분석 정보/악성코드 분석 정보

[주의]악성 HWP 문서파일 호기심 자극으로 당신을 노린다.

TACHYON & ISARC 2012. 4. 27. 10:55
1. 개요


잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 HWP 문서파일 취약점을 이용한 악성파일 변종들을 꾸준히 발견하고 있다. 이에 해당 소프트웨어 이용자들의 각별한 주의가 필요한 상태이다. 특히, 국내 유명 기업이나 정부기관, 정치권을 겨냥하는 지능형지속위협(APT:Advanced Persistent Threat)공격에 특화화된 HWP 문서 취약점용 악성파일이 은밀히 악용되고 있다는 점에서 세심한 주의와 입체적 보안강화가 요구된다. 보통 내부 네트워크로 구축되어 있는 기업이나 기관의 경우 국지적 위협에 단 한명의 부주의나 실수로 인하여 악의적 프로그램에 노출될 경우 공격자는 해당 감염 루트를 통해서 연쇄 공격을 감행하게 되고 이것이 전사적 보안 위협으로 번져나가는 것은 시간 문제일 가능성이 높다. 또한, 사람의 심리를 이용한 접근 시도가 많다는 점을 유념하고 사회적 관심사나 조직적 업무 내용 등의 유혹에 쉽게 속지 않아야 한다.



APT 표적이 절대로 다른 사람 얘기가 아니라는 것을 자신 스스로 인식하고 잠재적 공격자는 우리 주변의 지인이나 불특정 다수의 인물로 위장하여 지금 이 시간에도 나와 우리 기업의 중요 기밀 자료를 빼내거나 특정 사이버 범죄 목적의 달성을 위해서 쉬지 않고 있다는 것을 잊어서는 안된다.

- 휴먼 심리와 호기심 유발로 악의적 HWP 문서파일의 유혹
- 국지적 대상을 은밀하게 겨냥하는 APT 공격의 지능화
- 고전적 사각지대, 사회정치적 문제와 기업의 관심사를 결부시킨 사회공학기법
- 보안패치는 취약점 공격을 막을 수 있는 기본적인 조치
- 최신 공격 트랜드를 통한 입체적 보안 솔루션과 정기적 보안교육 등 전방위 방어 대응 필수

2. 발견 사례

한글 문서(HWP)취약점을 이용한 악성파일 발견
http://erteam.nprotect.com/176

한글 내용을 포함하여 유포되어지는 악성 문서파일 발견
http://erteam.nprotect.com/201

다음 화면은 최근 국내에서 발견된 HWP 취약점을 이용한 악성파일로서, 파일명이 한글로 이뤄져 있으며 사회 전반적으로 큰 이슈로 부상했던 내용과 특정 조직들의 관심사 내용처럼 교묘하게 만들어져 있고 사용자를 현혹시켜 실행을 유도시키게 된다. 따라서 이용자가 취약점이 해결된 최신 업데이트를 설치하지 않은 상태에서 호기심에 아무 의심없이 해당 파일을 실행하게 되면 문서 파일에 숨겨져 있는 악성파일에 감염 노출되게 된다.
 



"수원 토막살해 s오원춘, 감옥서 의외의 행동.hwp" "지난해 `갑자기 사라진 여인들` 무려 2천명 넘는다.hwp" "삼성 이어 LG전자도 정기 세무조사.hwp" 악성파일 3개 모두 최신 업데이트가 설치되지 않은 상태에서 실행되면 대부분 유사한 악성파일이 추가 생성된다.

대표적으로 "삼성 이어 LG전자도 정기 세무조사.hwp" 악성파일이 실행되면 다음과 같은 증상을 보인다.

ㄱ. C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\SUCHOST.EXE 생성
ㄴ. C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\print32.dll 생성
ㄷ. C:\Program Files\Common Files\odbc.nls 생성

ㄹ. C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\print32.dll 삭제
ㅁ. C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\SUCHOST.EXE 삭제

ㅂ. C:\WINDOWS\Temp\s6977.dat 생성 (숫자 4개는 가변적이다.)
ㅅ. C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AAAA 생성 (hwp 파일)

악성 HWP 문서파일이 실행되면 취약점에 의해서 상기와 같은 순서로 SUCHOST.EXE 악성파일이 생성되고 실행된다.

그러면 임시폴더(Temp)에 print32.dll 이라는 이름의 악성파일을 생성한다. 이후에 Common Files 경로에 odbc.nls 라는 이름의 DLL 파일을 생성하는데, 이 파일은 Anti-Virus 제품의 우회 목적의 Garbage Code 를 포함하여 파일 용량이 약 25Mb 이며, 윈도우 운영체제의 정상파일처럼 속성을 Windows NT BASE API Client DLL 처럼 위장하고 있다.


그 다음으로 print32.dll, SUCHOST.EXE 파일을 삭제하고, Windows 하위 경로에 존재하는 Temp 폴더에 s+(임의숫자4개).dat 파일을 생성한다. 예를들면 s6977.dat 파일처럼 생성되며, 이 파일은 SUCHOST.EXE 와 동일한 구조의 파일이다.

이후에 사용자 계정 하위의 임시폴더(Temp)에 AAAA 라는 파일을 생성하는데, 확장자는 없지만 실제 HWP 문서파일이고, 다음과 같은 실제 문서 내용이 포함되어 있다. (자체 분석시점에서는 악성파일에 의해서 자동 실행되지는 않았다.)


악성파일은 정상적인 문서 내용을 보여주어 사용자로 하여금 문제가 없는 파일처럼 보이도록 하고, 악성파일이 아닌 것처럼 사용자를 속여 신뢰하도록 만들기 위한 과정이라 할 수 있다.

다음으로 odbc.nls 파일은 Print Spooler 서비스인 spoolsv.exe 정상 프로세스에 사용자 몰래 연동 실행된다.


그리고 해당 모듈은 홍콩의 특정 호스트로 접속을 시도하게 되며, 시간차에 따라서 순차적인 로컬 포트별로 접속을 수행한다.

 


odbc.nls 파일 내부에는 다음과 같이 키로거 기능 외에 다수의 명령어를 포함하고 있다. 악성파일은 원격지의 다양한 명령 및 제어(C&C)에 따라서 추가적인 피해를 입을 수 있게 된다.


악성파일은 정상적인 Spooler SubSystem DLL 파일을 변조시켜 재부팅 시 자동으로 odbc.nls 파일이 로딩되도록 감염시킨다.


3. 마무리

현재 "한글과컴퓨터(한컴)"에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있으며, 한글 워드 프로세서를 사용중인 사용자들은 반드시 아래의 최신 보안 패치를 수행하여 유사 악성파일로 부터 안전한 PC 사용을 할 수 있다.

개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250

한글과컴퓨터 패치 업데이트 링크
http://www.hancom.com/downLoad.downPU.do?mcd=001

한글과 컴퓨터 제품군도 자동 업데이트 기능을 통해서 최신 제품으로 유지할 수 있다.


HWP 문서파일 취약점을 이용한 악성파일은 nProtect제품에서 다음과 같이 진단/치료가 가능하다.


위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서는 HWP 문서 프로그램의 최신 보안 패치를 진행하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
 
※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.