1. 개요
아울러 잉카인터넷 대응팀은 금년 4월 경에 보고했었던 국내 유명 모기업을 표적으로 한 공격기법과 매우 유사하여 동일인 또는 관계조직이 가담하고 있을 것으로 보고 자체 역학조사 진행 및 이상징후를 계속 예의 주시 중이다.
2. 악성파일 공격 수법
악성파일은 업무시간이 마무리되는 시점인 오후 6시 55분경에 확인되었고, 아래와 같은 내용으로 만들어져 있다.
이메일 제목에는 한글로 "(수정) 8.2 외신종합" 이라는 내용이 있고, 본문에는 "참고하세요" 라는 짧은 표현만 포함되어 있다. 첨부파일에는 "8.2(목).hwp" 이름의 악성파일이 포함되어 있다.
이 공격방식은 2012년 04월 23일 진행된 국내 특정 기업에 사용된 방식과 매우 유사하다.
다시 본론으로 돌아와 첨부되어 있는 "8.2(목).hwp" 악성파일을 실행할 경우 보안취약점에 의해서 다음과 같은 파일을 추가로 설치하고 실행한다.
가장 먼저 임시폴더(Temp) 경로에 "scvhost.exe" 이름의 악성파일을 설치하고, "AAAA" 이름의 정상적인 HWP 문서파일을 생성한다. 그리고 "config.ini", "dtapp.exe", "print32.dll" 등 다수의 악성파일을 만들게 된다.
메인 악성파일인 "scvhost.exe" 파일은 이미지 아이콘을 가지고 있고, 마이크로 소프트사의 DirectX 파일처럼 위장하고 있으며, 중국어로 제작되어 있다.
"config.ini" 파일 내부에는 다음과 같은 문장이 포함되어 있다.
사용자를 속이기 위해서 악성파일이 생성된 이후에 다시 정상적인 문서파일이 실행되어 보여진다. 실제로 보여지는 문서파일은 다음과 같고, "일일 주요외신 보도동향 보고" 라는 제목과 [경제] [북한] [외교]와 관련된 내용들이 포함되어 있다.
또한, "C:\Program Files\Common Files" 경로에는 "odbc.nls" 이름의 DLL 파일이 생성되는데, Anti-Virus 제품의 탐지 우회목적의 Garbage Code 다수를 포함하고 있어 용량이 무려 약 25Mb 정도로 큰 편이다.
"C:\WINDOWS\Temp" 폴더 경로에는 udpmon.txt 라는 파일이 생성되고, 아래와 같은 로그파일을 생성한다. 로그파일에는 키로거와 접속시도하는 원격지 호스트 IP 주소 등이 포함되어 있다.
odbc.nls 악성파일에 의해서 Print Spooler 서비스인 spoolsv.exe 정상 프로세스에 사용자 몰래 연동 실행되고, 113.30.70.197 호스트로 시간차를 두고 접속을 시도한다. 그리고 각종 Backdoor 기능을 수행하는데, AutoKeylogger, CapScreen, 사용자 컴퓨터 정보 수집과 외부유출 시도를 하게 된다.
악성파일은 "C:\WINDOWS\system32" 경로의 정상 시스템파일인 "spoolss.dll" 파일을 변조(Patched)하여 재부팅시 자동으로 "odbc.nls" 악성파일이 실행되도록 만든다.
HWP 취약점을 통해서 생성되는 악성파일 역시 "수원 토막살해 s오원춘, 감옥서 의외의 행동.hwp" 생성파일과 기법이 100% 일치하고 있다. 이것을 근거로 공격자는 국내 유수의 기업과 정부기관을 번갈아가면서 공격하고 있다는 것을 확인할 수 있다.
3. 마무리
현재 "한글과컴퓨터(한컴)"에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있으며, 한글 워드 프로세서를 사용중인 사용자들은 반드시 아래의 최신 보안 패치를 수행하여 유사 악성파일로 부터 안전한 PC 사용을 할 수 있다.
개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
한글과컴퓨터 패치 업데이트 링크
☞ http://www.hancom.com/downLoad.downPU.do?mcd=001
한글과 컴퓨터 제품군도 자동 업데이트 기능을 통해서 최신 제품으로 유지할 수 있다.
HWP 문서파일 취약점을 이용한 악성파일은 nProtect 제품군에서 모두 진단/치료가 가능하다.
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서는 HWP 문서 프로그램의 최신 보안 패치를 진행하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
아울러 잉카인터넷 대응팀은 금년 4월 경에 보고했었던 국내 유명 모기업을 표적으로 한 공격기법과 매우 유사하여 동일인 또는 관계조직이 가담하고 있을 것으로 보고 자체 역학조사 진행 및 이상징후를 계속 예의 주시 중이다.
2. 악성파일 공격 수법
[정보]한글 취약점을 악용한 악성파일 유포 주의!
☞ http://erteam.nprotect.com/314
[긴급]국내 유명 포털을 표적으로 한 APT 공격 발견
☞ http://erteam.nprotect.com/304
[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
☞ http://erteam.nprotect.com/314
[긴급]국내 유명 포털을 표적으로 한 APT 공격 발견
☞ http://erteam.nprotect.com/304
[이슈]국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
☞ http://erteam.nprotect.com/251
악성파일은 업무시간이 마무리되는 시점인 오후 6시 55분경에 확인되었고, 아래와 같은 내용으로 만들어져 있다.
이메일 제목에는 한글로 "(수정) 8.2 외신종합" 이라는 내용이 있고, 본문에는 "참고하세요" 라는 짧은 표현만 포함되어 있다. 첨부파일에는 "8.2(목).hwp" 이름의 악성파일이 포함되어 있다.
이 공격방식은 2012년 04월 23일 진행된 국내 특정 기업에 사용된 방식과 매우 유사하다.
다시 본론으로 돌아와 첨부되어 있는 "8.2(목).hwp" 악성파일을 실행할 경우 보안취약점에 의해서 다음과 같은 파일을 추가로 설치하고 실행한다.
가장 먼저 임시폴더(Temp) 경로에 "scvhost.exe" 이름의 악성파일을 설치하고, "AAAA" 이름의 정상적인 HWP 문서파일을 생성한다. 그리고 "config.ini", "dtapp.exe", "print32.dll" 등 다수의 악성파일을 만들게 된다.
메인 악성파일인 "scvhost.exe" 파일은 이미지 아이콘을 가지고 있고, 마이크로 소프트사의 DirectX 파일처럼 위장하고 있으며, 중국어로 제작되어 있다.
"config.ini" 파일 내부에는 다음과 같은 문장이 포함되어 있다.
President Obama's page on Google's social network site has been inundated with messages in Chinese after restrictions in China were removed.
사용자를 속이기 위해서 악성파일이 생성된 이후에 다시 정상적인 문서파일이 실행되어 보여진다. 실제로 보여지는 문서파일은 다음과 같고, "일일 주요외신 보도동향 보고" 라는 제목과 [경제] [북한] [외교]와 관련된 내용들이 포함되어 있다.
또한, "C:\Program Files\Common Files" 경로에는 "odbc.nls" 이름의 DLL 파일이 생성되는데, Anti-Virus 제품의 탐지 우회목적의 Garbage Code 다수를 포함하고 있어 용량이 무려 약 25Mb 정도로 큰 편이다.
"C:\WINDOWS\Temp" 폴더 경로에는 udpmon.txt 라는 파일이 생성되고, 아래와 같은 로그파일을 생성한다. 로그파일에는 키로거와 접속시도하는 원격지 호스트 IP 주소 등이 포함되어 있다.
odbc.nls 악성파일에 의해서 Print Spooler 서비스인 spoolsv.exe 정상 프로세스에 사용자 몰래 연동 실행되고, 113.30.70.197 호스트로 시간차를 두고 접속을 시도한다. 그리고 각종 Backdoor 기능을 수행하는데, AutoKeylogger, CapScreen, 사용자 컴퓨터 정보 수집과 외부유출 시도를 하게 된다.
악성파일은 "C:\WINDOWS\system32" 경로의 정상 시스템파일인 "spoolss.dll" 파일을 변조(Patched)하여 재부팅시 자동으로 "odbc.nls" 악성파일이 실행되도록 만든다.
HWP 취약점을 통해서 생성되는 악성파일 역시 "수원 토막살해 s오원춘, 감옥서 의외의 행동.hwp" 생성파일과 기법이 100% 일치하고 있다. 이것을 근거로 공격자는 국내 유수의 기업과 정부기관을 번갈아가면서 공격하고 있다는 것을 확인할 수 있다.
3. 마무리
현재 "한글과컴퓨터(한컴)"에서는 해당 악성파일에 의한 피해 방지를 위해 보안 패치를 제공하고 있으며, 한글 워드 프로세서를 사용중인 사용자들은 반드시 아래의 최신 보안 패치를 수행하여 유사 악성파일로 부터 안전한 PC 사용을 할 수 있다.
개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
☞ http://erteam.nprotect.com/250
한글과컴퓨터 패치 업데이트 링크
☞ http://www.hancom.com/downLoad.downPU.do?mcd=001
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/
위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서는 HWP 문서 프로그램의 최신 보안 패치를 진행하는 것이 무엇보다 중요하며, 별도로 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중 (0) | 2012.08.20 |
---|---|
[긴급]CVE-2012-1535 취약점 악성파일 증가, Adobe Flash Player 업데이트 권고 (0) | 2012.08.16 |
[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가 (0) | 2012.08.09 |
[이슈]중국 프랑스 대사관 공직자를 겨냥한 표적공격(APT) 발견 (0) | 2012.08.08 |
[주의]대용량 성인동영상으로 둔갑한 Fusion 악성파일 당신을 노린다. (0) | 2012.08.06 |