분석 정보/악성코드 분석 정보

[긴급]북핵 해결 전략 내용으로 위장된 HWP 0-Day 공격 발견

TACHYON & ISARC 2012. 6. 20. 18:08
1. 개요


2012년 06월 20일 잉카인터넷 대응팀은 "북핵해결 3대 전략", "삼위일체의 북핵전략" 등의 내용을 가지고 있는 한컴 HWP 문서의 보안 취약점을 이용한 악성파일 샘플을 확보하였다. 해당 악성파일이 사용한 보안취약점은 현 시점까지 아직 보안 업데이트가 공식 배포되고 있지 않은 Zero-Day 취약점이기 때문에 최신 버전의 한컴오피스 사용자들도 직접적인 위협에 노출될 가능성이 매우 높다. 따라서, 이와 유사한 문서를 열람한 경우 신속하게 탐지가 가능한 최신 nProtect Anti-Virus 제품을 이용해서 전체 검사를 수행하고, 감염된 별도의 악성파일들을 검색하여 제거하는 과정을 거쳐야 한다.

최근 연속해서 HWP 한글 문서 취약점을 이용하고, "통일" 또는 "북핵" 등 국가안보와 관련된 정치적인 키워드를 포함한 악성 파일이 연속해서 발견되고 있다는 점에서 특정할 수는 없지만, 정부부처 및 기관, 국방, 기업 등을 표적으로 한 지능형지속위협(APT)으로 사용되고 있을 것으로 예상된다. 따라서 한컴오피스 제품군 이용자들은 최신 업데이트가 배포되기 전까지 이와 유사한 문서파일 열람을 가급적 자제하고, 신뢰할 수 있는 보안서비스 등을 통해서 사전 방역을 위한 노력을 기울여야 한다.




2. 악성파일 정보

유사한 형태의 악성파일이 최근에 발견된 바 있고, 우선 아래 내용을 참고하면 된다.

HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

해당 악성파일은 "북핵해결 3대 전략"(Strategic Triad), "삼위일체의 북핵전략"(Strategic Trinity) 등의 제목을 가지고 있으며, 국방안보와 남북 교류협력 북핵협상 등의 내용을 포함하고 있다.


하지만, 해당 내용은 정상파일처럼 보이도록 하기 위한 하나의 속임수 수법이며, 실제로는 HWP 보안취약점을 이용해서 사용자 몰래 또 다른 악성파일을 설치하고 감염시키는 행위를 하게 된다.

처음으로 윈도우 폴더 경로에 hwprnt.dll 이라는 악성파일을 생성한다.
 


다음으로 시스템폴더 경로에 comirv.dll, rundir.dll, soric.rxc 등의 파일을 생성한다. soric.rxc 파일은 사용자 컴퓨터의 주요 정보들을 수집한 문서파일이다.



수집된 악성파일은 인디아 타임스라는 해외 도메인 이메일로 전송을 시도한다. 특징적으로 메일에는 "kim unhong" 이라는 한국식 이름이 포함되어 있다.


추후 다음과 같은 파일이 추가생성되고, 일부는 잠시 후 삭제된다.


해당 내용은 실제 수집된 정보를 이메일로 발송하기 위해서 제작된 코드들이다. 한글 등으로 구성된 내용을 볼 수 있고, 공격자는 인디아타임스 메일 서비스의 코드를 악용하여 사용하였다.

 




3. 마무리

현재 해당 HWP 악성파일이 이용하는 보안취약점에 대한 패치(업데이트)가 제공되고 있지 않으므로, 이용자들의 각별한 주의가 요망된다. 또한, 문서파일의 취약점을 이용해서 개인정보 수집시도를 하고 있다는 점에서 보안위협에 노출된 표적들에 대한 2차 ~ 3차공격이 진행될 수 있을 것으로 예상된다.

위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.