1. 개요
이러한 종류의 악성파일에 감염될 경우 실시간 원격제어 등으로 인하여 컴퓨터의 모든 제어권을 악의적인 공격자에게 잠재적으로 넘겨주게 될 위험에 놓일 수 있기 때문에 감염되지 않도록 신중하고 각별한 주의가 요구된다.
- 탈북인 신상정보가 포함된 지능형 표적공격!
- HWP 보안 취약점을 이용한 은밀한 공격 꾸준히 발생
- 한국형 문서 -> 탈북자 내용 포함 => 중국어 악성파일 추가 설치
2. 악성파일 정보
해당 악성파일은 이메일의 첨부파일을 이용해서 특정인에게 발송된 것으로 보이며, 첨부파일명은 "탈북인자료.hwp" 이다. 일본과 한국 등지에서 발견된 것으로 확인되고 있다.
"탈북인자료.hwp" 파일이 보안취약점이 존재하는 상태에서 실행되면 다음과 같은 "우리의 출신인적상황" 이라는 타이틀의 문서가 열리고, 사용자 모르게 임시폴더(Temp) 경로에 "SUCHOST.EXE" 파일이 생성되고 실행된다.
임시폴더에 생성된 "SUCHOST.EXE" 악성파일은 중국어로 제작되어 있으며, 원본파일명은 "StartUI.EXE" 이다.
다음으로 Common Files 하위의 ODBC 경로에 JET.dll, mscmos.sys, MSODBC.dll 파일 등을 추가로 생성한다. 그런 다음에 JET.dll 파일은 Spooler SubSystem 인 "spoolsv.exe" 파일에 Dll Injection 되어 실행된다.
악성파일인 "JET.dll" 파일에 의해서 "spoolsv.exe" 정상프로세스는 홍콩의 특정 호스트(59.188.224.40)로 접속을 성공하게 되고, 추가적인 명령을 대기한다. 보통 이러한 경우 공격자에 의해서 원격제어 등 컴퓨터의 제어권이 보안 위협에 노출될 가능성이 커지게 되고, 잠재적으로 보안이 매우 위험한 상태에 놓였다고 할 수 있다.
3. 마무리
대표적인 한글 워드프로세서인 HWP 문서파일의 취약점을 이용하는 악성파일 형태가 꾸준히 발견되고 있다. 따라서 해당 프로그램 사용자들은 최신 보안업데이트를 통해서 알려져 있는 보안 취약점을 제거하고, 신뢰하기 어렵거나 의심스러운 이메일로 HWP 첨부파일을 수신할 경우 각별한 주의가 필요하다.
개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
한글과컴퓨터 패치 업데이트 링크
☞ http://www.hancom.com/downLoad.downPU.do?mcd=001
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 HWP 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
이러한 종류의 악성파일에 감염될 경우 실시간 원격제어 등으로 인하여 컴퓨터의 모든 제어권을 악의적인 공격자에게 잠재적으로 넘겨주게 될 위험에 놓일 수 있기 때문에 감염되지 않도록 신중하고 각별한 주의가 요구된다.
- 탈북인 신상정보가 포함된 지능형 표적공격!
- HWP 보안 취약점을 이용한 은밀한 공격 꾸준히 발생
- 한국형 문서 -> 탈북자 내용 포함 => 중국어 악성파일 추가 설치
한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
한글 문서(HWP)취약점을 이용한 악성파일 발견
☞ http://erteam.nprotect.com/176
☞ http://erteam.nprotect.com/284
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
한글 문서(HWP)취약점을 이용한 악성파일 발견
☞ http://erteam.nprotect.com/176
2. 악성파일 정보
해당 악성파일은 이메일의 첨부파일을 이용해서 특정인에게 발송된 것으로 보이며, 첨부파일명은 "탈북인자료.hwp" 이다. 일본과 한국 등지에서 발견된 것으로 확인되고 있다.
"탈북인자료.hwp" 파일이 보안취약점이 존재하는 상태에서 실행되면 다음과 같은 "우리의 출신인적상황" 이라는 타이틀의 문서가 열리고, 사용자 모르게 임시폴더(Temp) 경로에 "SUCHOST.EXE" 파일이 생성되고 실행된다.
임시폴더에 생성된 "SUCHOST.EXE" 악성파일은 중국어로 제작되어 있으며, 원본파일명은 "StartUI.EXE" 이다.
다음으로 Common Files 하위의 ODBC 경로에 JET.dll, mscmos.sys, MSODBC.dll 파일 등을 추가로 생성한다. 그런 다음에 JET.dll 파일은 Spooler SubSystem 인 "spoolsv.exe" 파일에 Dll Injection 되어 실행된다.
악성파일인 "JET.dll" 파일에 의해서 "spoolsv.exe" 정상프로세스는 홍콩의 특정 호스트(59.188.224.40)로 접속을 성공하게 되고, 추가적인 명령을 대기한다. 보통 이러한 경우 공격자에 의해서 원격제어 등 컴퓨터의 제어권이 보안 위협에 노출될 가능성이 커지게 되고, 잠재적으로 보안이 매우 위험한 상태에 놓였다고 할 수 있다.
3. 마무리
대표적인 한글 워드프로세서인 HWP 문서파일의 취약점을 이용하는 악성파일 형태가 꾸준히 발견되고 있다. 따라서 해당 프로그램 사용자들은 최신 보안업데이트를 통해서 알려져 있는 보안 취약점을 제거하고, 신뢰하기 어렵거나 의심스러운 이메일로 HWP 첨부파일을 수신할 경우 각별한 주의가 필요하다.
개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
한글과컴퓨터 패치 업데이트 링크
☞ http://www.hancom.com/downLoad.downPU.do?mcd=001
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 HWP 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생 (0) | 2012.06.15 |
---|---|
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (#Update 04) (3) | 2012.06.11 |
[정보]톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일 (0) | 2012.06.04 |
[주의]세계 환경의 날 문서로 위장된 표적형 악성파일 발견 (0) | 2012.06.04 |
[주의]디아블로3 사용자 계정 탈취용 악성파일 국내 등장 (6) | 2012.06.01 |