분석 정보/악성코드 분석 정보

[주의]국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견

TACHYON & ISARC 2012. 5. 14. 10:44
1. 개요


잉카인터넷 대응팀은 다양한 지능형지속위협(APT)을 꾸준히 모니터링하고 있으며, 국내외 특정 대상을 표적으로 하는 실제 공격 사례를 끊임없이 발견하고 대응하고 있는 상태이다. 최근까지 잉카인터넷 대응팀 공식 블로그를 통해서 공개되었던 "다양한 방식의 표적형 공격 실체와 Anti-APT 솔루션들이 속속 개발"되면서 공격자들은 새로운 방식을 모색하고 있는 상태로 추정되고 있기도 하다. 따라서 기존에 알려져 있는 공격 수법만을 방어하는 시스템만으로는 100% 안전할 수 없다는 것을 보안 관리자는 반드시 유념해야 하며, 공격자는 방어자의 기술을 분석하여 역이용하고, 탐지를 우회하기 위한 다양한 노력과 실험을 하고 있다는 것을 절대로 잊어서는 안된다.



그렇기 때문에 언제든 방심은 금물이며, 지능화되고 있는 APT 공격을 원천적으로 방어하기 위해선 입체적인 APT 보안관제 능력과 최신 위협 트렌드 정보를 상시적으로 보유하는 것이 필수적인 요소라 할 수 있다.

[참고 자료]
도움말 파일(HLP) 취약점을 통한 악성파일 전파 중
http://erteam.nprotect.com/234

- 국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견
- 도움이 전혀 되지 않는 도움말 파일 형식의 악성파일
- 소속분야의 관심 내용으로 사칭하여 국가적, 사회적 인물을 표적화 (사회공학적 기법)
- 많이 알려져 있지 않은 파일 확장명과 Anti-APT 솔루션 우회 시도

지금까지 널리 알려져 있는 표적형(APT) 공격 이메일의 첨부파일은 대체로 문서파일의 보안 취약점을 이용하는 것이 보편적인 수법이다. 대표적으로 이용되는 파일 형식은 다음과 같이 매우 다양하고, 첨부파일 뿐만 아니라 본문에 포함된 악의적 URL 링크 클릭 유도 등을 이용한 사례도 다수 존재한다.

따라서 문서파일에 대한 행위분석 대응법과 일반 실행파일 형태에 대한 APT용 악성파일 대응이 복합적으로 마련되어야만 이상적인 효과를 발휘할 수 있고, 공격자는 지속적으로 새로운 위협 모델을 준비하고 있다는 점을 간과해서는 안된다.


- Microsoft Office 취약점 파일 (DOC, XLS, PPT, RTF)
- Adobe 취약점 파일 (PDF, SWF)
- Hancom 취약점 파일 (HWP)
- 다중 확장자를 통한 위장 (DOC.EXE, XLS..SCR 등)
- 유니코드 확장자를 압축을 통한 위변조 (ZIP, RAR 내부에 유니코드로 위장된 악성파일 포함)
- Microsoft Compiled HTML Help (CHM)
- Microsoft WinHelp (HLP)
- Justsystems Ichitaro 취약점 파일 (JTD)
- 기타 등등

2. 도움말 취약점을 이용한 공격 방식

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

시간차를 이용한 스토킹 형태의 대만 APT 공격
http://erteam.nprotect.com/270

국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

국내 유명 기업 표적 공격(APT)형 수법 공개
http://erteam.nprotect.com/249

2012년 05월 초에 발견된 "국가안보전략 개요.hlp" 파일명의 악성파일은 Windows 도움말 파일 형식(HLP)으로 만들어져 있으며, 북한의 대남 위협과 우리의 안보태세와 관련된 내용으로 구성된 본문을 포함하고 있다.

우선 악성파일이 실행되면 임시폴더(Temp)에 notepad.exe 라는 악성파일을 생성하고 실행하며, 정상적인 help.hlp 도움말 파일을 생성한 후 실행된다. help.hlp 파일이 실행되면 아래와 같이 정상적인 문서내용이 보여지게 되어 사용자는 악성파일에 노출되었는지 인지하기 어렵다.


정상적인 문서내용을 보여주기 때문에 사용자는 악성파일이 추가로 설치되었다는 점을 알기가 쉽지 않으며, 생성된 파일은 다음과 같다.

정상적인 help.hlp 파일과 임시적으로 생성된 help.GID 그리고 노트패드(메모장) 파일처럼 위장된 악성파일 "notepad.exe" 가 숨김속성으로 생성되어 있다.


생성된 notepad.exe 이름의 악성파일은 자동압축 해제형식(SFX)을 가진 RAR 압축파일이며, ActiveSync 라는 폴더를 생성하여 파일들을 설치한다.


압축이 해제되면 다음과 같은 악성파일들이 추가로 생성되고 실행된다.


SetPoint.exe 파일은 한국의 특정 호스트로 접속을 시도하여 추가적인 명령을 대기하며, 시스템 프로세스는 중국의 특정 호스트로 접속 대기를 하기도 한다.


이런 악성파일들에 노출될 경우 외부의 악의적인 추가 명령을 통해서 ▲다양한 정보 유출, ▲Zombie PC 등으로 전락하여 DDoS 공격용 에이전트, ▲추가 악성파일 경유지 서버, ▲APT 공격용 2차 전초기지 등으로 악용될 수 있다.

상기 내용과 별도로, 최근 이와 유사한 형식의 도움말 파일 취약점을 이용하는 악성파일들이 잉카인터넷 대응팀 보안 관제 중에 다수 발견되고 있으며, 아래는 실제 외국에서 이메일로 유포되었던 사례이다.

티벳 관련된 APT 공격용 메일로서 2개의 파일이 첨부되어 있는 것을 알 수 있고, DOCX 문서파일은 정상이지만, "Full text.hlp" 파일은 악성파일을 추가 설치하는 도움말 파일 형식의 취약점을 이용하고 있다.


이와같이 도움말 파일(HLP)을 이용하는 악성파일이 꾸준히 발견되고 있으므로, 각별한 주의가 필요하다.


3. 마무리

일반적으로 널리 알려져 있는 문서파일(DOC, PDF, HWP, XLS, PPT 등)의 취약점을 이용하는 경우 이외에 일반인들에게 다소 생소한 도움말 파일(HLP)의 취약점 등을 이용하는 공격사례 등도 존재한다는 것을 알고 있는 것이 중요하다.

그 외에도 공격자는 사용자의 보안 불감증을 최대한 이용할려고 노력한다.

보안 솔루션의 사각지대를 이용하여 탐지를 우회시도하거나 사용자로부터 다양한 눈속임을 이용하여 많이 알려져 있지 않은 새로운 파일의 보안 취약점을 이용하는 등 다각적인 공격 시도를 하고 있다는 것을 각별히 유념해야 한다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.