분석 정보/악성코드 분석 정보

[주의]한글 문서(HWP)취약점을 이용한 악성파일 발견

TACHYON & ISARC 2011. 7. 5. 17:39
1. 개 요


한글 문서(HWP) 취약점을 이용하는 다수의 악성파일이 발견되어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 정상적인 문서 파일과 외관상 거의 동일하기 때문에 일반 사용자가 육안상 악성 여부를 직접 식별하기는 어렵다. 또한, 감염이 이루어지면 정상적인 한글 문서 내용을 출력하는 등 사용자로 하여금 정상파일로 인식할 수 있도록 치밀하게 조작되어 있다는 점이 특징이다.

  

[한글 코드실행 취약점 보안 업데이트 권고]
http://www.krcert.or.kr/secureNoticeView.do?num=554&seq=-1

HWP Buffer overflow 취약점 분석 보고서.pdf

 

Analysis report of HWP Buffer overflow vulnerability_v1.0 -.pdf


2. 유포 경로 및 감염 증상


한글 문서(HWP)의 취약점을 사용하는 악성파일은 이메일의 첨부파일 혹은 SMS, 인스턴스 메신저의 링크 접속 등을 통해 유포될 수 있으며, 문서 내부의 내용은 지인을 사칭하거나 사회적 관심사가 포함된 내용으로 위장하고 있을 가능성이 높다.

잉카인터넷 대응팀에서 수집한 일부 악성파일은 다음과 같이 "2011 .hwp" 이라는 파일명을 가지고 있는 상태였으며, 변종도 다수 발견된 상태이다.

변종에 따라서 HWP 2.x, 3.x 바이너리 포맷을 사용하는 형태가 존재하며, "한글 2010"의 HWP DOC 호환 포맷 형태도 존재한다

※ 참고자료

한글과 컴퓨터는 2010년 6월 29일 HWP 문서 형식을 누구나 쉽게 사용할 수 있도록 일반에 공개하였다.

http://www.haansoft.com/notice.noticeView.do?targetRow=1&notice_seqno=33

HWP 2.x/3.x 버전은 "한글 2.1" 부터 "한글 97"까지 사용된 HWP 바이너리 포맷이고, "한글 2002" 부터 "한글 워디안", "한글 2010" 에서는 HWP 5.x 포맷을 사용한다.

 


HWP 문서 파일의 취약점을 이용한 악성파일이 감염조건이 성립된 환경에서 정상적으로 실행되면 아래와 같이 내부에 포함되어 있던 추가적인 악성 파일을 설치하고 실행한다.

 


※ 생성 파일

 - (사용자 임시 폴더)\svchost.exe (17,920 바이트, 악성파일)
 - (사용자 임시 폴더)\2.hwp (14,336 바이트, 정상파일)
 - (윈도우 시스템 폴더)\ieprotect.dll (9,728 바이트, 악성파일)

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.


위와 같은 감염 과정이 진행되면 정상 문서파일인 "2.hwp" 파일이 실행되어 아래의 그림과 같은 정상적인 한글 문서를 출력해 사용자로 하여금 정상 파일로 오인하도록 만든다.


화면에 출력되는 정상 한글 문서파일에는 악성파일 및 다양한 보안 위협과 관련된 내용이 포함되어 있는 것이 특이하다.

또한, 생성된 dll 파일은 아래의 그림과 같이 정상 프로세스에 인젝션되어 사용자 몰래 동작되고 있으며, 현재 해당 악성파일에 대한 정밀 분석이 추가적으로 진행중에 있다.


3. 예방 조치 방법

현재 "한글과 컴퓨터(한컴)"에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있으며, 한글 문서 프로그램을 사용중인 사용자들은 반드시 아래의 최신 보안 패치를 수행하여 유사 악성파일로 부터 안전한 PC 사용을 할 수 있도록 하자.
  

 
◆ 한글과 컴퓨터 최신 보안 패치 방법 (한글 2007 기준)

1. 아래의 그림과 같이 한글 프로그램을 실행한 후 -> "도움말" -> "한글과컴퓨터 자동 업데이트(U)" 를 클릭한다.


2. 1번 항목의 과정을 거치면 아래의 그림과 같은 보안 패치 관련 구성 창이 출력된다. "업데이트(U)" 버튼을 클릭하여 보안 패치를 진행한다.


최신 보안 패치가 설치 완료된 상태에서 악성파일이 실행될 경우 아래의 그림과 같은 화면이 출력되며 악성파일은 정상적으로 실행되지 못한다.

  

 
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서는 HWP 문서 프로그램의 최신 보안 패치를 진행하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

아래 화면은 잉카인터넷 대응팀에서 보유한 샘플 중 일부만 진단한 것으로, 이외에도 변종 파일이 다수 존재한다.
 
- Trojan/W32.Hwp-Exploit.52116
- Trojan/W32.Hwp-Exploit.40960
- Trojan/W32.Agent.393160.ADX 외 다수