[정보]한글 취약점을 악용한 악성파일 유포 주의!

1. 개 요

잉카인터넷 대응팀에서는 최근 한글 취약점을 악용하여 추가적인 악성파일의 유포를 시도하는 악성 한글 문서 파일을 발견하였다. 해당 악성 한글 문서 파일을 실행할 경우 내부에 포함된 정상적인 문서 파일이 함께 실행되므로 일반 사용자의 경우 악성코드가 실행되었는지 여부를 알 수 없어 잠재적 감염 위험성이 높다고 할 수 있다. 또한, 이러한 잠재적 감염 위험성을 가지는 악성파일에 감염되었을 경우 일반 사용자의 경우 감염 사실을 쉽게 알 수 없기 때문에 다양한 정보 유출 등 감염 이외의 2차적 피해를 입을 수 있어 각별한 주의가 요망되고 있다.

2. 유포 경로 및 감염 증상

해당 한글 문서 파일은 이메일 등의 첨부파일을 통해 주로 유포될 수 있으며, 다운로드 후 실행 시 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

- (사용자 임시 폴더)\AAAA (25,088 바이트, 정상 한글 파일)
- (사용자 임시 폴더)\scvhost.exe (32,768 바이트)
- (시작프로그램 폴더)\AcroRd32Info(스페이스바 생략)数据的.exe (32,768 바이트, scvhost.exe와 동일한 파일)

☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.
☞ (시작프로그램 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램" 을 말한다.

위 그림은 생성된 파일에 대한 아이콘을 보여주고 있다. 제일 상단의 "AAAA" 파일은 해당 악성 한글 문서 파일이 실행될때 함께 실행되는 정상적인 한글 문서 파일(.hwp 확장자가 없는 상태)이다. 악성 한글 문서 파일과 함께 실행되며 아래의 그림과 같은 내용을 담고 있다.

scvhost.exe 파일 또한, 해당 악성 한글 문서파일이 실행될 경우 생성되며 실행 시 아래의 그림과 같이 외부 특정 서버와 지속적인 통신을 시도한다. 파일명이 정상파일명(svchost.exe)과 유사한 것이 특징이며, 악성 동작의 특성상 Bot기능을 수행할 수 있다.

해당 IP는 아래의 그림과 같이 미국내에 소재하고 있으며, 현재는 통신이 정상적으로 이루어지지 않고 있다.

또한, scvhost.exe는 자신의 복사본을 생성하여 시작프로그램으로 등록하게 되는데 이때 복사본의 파일명 또한, 정상 프로그램명으로 위장하고 있으며, 스페이스바 입력을 통한 빈공간과 함께 파일명이 생성되어 있는것이 특징이다. 아래의 일부 코드를 통해 해당 파일명을 정의하고 있다.

3. 예방 조치 방법

위와 같이 특정 응용 프로그램의 취약점을 악용하는 악성파일의 경우 사전 방역이 어렵다는 특징을 가진다. 또한, 일반 사용자의 경우 해당 악성파일을 실행해도 내부에 포함되어 있는 정상적인 한글 문서 파일이 출력되므로 감염 여부에 대한 파악이 더욱 어려울 수 있다. 때문에 사용자들은 한글 등 사용중인 응용 프로그램에 대한 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.32768.CBC
- Trojan-Exploit/W32.Hwp_Exploit.189968