분석 정보/악성코드 분석 정보

[주의]한글 내용을 포함하여 유포되어지는 악성 문서파일 발견

TACHYON & ISARC 2011. 9. 22. 18:04
1. 개 요


한글 내용을 포함하고 있으며, 한글문서(HWP) 취약점을 이용하여 유포되어지는 악성파일이 또 다시 발견되어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 정상적인 문서파일의 내용까지 비슷하기 때문에 일반 사용자의 육안상 악성 여부를 직접 식별하기 어려운 상태이다. 또한, 이와 같은 악성파일에 의해 감염이 이루어지면 특정 어플리케이션 보안 취약점에 의해 악의적인 실행파일을 추가로 생성하여 실행하게 된다.



[한글 코드실행 취약점 보안 업데이트 권고]
http://erteam.nprotect.com/176
※ 참고자료

한글과 컴퓨터는 2010년 6월 29일 HWP 문서 형식을 누구나 쉽게 사용할 수 있도록 일반에 공개 하였다.

http://www.haansoft.com/notice.noticeView.do?targetRow=1¬ice_seqno=33

HWP 2.x/3.x 버전은 "gksrmf 2.1" 부터 "한글 97까지" 사용된 HWP 바이너리 포맷이고, "한글 2002" 부터 "한글 워디안", "한글 2010" 에서는 HWP 5.x 포맷을 사용한다.

2. 유포 경로 및 감염 증상


위와 같은 악성파일은 출처가 불분명한 이메일의 첨부파일이나, 특정 웹 사이트등에 링크되어진 문서파일을 확인 절차 없이 다운로드 받아 실행할 경우 감염이 발생하게 된다. 또한, 문서 내부의 내용 또한 사회적인 이슈나 일반적인 내용이 전부이기에 사용자의 입장에서 크게 의심할 여지도 없이 열람이 이루어 지게 되고 이로 인한 감염이 발생하게 된다.


최근에 확인 되어진 악성 문서파일은 다음과 같이 "(Tripping Point).hwp" 이라는 파일명으로 되어져 있으며, 이외에 다수의 변종 악성 문서파일이 존재할 것으로 판단 되어진다.

"(Tripping Point).hwp" 악성 문서 파일을 열람하게 되면 다음과 같이 정상적인 한글 문서 내용을 출력하여 사용자로 하여금 정상 파일인 것처럼 속이게 된다.


또한, 생성되어진 "hidaapi.dll" 파일은 아래의 그림과 같이 정상 프로세스에 인젝션되어 사용자 몰래 동작하게 된다. 현재 이와 같은 특정 어플리케이션 보안 취약점으로 부터 발생되어지는 악성파일은 추가 분석이 진행 되어지고 있다.


※ 생성 파일 정보

- (윈도우 시스템 폴더)\System32\Msvcr.exe (55,636 바이트)
- (윈도우 시스템 폴더)\hidaapi.dll (17,920 바이트 / 생성시마다 파일명 변경) 

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우 XP 에서는 C:\WINDOWS\SYSTEM32 이다.


※ 악성파일 동작 흐름도




3. 예방 조치 방법

위와 같은 악성파일로 부터 안전한 PC 사용을 위해서는 한글과 컴퓨터에서 제공하는 상용 어플리케이션 최신 보안 패치를 적용하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염으로 부터 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치
를 적용하도록 한다.

2. 출처가 불분명한 이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자재하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트 하며, 실시간 감시 기능을 항상 "ON" 상태로 유지하도록 한다.

4. 인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다.


※ 잉카인터넷(시큐리티 대응센터/대응팀) 에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 모두 제공하고 있으며, 각종 보안 위협으로 부터 대비하기 위하여 상시 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면 및 진단 현황

- Trojan/W32.Hwp-Exploit.79360
- Trojan/W32.Agent.17920.QQ