분석 정보/악성코드 분석 정보

[긴급]새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)

TACHYON & ISARC 2012. 11. 26. 11:00
1. HWP 0-Day 취약점 공격 발생


한컴오피스 한글 2010 프로그램의 HWP 문서파일에서 2012년 11월 26일 현재 보안취약점 제거 패치가 제공되고 있지 않은 HWP 2010 0-Day 공격 기능의 악성파일이 발견됐다. 해당 악성파일은 한컴오피스 최신버전(8.5.8.1300)의 한글 2010을 사용하더라도 악성파일이 몰래 설치되고 있기 때문에 이용자들의 각별한 주의가 요망된다. 최근 연이어 HWP 문서 취약점을 악용한 악성파일 표적공격이 지속적으로 발생하고 있으므로, 의심스럽거나 신뢰하기 어려운 경우의 HWP 문서파일에 무의식적으로 접근하고 실행하지 않아야 할 것으로 보인다. 특히, 특정 기업이나 정부기관 등을 겨냥한 은밀한 표적공격에 다수 이용되고 있다는 점에 주목하여야 한다.



[주의]HWP 문서취약점을 이용한 표적형 악성파일 급증
http://erteam.nprotect.com/358

[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

2. 악성파일 정보

이번에 발견된 HWP 문서파일은 "한국 공군의 위상에 대한 평가와 진단"이라는 제목을 가진 HWP 문서파일로 위장하고 있으며, 본문 내부에는 공군과 관련된 내용이 포함되어 있다.


2012년 11월 26일 현재 한컴 오피스 2010 최신 버전 8.5.8.1300 에서 악성파일이 실행되면 다음과 같이 Zero-Day 취약점이 작동된다. 


취약점이 존재하는 HWP 문서파일을 열람 후 스크롤바를 통해서 어느정도 아래로 내용을 내리다보면 "문제 제기" 라는 부분에서 아래와 같이 Temp 폴더에 "HncCtrl.exe" 이름의 악성파일이 생성되고 실행된다.

보통 HWP 취약점을 이용한 악성 문서파일은 실행 즉시 또 다른 EXE 실행파일 형태의 악성파일이 생성되고 실행되지만, 이번 Zero-Day 공격용은 실행 후 문서 내용을 어느정도 읽어 내려가야지만 작동된다. 만약 공격자가 의도적으로 이 기능을 사용한 것이라면 자동화된 악성파일 분석 시스템을 우회하기 위한 목적으로 추정할 수 있다. 



실행환경에 따라서 아래와 같이 오류창이 발생하기도 하며, 생성되는 악성파일은 마치 한컴 컨트롤 파일처럼 보이도록 하기 위해서 파일명을 "HncCtrl.exe" 이름으로 위장하였다.


"HncCtrl.exe" 이름의 악성파일이 실행되면 시스템폴더의 하위에 "IE" 라는 폴더를 생성하고 내부에 "taskmgr.exe", "sens.dll" 이름의 악성파일을 추가로 생성하고 실행한다.


악성파일은 사용자 컴퓨터에서 개인정보를 수집하여 구글의 Gmail 을 이용해서 외부로 유출을 시도한다.




3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 2012년 11월 26일 현재 Zero-Day 공격 기능을 가진 악성파일이 발견된 상태이므로, 신뢰하기 어려운 조건의 HWP 문서파일을 실행하지 않도록 세심한 주의가 필요하다.

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/