1. 대북관련 단체 및 기관의 주요인사 표적공격

잉카인터넷 대응팀은 한컴오피스의 HWP 문서취약점을 이용한 표적공격이 꾸준히 유지되고 있다는 것을 사례별로 여러차례 공개한 바 있다. 이러한 방식은 각종 문서취약점과 스피어 피싱이 결합한 국지적 표적공격으로 매우 고전적인 수법이다. 그러나 수신자가 의심하지 않도록 사람의 심리를 교묘하게 이용하기 때문에 효과적인 측면에서 성공 가능성이 높아 지속적인 침투기법으로 활용되고 있다.

이를테면 특정 기업과 기관의 주요인사를 겨냥해 마치 업무관계자 및 지인을 사칭한 후 각종 행사 및 업무 관심사를 반영한 이메일로 조작한 후 첨부된 HWP 악성파일을 열도록 유도하게 되는데, 최근 이러한 유사 공격징후가 지속적으로 발견되고 있는 실정이다.

특히, HWP 문서취약점을 이용한 공격방식은 한국 맞춤형으로 제작되며, 악성파일들은 북한 및 중국 등에서 제작된 것으로 분류되고 있다. 이들은 국내 기업 및 기관의 주요정보를 수집하고, 정찰 및 내부침투 목적으로 지속적인 공격을 감행하고 있다. 만약 내부 침투에 성공할 경우 탐지 전까지 무한 잠복기를 거치며, 추가적인 2차 공격의 교두보 거점으로 활용하게 된다. 이럴 경우 오랜기간 중요한 정보 등에 접근할 수 있어 잠재적인 보안위협으로 작용하게 된다.

[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격
http://erteam.nprotect.com/458

[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일

☞ http://erteam.nprotect.com/453

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견
☞ http://erteam.nprotect.com/451


[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ 
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ 
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ 
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ 
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ 
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ 
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ 
http://erteam.nprotect.com/272

■「박근혜 대통령 유럽순방 의의와 성과.hwp」문서로 가장

2014년 01월 15일 발견된 HWP 악성파일은 문서 파일명이 "박근혜 대통령 유럽순방 의의와 성과.hwp" 이며, HWP 보안취약점을 통해 추가적인 악성파일이 설치된다. 먼저 공격자는 문서파일을 이메일에 첨부하고 특정 인사에게 은밀하게 발송하게 되며, 수신자가 보안이 취약한 조건에서 해당 문서를 열람할 경우 또 다른 악성파일에 감염되게 된다.

"박근혜 대통령 유럽순방 의의와 성과.hwp" 파일이 보안취약점에 의해서 실행되면 아래와 같은 문서화면을 보여주면서 사용자가 정상적인 문서로 인식하도록 만든다.


2. 북한 관련 HWP 악성파일 공식화

정상적인 문서 내용을 보여주면서 은밀하게 컴퓨터에는 별도의 악성파일을 추가로 생성하고 감염시키게 되는데, 최근 언론을 통해서 발표된 "초청장.hwp" 등의 악성파일 변종이 설치된다.

"초청장.hwp" 악성파일은 2013년 12월 17일 잉카인터넷 대응팀의 "[주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격" 포스팅을 통해서 최초 공개된 바 있고, 그 내용은 다시 "정부, 북한 해킹에 대한 보안조치 강화 당부"라는 내용의 공식 보도자료 내용을 통해 언론에 배포된 바 있다.

이번 악성파일도 동일하게 시스템 폴더 경로에 ▶Triger.exe, nsldapv.dll, wshtls.dll 등의 악성파일을 생성하고 실행시킨다. 기존의 HWP 문서파일들이 생성하는 악성파일명도 동일하고 내부 코드 스타일도 일치하는 변종이다. 이 악성파일은 이미 북한에서 제작된 것으로 알려져 있는 상태이다.


생성된 파일들은 각각 2014년 01월 12일~14일 사이에 제작되어졌으며, 가장 최근에 제작된 모듈은 내부적으로 "new_nsldapv.dll" 이라는 이름으로 만들어졌다. 최초 발견 시점은 2014년 01월 15일이다.


악성파일들은 이용자 컴퓨터의 정보 및 키보드 사용내역 등을 수집하여 외부로 유출하는 행위를 시도하며, 추가적인 행위를 통해서 다양한 보안위협에 놓일 수 있다.



HWP 문서 취약점을 통한 이번 공격은 국내 특정 기관들을 상대로 은밀하게 공격되고 있으며, 잉카인터넷 대응팀은 자체 모니터링을 통해서 긴급 대응이 완료된 상태이다. 더불어 관련 정보들은 유관기관에 공유하여 신속하게 협력하고 있다.

이메일 첨부파일로 HWP 문서파일을 수신할 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 않는 것이 안전하고, 한컴 오피스 이용자들은 반드시 최신 업데이트를 설치하여 이미 알려진 보안취약점을 제거할 수 있도록 하여야 한다.

3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.


※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com
 


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 악성 HWP 파일의 생명보험은 바로 제품 업데이트


잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 HWP 문서파일 취약점을 이용하는 악성파일을 지속적으로 발견하고 있다. 문서파일의 취약점을 이용한 공격은 특정기업이나 기관을 겨냥한 1차침투 및 정찰용 악성 이메일을 은밀하게 발송하는 스피어피싱(Spear Phishing)기법이 활용된다. 이러한 공격기법은 과거부터 많이 사용되던 매우 고전적인 수법이지만, 외부에 쉽게 노출되지 않고, 이용자들의 보안의식에 따라 공격대비 성공율이 나름대로 높아 주로 이용되는 방식 중 하나이다. 평소 업무에도 자주 이용하는 친숙한 문서파일은 이용자로 하여금 악성파일로 의심받을 확률이 낮고, 감염여부를 쉽게 판단하기 어렵다는 점에서 특정인이나 조직을 겨냥한 표적공격에 꾸준히 악용되고 있는 실정이다.

특히, 흥미로운 소재의 한글제목이나 관련문구로 현혹하여 감염을 유도시키고, 최대한 공격대상과의 연관성이 높은 맞춤형 문서파일이 사용된다. 최근까지 HWP 문서파일의 취약점을 이용한 공격은 꾸준히 발생하고 있고, 일반에 공개되는 것은 빙산의 일각일 수 있다는 점을 항시 명심하여야 한다. 따라서 이용자들은 알려져 있는 보안취약점에 쉽게 노출되지 않도록 항시 최신버전의 한컴오피스 프로그램으로 업데이트를 유지하는 보안습관이 절대적으로 중요하며 이는 선택이 아니라 필수이다.

2. 악성 HWP 문서파일이 당신을 노린다.

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)

☞ http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272


꾸준히 발견된 악성 HWP 파일의 업데이트 내역은 잉카인터넷 nprotect 웹 사이트를 통해서 조회해 볼 수 있고, 오늘도 새로운 형태가 발견된 상태이다.

[HWP 악성파일 업데이트 내역 조회 -> 검색창에 HWP 입력 후 검색 -> 해당 게시물 내용에서 HWP 악성파일 확인]
http://www.nprotect.com/v7/nsc/sub.html?mode=engine


이처럼 현재에도 악성 HWP 문서파일이 꾸준히 발생하고 있다는 점을 명심해야 하며, 종종 알려지지 않은 새로운 보안취약점(Zero-Day) 공격도 발생하고 있다.

2013년 08월 08일 업데이트 된 HWP 악성파일은 얼마전 있었던 한/중 평화통일 포럼의 "한국전쟁 정전 60주년 평화를 묻다"의 발표내용 요약문처럼 위장한 형태도 발견됐다.


이 HWP 악성파일이 실행되면 한컴오피스 프로그램의 취약점에 의해서 정상적인 문서화면이 보여지면서, 임시폴더(Temp)에 exor.dll 이라는 악성 DLL 파일이 생성되며, 시스템 폴더 경로에는 "mfc100esu.dll" 파일이 생성된다. 마치 시스템파일 처럼 자신을 숨겨두고 있기 때문에 일반 사용자가 육안상으로 악성여부를 판단하기는 거의 불가능에 가깝다. 


해당 악성파일은 "Trojan-Exploit/W32.Hwp_Exploit.284672", "Trojan/W32.Agent.69632.DLH" 이라는 진단명 등으로 nProtect 제품군에 탐지 및 치료기능이 추가된 상태이며, 2013년 08월 08일 기준 바이러스 토탈의 진단현황은 다음과 같다.

https://www.virustotal.com/ko/file/5074f9d2f1e4b50ad8b12c532a2a5e085621fed76d7137396770b2591121669b/analysis

https://www.virustotal.com/ko/file/a081a9f648fff536616ceb896886f406f498bbdefb871d5bd9b7d2ca489a81cb/analysis 

이외에도 발견된 HWP 악성파일은 매우 다양하며, 은밀한 표적공격에 지능적으로 사용되고 있기 때문에 이용자들의 각별한 주의가 필요하다. 발견된 바 있는 몇가지 사례는 다음과 같다.

https://www.virustotal.com/ko/file/b64064cac8315749e6c8e2d41434a4e3fbf4a306d1785120bb5e4799079877f8/analysis

https://www.virustotal.com/ko/file/bc151334779ea341892af1baca46d949670b6d4b3369dc71da8893a7548e2178/analysis

https://www.virustotal.com/ko/file/e7e10e3c4edb9d848fc9a2a50dfc4222d017613f5ed5228f0a90dfc14dda703e/analysis

https://www.virustotal.com/ko/file/aa081f7d1d5da4709237d082f546ce729b13619d2b3c6562e4268e597336f695/analysis

https://www.virustotal.com/ko/file/8deedd20fab3aaa23cdf03a30af3c5efccf248f22c6ccafbd83f05e264712a6e/analysis

https://www.virustotal.com/ko/file/09d3b2c7d870b96e9dabaebee643a7c1c22f0c70f67abee15a2122a07a6da47d/analysis

https://www.virustotal.com/ko/file/226ec39363f0672eabcd9a500bf3d70b16e7fd786b032c857d13891912d1632b/analysis

- 이하생략

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 07월 10일 최신 보안패치가 발표된 상태이므로, 아래 사이트에서 업데이트를 설치하도록 한다.

http://www.hancom.com/downLoad.downPU.do?mcd=001


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. HWP 취약점을 이용한 악성파일 변종 증가


잉카인터넷 대응팀은 한글과컴퓨터사(http://www.hancom.com)의 HWP 문서파일 취약점을 이용한 악성파일을 꾸준히 발견하여 대응하고 있다. 2012년 초부터 최근까지 HWP 문서파일의 취약점을 이용한 악성파일이 약 100 여개 가깝게 발견되고 있으며, 특히, 해당 프로그램이 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황이다. 따라서 HWP 문서파일을 이용하는 고객들은 항시 최신버전으로 업데이트하여 이미 알려져 있는 취약점을 적극적으로 패치하는 노력을 기울여야 하며, 의심스러운 파일이나 신뢰하기 어려운 파일의 경우 각별한 주의와 관심이 필요한 상황이다. 이런 와중에 2012년 11월 19일 HWP 취약점을 이용하는 2가지 형태의 악성파일이 추가 발견된 상태이다.



새롭게 발견된 악성파일은 중소기업청의  신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장된 파일이 동일한 악성파일 공격에 사용되었다.

2. HWP 악성파일 관련 정보
 
[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

주소기업청 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 HWP 취약점 파일은 모두 실행시 임시폴더(Temp)에 "system32.dll" 이름의 악성파일을 생성하고, 시작프로그램 경로에는 마치 어도브 파일처럼 위장한 "AdobeARM.exe" 이름의 악성파일을 설치한다. 설치되는 악성파일이 동일한 것으로 보아 동일한 제작자에 의해서 만들어져 사용된 것으로 보여진다.




그런 다음 정상적인 문서파일(document.hwp)을 별도로 실행하여 사용자로 하여금 악성파일로 의심하지 않도록 하는 과정을

거친다. 발견된 문서파일은 2가지 형태이며, 중소기업청 공고문과 2013년 대구 세계 에너지 총회와 관련된 조사문서 내용을 담고 있는 형태이다.

또한, HWP 악성파일은 감염활동 과정에서 원래의 악성 HWP 문서파일의 일부 코드를 정상적인 코드로 변경한다.

 

  


[Update #01] - 2012. 11. 20
연구개발비 산정표 문서로 위장한 변종이 추가 발견


[Update #02] - 2012. 11. 21
HWP 보안취약점이 해결된 한컴오피스에서는 다음과 같은 또 다른 문서내용이 공통적으로 보여진다.


"AdobeARM.exe" 악성파일이 실행되면 약 10초 정도의 간격으로 IP주소 199.188.110.9 호스트로 접속을 지속적으로 시도한다. 해당 호스트의 일부 도메인은 국내 포털사의 웹메일 서비스 도메인처럼 위장하고 있다.


http://hanmail.kwik.to/index.html/KEEP0


악성파일은 특정 C&C 서버로 꾸준히 접속을 시도하고 컴퓨터이름, 사용자 계정명, 운영체제 버전, IP주소 등의 정보 수집활동을 하며, 공격자의 추가명령에 따라서 원격제어(Backdoor) 기능 등이 작동된다.


3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 Zero-Day 공격도 보고되고 있으므로, 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다. 

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect