분석 정보/악성코드 분석 정보

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생

TACHYON & ISARC 2012. 6. 15. 12:33
1. 개요


잉카인터넷 대응팀은 통일정책 토론회 문서내용 등을 포함하고 있는 "HWP 악성파일이 국내에 전파"된 것을 발견하였다. 현재 잉카인터넷 대응팀은 해당 파일의 유포지 등 부수적인 자료를 추적 중에 있으며, 악성파일에 대한 긴급 업데이트도 함께 완료한 상태이다. 더불어 최신 업데이트가 이뤄진 한컴오피스 사용자일지라도 아직 알려지지 않은 HWP Zero-Day Exploit 을 사용하고 있어 매우 각별한 주의가 필요하다. 또한, 설치된 악성파일은 사용자 컴퓨터의 "실행중인 프로그램 리스트와 시스템 주요정보 등을 저장하여 외부로 유출"을 시도하기 때문에 해당 악성파일에 감염된 경우 개인정보 유출 피해를 입을 가능성이 높다.



2. 악성파일 정보

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

해당 HWP 문서형 악성파일이 실행되면 다음과 같이 "2012년 통일정책 토론회 (통일정책실 주관) 일정" 등의 문서 화면이 보여지면서 사용자 몰래 악성파일을 설치하게 된다.


한컴오피스 제품군 중 아래 한컴 자동 업데이트와 같이 "한글 2005" "한글 2007" "한글 2010" 등 사용자들이 최신 업데이트를 설치하여도 악성파일이 설치되는 최신 보안취약점(Zero-Day Exploit)을 이용하고 있기 때문에 매우 위험한 상황이다.


HWP 악성파일이 실행되면, 동시에 사용자 몰래 다음과 같은 파일들이 설치된다.

C:\Windows\YAHOO.dll
C:\Windows\System32\winview.exe
C:\Windows\System32\c_38901.nls
C:\Windows\System32\IBMCodecSrv.exe
C:\Windows\System32\abc.bat
C:\Windows\System32\tmp.dat
C:\Windows\System32\c_43911.nls

"c_43911.nls" 파일은 사용자 컴퓨터의 정보를 수집하여 기록된 로그파일로서 공격자는 악성파일 감염자의 컴퓨터 내역을 우선 파악하고자 했던 것으로 추정된다. 그 이후에 원하는 이용자만 표적으로 2차 공격을 수행하기 위한 대상자 선정용 로그로 사용될 가능성이 높다. 따라서 공격자는 지능형지속위혐(APT) 공격의 단계 중 정보수집 목적으로 해당 악성파일을 유포한 것으로 보인다.


"IBMCodecSrv.exe" 파일의 경우는 한글을 이용해서 마치 IBM 기반 음성코덱 장치처럼 위장하여 서비스에 등록된다. 악성파일 제작자가 직접 한글을 사용했다는 점이 큰 특징 중에 하나이다.


"IBMCodecSrv.exe" 악성파일 내부 코드에 직접 한글로 저장된 것을 확인할 수 있는데, 이것은 프로그램 개발 당시부터 한글로 입력이 된 것이다.


"winview.exe" 파일과 "IBMCodecSrv.exe" 악성파일은 파일명만 다른 동일한 파일로서, "IBMCodecSrv.exe"  파일이 서비스에 등록된 후 일정기간 후에 자동으로 삭제된다.

수집된 사용자 정보는 구글의 Gmail 등을 이용해서 외부로 유출을 시도하게 된다.


3. 마무리

현재 해당 HWP 악성파일이 이용하는 보안취약점에 대한 패치(업데이트)가 제공되고 있지 않으므로, 이용자들의 각별한 주의가 요망된다. 또한, 문서파일의 취약점을 이용해서 개인정보 수집시도를 하고 있다는 점에서 보안위협에 노출된 표적들에 대한 2차 ~ 3차공격이 진행될 수 있을 것으로 예상된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.