잉카인터넷 대응팀은  ▶항공우주 분야 연구원, ▲비무장지대(DMZ) 세계평화공원 학술회의 초청장으로 위장한 HWP 취약점 문서를 포함한 다수의 표적공격 정황을 포착했고 일부를 공개하면 다음과 같다.

[HWP 악성파일 바이러스 토탈 진단현황]
https://www.virustotal.com/ko/file/82e7e428a30a3c326731f3a8caf8e6ef814ccef6983b5bf26676280c4a10b1c1/analysis/1387256938/
https://www.virustotal.com/ko/file/2fcd75b636da833e7d408801592f20bfb9443f468252f2d7ab255357ad54760e/analysis/1387256958/

1. 항공우주 분야의 연구 기밀을 노린 사이버 스파이?

먼저 항공우주 분야 연구기관을 노린 공격은 2013년 12월 16일(월) 오전 9시 정각에 발송된 이메일을 통해서 최초 발견됐다. 첨부되어 있는 HWP 문서파일은 취약점을 이용한 악성파일로 분석된 상태이다. 이메일 제목은 인도 대륙간 탄도 미사일(ICBM:Intercontinental Ballistic Missile)과 한국 우주항공기술 이라는 내용을 가지고 있고, 보낸이와 본문에는 국내 특정 언론사의 기자처럼 사칭한 내용이 포함되어 있다.

"印 ICBM 로켓과 韓 우주항공기술.hwp" 악성파일은 취약점에 의해서 "cleanmgr.exe" 이름의 실행형 악성파일을 이용자 몰래 추가 설치한다. 이 악성파일은 2013년 12월 12일 제작된 것으로 확인됐고, 인도의 특정 명령제어(C&C) 서버 "210.56.124.4" 주소로 접속을 시도한다. 

[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일
http://erteam.nprotect.com/453

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

☞ http://erteam.nprotect.com/451


[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
☞ http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ 
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ 
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ 
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ 
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ 
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ 
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ 
http://erteam.nprotect.com/272

2. 언론사 기자 사칭을 통한 표적공격 기법

이번에 발견된 표적공격 기법은 실제 국내 특정 언론사의 기자명의를 사칭하였다. 따라서 포털 검색사이트 등에서 해당 언론사의 기자가 작성한 보도자료를 검색할 경우 다수의 기사를 확인할 수 있다.


표적공격용 이메일의 첨부파일로 포함되어 있던 "印 ICBM 로켓과 韓 우주항공기술.hwp" 악성파일이 실행되면 취약점에 따라서 다음과 같은 실제 문서 화면을 출력하여 수신자로 하여금 정상적인 문서로 현혹되도록 만든다.

그리고 "Application Data" 폴더 하위에 "cleanmgr.exe" 이름의 악성파일이 생성되고, 인도의 특정 호스트 "toursurf.net" (210.56.124.4) 주소로 접속하여 악의적인 추가 명령을 대기하게 된다. 추가 명령에 따라서 개인정보 탈취 및 원격제어 등 다양한 보안위협에 노출될 수 있다.



3. DMZ 세계평화공원 학술회의 초청장으로 위장한 HWP 악성파일

다음으로 비무장지대(DMZ) 세계평화공원 학술회의 초청장으로 위장한 악성파일이다. 실제로 오는 19일 '신뢰와 평화, 희망의 DMZ 세계평화공원'을 주제로 서울 플라자호텔 그랜드볼룸에서 학술회의가 개최될 예정이다.

악성파일 제작자는 해당 학술회의의 초청장 관련 문서파일을 변조하여 악의적인 기능을 포함시켜 전파시켰고, HWP 악성파일이 취약점에 의해서 실행될 경우 다음과 같은 실제 초청장 내용이 보여진다.

 
"초청장.HWP" 악성파일이 취약점에 의해서 정상적으로 실행되면 시스템 폴더 경로에 "Triger.exe", "nsldapv.dll", "wshtls.dll" 이름의 3가지 악성파일이 생성된다.


악성파일들은 컴퓨터 정보와 키보드 입력 정보 등을 탈취하여 해외의 특정 이메일 주소로 발송하는 탈취 기능을 수행한다.


HWP 문서 취약점을 통한 이번 공격은 국내 특정 기관들을 상대로 은밀하게 공격되고 있으며, 잉카인터넷 대응팀은 자체 모니터링을 통해서 긴급 대응이 완료된 상태이다. 더불어 관련 정보들은 유관기관에 공유하여 신속하게 협력하고 있다.

이메일 첨부파일로 HWP 문서파일을 수신할 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절대로 열어보지 않는 것이 안전하고, 한컴 오피스 이용자들은 반드시 최신 업데이트를 설치하여 이미 알려진 보안취약점을 제거할 수 있도록 하여야 한다.

3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 대다수가 문서파일의 보안 취약점을 이용하지만 Zero-Day 공격이 아닌 경우 성공확률이 상대적으로 낮기 때문에 문서파일처럼 위장한 악성파일도 주의를 해야 한다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다.  

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.


※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com


저작자 표시
신고
Posted by nProtect
1. 대북단체에 HWP 악성파일 1년 넘게 공격 정황포착

잉카인터넷 대응팀은 지금으로부터 약 1년 전 2012년 06월 경 "탈북인 인적사항으로 유혹하는 HWP 악성파일 등장" 내용의 HWP 악성파일 정보를 공개한 바 있다. 그런 가운데 2013년 09월 13일 대북언론매체인 데일리NK 뉴스를 통해서 "북한에서 보내는 해킹 파일로 의심했다"라는 발췌내용의 뉴스기사가 공개되었다. 해당 악성파일을 조사해 본 결과 작년과 동일한 제작자나 조직이 만든 정황근거가 확인됐다. 아울러 공격자가 사용 중인 명령제어(C&C)서버는 이미 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 접속이 차단조치된 상태이기 때문에 현재는 추가적인 명령을 수행할 수 없는 상태이다.

北해커 '좀비 PC' 악성코드 對北 단체에 대량유포
☞ 
http://www.dailynk.com/korean/read.php?cataId=nk00900&num=101147


상기 기사에 공개된 악성파일을 잉카인터넷 대응팀이 자체 확보하여 분석한 결과 세종연구소 수석연구위원이 작성한 것으로 기재되어 있는 한컴오피스 HWP 문서파일이 포함되어 있었다. 다만, 정상적인 문서처럼로 위장한 악성파일은 보안취약점을 통해서 이용자 컴퓨터에 은밀하게 새로운 악성파일을 설치하도록 만들어져 있다.

[바이러스토탈 악성파일 탐지현황 (2013년 09월 13일 발견시점 기준)]
https://www.virustotal.com/ko/file/b42900abe718ee941ebb297499ce284aa3ba49284d32ee878a608d2d5983be6b/analysis/1379067541

해당 악성파일이 정상적으로 실행되면 아래 화면과 같이 실제 북한과 관련된 정상적인 문서파일을 보여주어 이용자로 하여금 최대한 의심하지 않도록 위장되어 있고, 이는 대부분의 문서형식 악성파일이 사용하는 은폐기법 중에 하나이다.

악성파일에 감염되면 아래 화면처럼 정상적인 문서내용이 보여지는 동시에 악성파일은 홍콩의 특정 호스트로 접속을 시도하여 공격자의 다양한 명령을 수행하게 된다. 이른바 좀비(Zombie) PC로 전락할 수 있고, 예기치 못한 각종 정보유출 등의 피해를 입을 수도 있게 된다.


[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

2. HWP 악성파일 분석 정보

먼저 이메일에 첨부된 HWP 문서파일을 실행하면 보안취약점 조건이 만족할 경우 동작하고, 조건 불만족시에는 빈내용의 화면만 보여지게 된다. 따라서 데일리NK 언론 기사의 인터뷰 내용처럼 아무런 화면이 보여지지 않았다면 보안 취약점이 정상적으로 동작하지 않은 상태라 볼 수 있다.

내부에 포함된 악의적인 코드는 보안제품 탐지 우회 및 코드 분석을 방해하기 위해서 암호화된 형태로 숨겨져 있다. HWP 파일 내부의 Data 영역에 JFIF 헤더처럼 조작하여 마치 JPG 이미지 파일로 보이도록 만든 악성파일이 포함되어 있는데, 이미지 헤더는 아이폰 4S 기기로 촬영한 내용을 일부 활용했거나 모방한 것으로 보인다. 


보안 취약점이 작동하면 임시폴더(Temp) 경로에 $EM0001.jpg 이름으로 암호화된 악성파일이 생성되고, Shellcode 명령 등에 의해서 암호화(XOR 0x69)된 코드가 복호화되고 "svohost.exe" 파일명으로 생성되어 실행된다.

외부적으로는 생성된 파일이 마치 JPG 이미지 파일처럼 보여지지만, 내부적으로는 암호화된 악성파일이 포함되어 있는 것이다. 이러한 심층암호 방식은 일종의 스테가노그래피(Steganography) 기법이라 할 수 있고, 악성파일 제작자들이 코드노출을 최소화하기 위해서 사용하는 은폐기술 중에 하나이다.

아래 화면은 암호화된 코드와 복호화된 코드를 비교한 이미지이다.


JPG 이미지 파일처럼 위장하고 있던 악성파일은 "svohost.exe" 파일명으로 생성되어 실행된다. 이때 하기 화면과 같은 경로에 "mscmos.sys" 파일과 "GooglePlay.dll" 이름의 악성파일을 추가로 생성하고 기존의 임시폴더(Temp)에서 숙주 역할을 한 "svohost.exe" 파일은 "KB1241234.exe" 이름으로 변경한다.



"mscmos.sys" 파일도 암호화(XOR 0x99)되어 있으며, 복호화를 하게 되면 명령제어(C&C) 도메인인 www.q887.com [59.188.224.40] 주소를 포함하고 있다.


그리고 임시폴더에는 "svohost.doc" 이름의 정상적인 DOC 문서를 생성하고 실행하게되는데, DOC 문서파일의 원본을 만든 이는 ghost2009 라는 내용이 포함되어 있고, 만든 날짜는 2013년 09월 12일로 지정되어 있다.


보통 HWP 형식의 악성파일은 내부에 정상적인 HWP 문서파일을 포함하고 있지만, 이번의 경우에는 DOC 확장명의 문서파일을 포함하고 있는 것이 특이하다.

3. 동일한 악성파일 제작(조직)자, 1년넘게 지능적 공격수행 중

악성파일이 접속을 시도하는 명령제어 서버는 홍콩 소재의 호스트인데, 매우 흥미롭게도 약 1년 전에 탈북인 인적사항으로 위장했던 HWP 악성파일의 C&C 주소와 100% 일치한다.

[주의]탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

 


악성파일은 정상적인 "rundll32.exe" 프로그램을 통해서 악성파일인 "GooglePlay.dll" 파일이 동작하는 구조를 가지고 있고, mscmos.sys 파일을 이용하는 점도 동일하다.


더불어 악성파일 형태도 2012년때와 거의 동일하게 제작되어 있는데, 대표적으로 아이콘(MFC)과 언어(중국어)가 일치한다. 먼저 아래는 이번 2013년 09월에 발견되어 생성된 악성파일의 정보화면이다.


다음은 2012년 06월에 사용된 악성파일의 속성 정보이다.


공격자는 한글 문서 파일의 취약점을 지속적으로 활용하여 한국내 특정 기업이나 기관을 상대로 은밀하고 지속적으로 공격을 수행하고 있다는 것을 확인할 수 있다.

이번 공격에 사용된 악성파일은 2013년 09월 03일 16시 32분(UTC)에 제작된 것을 알 수 있다.


4. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 항시 최신버전으로 사용할 수 있도록 한다.


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com

해당 HWP 악성파일(Trojan-Exploit/W32.Hwp_Exploit.383492)은 nProtect 제품군 2013년 09월 13일 3번째 패턴으로 탐지 및 치료가 가능하며, 수시로 HWP 악성파일이 업데이트 되고 있는 추세이다.


 

저작자 표시
신고
Posted by nProtect
1. 한컴오피스 문서파일(HWP/CELL) 취약점을 이용한 불청객 이메일


잉카인터넷 대응팀은 상시 보안관제 중 2013년 07월 01일부터 10일까지 한국내 통일연구 및 무역관련 기관을 집중적으로 노린 지능화된 표적공격 정황을 다수 포착하였다. 이번 공격은 한글과컴퓨터사의 한컴오피스 문서파일 취약점을 공통적으로 사용한 특징이 있으며, HWP 파일뿐만 아니라 CELL 파일 취약점도 이용되었다. 또한, 일부는 PDF 문서파일처럼 아이콘을 조작한 실행파일(EXE) 스타일의 악성파일도 함께 발견되는 등 다양한 기법이 동원되었다. 특히, 이메일의 보낸 사람 이름에 "보좌관" 이라고 표기하거나 마치 중요한 업무내용처럼 관련 문구를 포함시킨 사례도 확인되었다. 이는 수신자로 하여금 좀더 안심하고 신뢰할 수 있는 이메일로 가장하는 고전적인 심리수법이며, 이용자가 최대한 보안 사각지대에 놓이고, 현혹될 수 있도록 유혹하는데 그 주목적이 있다.

이러한 전통적인 스피어 피싱(Spear Phishing) 공격기법은 국가기관이나 주요기업 등에 은밀히 침투하여 각종 기밀정보를 수집하고 외부로 유출을 시도하므로 표적공격의 시발점이라 할 수 있고, 내부보안을 저해하는 요소로 작용된다. 아울러 앞서 언급한 과정에서 침투공격이 성공할 경우 지속적인 잠복 및 정찰이 수행되며, 내부조직의 중요한 정보수집과 후속공격의 교두보로 악용될 가능성이 높다. 이렇듯 표적공격은 이메일에 첨부한 악성파일을 이용하는 경우가 많으므로, 운영체제 및 응용프로그램들을 항시 최신버전으로 업데이트하고 유지하여 기존에 알려져 있는 보안취약점에 노출되지 않도록 유념해야 한다.
 
[긴급]새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
http://erteam.nprotect.com/360

[주의]HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

2. 이메일에 첨부된 악성 문서파일 당신을 노린다.

2013년 07월 01일 오후, 국내 무역관련 협회에서 근무하는 다수에게 유사한 형태로 악성파일이 첨부된 이메일이 전파되었다. 이메일 제목과 첨부파일은 동일하게 만들어져 있으며, 보낸 사람은 모두 동일한 한메일 계정이 이용되었고, "보좌관"이라고 표기되어 있는 것이 특징이다.

 
2013년 07월 08일에는 2013-통일부 성과관리시행계획 자료집이라는 제목으로 HWP 악성파일이 포함된 이메일이 특정 포털사이트 웹 메일에서 다른 포털사의 웹 메일로 발송되었다.

 
2013년 07월 10일에는 통일관련 연구기관 내부 직원에게 악성파일이 첨부된 이메일이 전파되었다. 본문 및 악성 첨부파일은 내부 직원들이 관심을 가질만한 "통일"이나 "안보"와 관련된 내용으로 사용자들을 현혹하는데 이용하였다.


각 이메일에 첨부되어 있는 HWP 문서 파일은 악성파일로 보안취약점이 존재하는 상태에서 실행할 경우 해당 컴퓨터는 악성파일에 감염되어 추가적인 보안위협에 노출되게 된다.

특히, "개최계획과 남북통일위원회 명단.zip" 압축파일 내부에는 "남북통일위원회 명단.cell", "상임위원 워크숍 개최계획.exe" 악성파일이 포함되어 있다. 파일 확장자가 CELL 인 "남북통일위원회 명단.cell" 파일은 한컴 한셀 취약점을 이용한 파일이다.


해당 악성파일들은 nProtect Anti-Virus 제품군에 모두 업데이트된 상태이므로, 최신버전으로 업데이트를 하면 HWP 취약점을 이용한 악성파일들을 탐지하고 치료할 수 있다. 

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 07월 10일 최신 보안패치가 발표된 상태이므로, 아래 사이트에서 업데이트를 설치하도록 한다.

http://www.hancom.com/downLoad.downPU.do?mcd=001


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/



저작자 표시
신고
Posted by nProtect