적으로 패치하는 노력을 기울여야 하며, 의심스러운 파일이나 신뢰하기 어려운 파일의 경우 각별한 주의와 관심이 필요한 상황이다. 이런 와중에 2012년 11월 19일 HWP 취약점을 이용하는 2가지 형태의 악성파일이 추가 발견된 상태이다.



새롭게 발견된 악성파일은 중소기업청의  신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장된 파일이 동일한 악성파일 공격에 사용되었다.

2. HWP 악성파일 관련 정보
 
[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

주소기업청 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 HWP 취약점 파일은 모두 실행시 임시폴더(Temp)에 "system32.dll" 이름의 악성파일을 생성하고, 시작프로그램 경로에는 마치 어도브 파일처럼 위장한 "AdobeARM.exe" 이름의 악성파일을 설치한다. 설치되는 악성파일이 동일한 것으로 보아 동일한 제작자에 의해서 만들어져 사용된 것으로 보여진다.




그런 다음 정상적인 문서파일(document.hwp)을 별도로 실행하여 사용자로 하여금 악성파일로 의심하지 않도록 하는 과정을

거친다. 발견된 문서파일은 2가지 형태이며, 중소기업청 공고문과 2013년 대구 세계 에너지 총회와 관련된 조사문서 내용을 담고 있는 형태이다.

또한, HWP 악성파일은 감염활동 과정에서 원래의 악성 HWP 문서파일의 일부 코드를 정상적인 코드로 변경한다.

 

  


[Update #01] - 2012. 11. 20
연구개발비 산정표 문서로 위장한 변종이 추가 발견


[Update #02] - 2012. 11. 21
HWP 보안취약점이 해결된 한컴오피스에서는 다음과 같은 또 다른 문서내용이 공통적으로 보여진다.


"AdobeARM.exe" 악성파일이 실행되면 약 10초 정도의 간격으로 IP주소 199.188.110.9 호스트로 접속을 지속적으로 시도한다. 해당 호스트의 일부 도메인은 국내 포털사의 웹메일 서비스 도메인처럼 위장하고 있다.


http://hanmail.kwik.to/index.html/KEEP0


악성파일은 특정 C&C 서버로 꾸준히 접속을 시도하고 컴퓨터이름, 사용자 계정명, 운영체제 버전, IP주소 등의 정보 수집활동을 하며, 공격자의 추가명령에 따라서 원격제어(Backdoor) 기능 등이 작동된다.


3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 Zero-Day 공격도 보고되고 있으므로, 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다. 

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/


저작자 표시
신고
Posted by nProtect