1. 개요
2. 악성파일 정보
해당 HWP 문서형 악성파일이 실행되면 다음과 같이 "2012년 통일정책 토론회 (통일정책실 주관) 일정" 등의 문서 화면이 보여지면서 사용자 몰래 악성파일을 설치하게 된다.
한컴오피스 제품군 중 아래 한컴 자동 업데이트와 같이 "한글 2005" "한글 2007" "한글 2010" 등 사용자들이 최신 업데이트를 설치하여도 악성파일이 설치되는 최신 보안취약점(Zero-Day Exploit)을 이용하고 있기 때문에 매우 위험한 상황이다.
HWP 악성파일이 실행되면, 동시에 사용자 몰래 다음과 같은 파일들이 설치된다.
"c_43911.nls" 파일은 사용자 컴퓨터의 정보를 수집하여 기록된 로그파일로서 공격자는 악성파일 감염자의 컴퓨터 내역을 우선 파악하고자 했던 것으로 추정된다. 그 이후에 원하는 이용자만 표적으로 2차 공격을 수행하기 위한 대상자 선정용 로그로 사용될 가능성이 높다. 따라서 공격자는 지능형지속위혐(APT) 공격의 단계 중 정보수집 목적으로 해당 악성파일을 유포한 것으로 보인다.
"IBMCodecSrv.exe" 파일의 경우는 한글을 이용해서 마치 IBM 기반 음성코덱 장치처럼 위장하여 서비스에 등록된다. 악성파일 제작자가 직접 한글을 사용했다는 점이 큰 특징 중에 하나이다.
"IBMCodecSrv.exe" 악성파일 내부 코드에 직접 한글로 저장된 것을 확인할 수 있는데, 이것은 프로그램 개발 당시부터 한글로 입력이 된 것이다.
"winview.exe" 파일과 "IBMCodecSrv.exe" 악성파일은 파일명만 다른 동일한 파일로서, "IBMCodecSrv.exe" 파일이 서비스에 등록된 후 일정기간 후에 자동으로 삭제된다.
수집된 사용자 정보는 구글의 Gmail 등을 이용해서 외부로 유출을 시도하게 된다.
3. 마무리
현재 해당 HWP 악성파일이 이용하는 보안취약점에 대한 패치(업데이트)가 제공되고 있지 않으므로, 이용자들의 각별한 주의가 요망된다. 또한, 문서파일의 취약점을 이용해서 개인정보 수집시도를 하고 있다는 점에서 보안위협에 노출된 표적들에 대한 2차 ~ 3차공격이 진행될 수 있을 것으로 예상된다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
2. 악성파일 정보
탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ http://erteam.nprotect.com/292
한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
☞ http://erteam.nprotect.com/292
한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ http://erteam.nprotect.com/284
악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ http://erteam.nprotect.com/272
해당 HWP 문서형 악성파일이 실행되면 다음과 같이 "2012년 통일정책 토론회 (통일정책실 주관) 일정" 등의 문서 화면이 보여지면서 사용자 몰래 악성파일을 설치하게 된다.
한컴오피스 제품군 중 아래 한컴 자동 업데이트와 같이 "한글 2005" "한글 2007" "한글 2010" 등 사용자들이 최신 업데이트를 설치하여도 악성파일이 설치되는 최신 보안취약점(Zero-Day Exploit)을 이용하고 있기 때문에 매우 위험한 상황이다.
HWP 악성파일이 실행되면, 동시에 사용자 몰래 다음과 같은 파일들이 설치된다.
C:\Windows\YAHOO.dll
C:\Windows\System32\winview.exe
C:\Windows\System32\c_38901.nls
C:\Windows\System32\IBMCodecSrv.exe
C:\Windows\System32\abc.bat
C:\Windows\System32\tmp.dat
C:\Windows\System32\c_43911.nls
C:\Windows\System32\winview.exe
C:\Windows\System32\c_38901.nls
C:\Windows\System32\IBMCodecSrv.exe
C:\Windows\System32\abc.bat
C:\Windows\System32\tmp.dat
C:\Windows\System32\c_43911.nls
"c_43911.nls" 파일은 사용자 컴퓨터의 정보를 수집하여 기록된 로그파일로서 공격자는 악성파일 감염자의 컴퓨터 내역을 우선 파악하고자 했던 것으로 추정된다. 그 이후에 원하는 이용자만 표적으로 2차 공격을 수행하기 위한 대상자 선정용 로그로 사용될 가능성이 높다. 따라서 공격자는 지능형지속위혐(APT) 공격의 단계 중 정보수집 목적으로 해당 악성파일을 유포한 것으로 보인다.
"IBMCodecSrv.exe" 파일의 경우는 한글을 이용해서 마치 IBM 기반 음성코덱 장치처럼 위장하여 서비스에 등록된다. 악성파일 제작자가 직접 한글을 사용했다는 점이 큰 특징 중에 하나이다.
"IBMCodecSrv.exe" 악성파일 내부 코드에 직접 한글로 저장된 것을 확인할 수 있는데, 이것은 프로그램 개발 당시부터 한글로 입력이 된 것이다.
"winview.exe" 파일과 "IBMCodecSrv.exe" 악성파일은 파일명만 다른 동일한 파일로서, "IBMCodecSrv.exe" 파일이 서비스에 등록된 후 일정기간 후에 자동으로 삭제된다.
수집된 사용자 정보는 구글의 Gmail 등을 이용해서 외부로 유출을 시도하게 된다.
3. 마무리
현재 해당 HWP 악성파일이 이용하는 보안취약점에 대한 패치(업데이트)가 제공되고 있지 않으므로, 이용자들의 각별한 주의가 요망된다. 또한, 문서파일의 취약점을 이용해서 개인정보 수집시도를 하고 있다는 점에서 보안위협에 노출된 표적들에 대한 2차 ~ 3차공격이 진행될 수 있을 것으로 예상된다.
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]AIDS 치료제 트루바다 내용으로 위장된 악성파일 이메일 (0) | 2012.06.18 |
|---|---|
| [정보]유럽의 주류 판매 업체로 위장한 악성 이메일 (0) | 2012.06.15 |
| [긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포 (#Update 04) (3) | 2012.06.11 |
| [주의]탈북인 인적사항으로 유혹하는 HWP 악성파일 등장 (0) | 2012.06.07 |
| [정보]톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일 (0) | 2012.06.04 |