1. 잠재적 보안위협, 악성 문서파일을 방어하라!


잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 문서파일 취약점을 이용한 표적 공격을 집중 모니터링 하던 과정 중 "박근혜의 외교정책.hwp" 이름의 악성파일을 발견했다. 이 파일은 실행 시 HWP 파일의 보안 취약점을 이용해서 시스템 폴더 경로에 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll", "mnsandp.dll" 등의 악성파일을 몰래 설치하고, 사용자 화면에는 「박근혜 정부의 외교·안보 정책의 기조와 딜레마」제목의 정상적인 문서파일을 보여준다. 그렇기 때문에 이용자에게는 마치 정상적인 파일로 보여지게 된다. 이러한 문서파일 취약점을 이용한 악성파일은 지능적인 표적공격에 은밀하게 사용되고 있으며, 피해자들은 자신이 어떤 과정에서 신종 악성파일에 노출되었는지 정확한 내용을 인지하기 어렵게 된다. 그러므로 공격자들이 꾸준히 문서파일의 취약점을 악용하고 있다는 것을 명심해야 한다.

기존에 공개되어 알려져 있는 보안취약점의 경우 최신버전으로 프로그램을 업데이트하면 손쉽게 해결할 수 있다. 따라서 운영체제(OS)를 포함해 자주 활용하는 문서 및 응용 프로그램들은 반드시 자동 업데이트로 조건을 설정하고, 수시로 최신버전 여부를 체크하는 보안습관이 중요하겠다. 더불어 보안 프로그램의 실시간 감시 활성화및 정기적 검사를 통해서 숨겨져 있는 악성파일을 찾아 제거하는 특단의 조치가 굉장히 중요한 부분이다.

2. 문서파일 보안 취약점의 공격은 현재진행형

대부분의 악성파일은 실행파일(EXE, SCR, DLL, SYS 등) 확장자 기반으로 작동한다. 그렇다 보니 이메일의 첨부파일에 EXE 파일이 첨부되어 있다면 육안 상으로도 금방 의심으로 분류되어 감염될 확률은 비교적 감소한다. 이런 이유로 공격자들은 실행파일을 숨기기 위한 다양한 수법을 동원하는데, 대표적으로 2중 확장자 속임수를 쓰거나, ZIP/RAR 형태로 압축을 쓰거나 하는 등 고전적인 방식도 많이 존재한다. 그러나 이용자를 속이기 위한 가장 효과적인 방법은 문서파일 내부에 악성파일을 숨겨두는 것이다. 평소에도 문서파일은 이메일로 전달하는 경우가 비일비재하기 때문에 상대적으로 의심의 눈초리를 낮출 수 있기 때문이다.

국내에서 이용자가 많은 HWP 문서파일은 국지적 표적 공격에 꾸준히 이용되고 있고, 은밀하게 유포되고 있기 때문에 외부에 알려지는 경우도 매우 적은 편에 속한다. 이용자들은 이런 점을 잊지 말고, 문서파일에 대한 보안을 강화할 수 있도록 각자 많은 관심과 노력을 기울여야 할 때이다.

[주의]표적공격 유발자 HWP 악성파일 지속 출현
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

이번에 발견된 사례는 정치적인 문서파일 내용처럼 위장하여 전파되었고, 실행시 보여지는 화면은 아래와 같다.


보안취약점이 존재하는 경우 상기와 같이 정상적인 문서파일이 보여지는 동시에 이용자 컴퓨터의 시스템 경로에는 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll" 등 다양한 악성파일이 은밀하게 설치된다.


[Trojan-Exploit/W32.Hwp_Exploit.516054]
https://www.virustotal.com/ko/file/9a4f9713f5555dfcedf8d6abb4f2c1a32652e5b26285f3a4bb6ea152f2d49ec0/analysis/1377834570

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 08월 30일 최신 보안패치가 추가 발표된 상태이므로, 항시 최신버전으로 업데이트 하도록 한다.


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com

 

저작자 표시
신고
Posted by nProtect
1. 한컴오피스 문서파일(HWP/CELL) 취약점을 이용한 불청객 이메일


잉카인터넷 대응팀은 상시 보안관제 중 2013년 07월 01일부터 10일까지 한국내 통일연구 및 무역관련 기관을 집중적으로 노린 지능화된 표적공격 정황을 다수 포착하였다. 이번 공격은 한글과컴퓨터사의 한컴오피스 문서파일 취약점을 공통적으로 사용한 특징이 있으며, HWP 파일뿐만 아니라 CELL 파일 취약점도 이용되었다. 또한, 일부는 PDF 문서파일처럼 아이콘을 조작한 실행파일(EXE) 스타일의 악성파일도 함께 발견되는 등 다양한 기법이 동원되었다. 특히, 이메일의 보낸 사람 이름에 "보좌관" 이라고 표기하거나 마치 중요한 업무내용처럼 관련 문구를 포함시킨 사례도 확인되었다. 이는 수신자로 하여금 좀더 안심하고 신뢰할 수 있는 이메일로 가장하는 고전적인 심리수법이며, 이용자가 최대한 보안 사각지대에 놓이고, 현혹될 수 있도록 유혹하는데 그 주목적이 있다.

이러한 전통적인 스피어 피싱(Spear Phishing) 공격기법은 국가기관이나 주요기업 등에 은밀히 침투하여 각종 기밀정보를 수집하고 외부로 유출을 시도하므로 표적공격의 시발점이라 할 수 있고, 내부보안을 저해하는 요소로 작용된다. 아울러 앞서 언급한 과정에서 침투공격이 성공할 경우 지속적인 잠복 및 정찰이 수행되며, 내부조직의 중요한 정보수집과 후속공격의 교두보로 악용될 가능성이 높다. 이렇듯 표적공격은 이메일에 첨부한 악성파일을 이용하는 경우가 많으므로, 운영체제 및 응용프로그램들을 항시 최신버전으로 업데이트하고 유지하여 기존에 알려져 있는 보안취약점에 노출되지 않도록 유념해야 한다.
 
[긴급]새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
http://erteam.nprotect.com/360

[주의]HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

2. 이메일에 첨부된 악성 문서파일 당신을 노린다.

2013년 07월 01일 오후, 국내 무역관련 협회에서 근무하는 다수에게 유사한 형태로 악성파일이 첨부된 이메일이 전파되었다. 이메일 제목과 첨부파일은 동일하게 만들어져 있으며, 보낸 사람은 모두 동일한 한메일 계정이 이용되었고, "보좌관"이라고 표기되어 있는 것이 특징이다.

 
2013년 07월 08일에는 2013-통일부 성과관리시행계획 자료집이라는 제목으로 HWP 악성파일이 포함된 이메일이 특정 포털사이트 웹 메일에서 다른 포털사의 웹 메일로 발송되었다.

 
2013년 07월 10일에는 통일관련 연구기관 내부 직원에게 악성파일이 첨부된 이메일이 전파되었다. 본문 및 악성 첨부파일은 내부 직원들이 관심을 가질만한 "통일"이나 "안보"와 관련된 내용으로 사용자들을 현혹하는데 이용하였다.


각 이메일에 첨부되어 있는 HWP 문서 파일은 악성파일로 보안취약점이 존재하는 상태에서 실행할 경우 해당 컴퓨터는 악성파일에 감염되어 추가적인 보안위협에 노출되게 된다.

특히, "개최계획과 남북통일위원회 명단.zip" 압축파일 내부에는 "남북통일위원회 명단.cell", "상임위원 워크숍 개최계획.exe" 악성파일이 포함되어 있다. 파일 확장자가 CELL 인 "남북통일위원회 명단.cell" 파일은 한컴 한셀 취약점을 이용한 파일이다.


해당 악성파일들은 nProtect Anti-Virus 제품군에 모두 업데이트된 상태이므로, 최신버전으로 업데이트를 하면 HWP 취약점을 이용한 악성파일들을 탐지하고 치료할 수 있다. 

3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2013년 07월 10일 최신 보안패치가 발표된 상태이므로, 아래 사이트에서 업데이트를 설치하도록 한다.

http://www.hancom.com/downLoad.downPU.do?mcd=001


위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/



저작자 표시
신고
Posted by nProtect