분석 정보/악성코드 분석 정보

[주의]CVE-2013-3906 MS Word Zero-Day 취약점 공격

TACHYON & ISARC 2013. 10. 31. 17:33
1. MS Office DOCX 문서파일 Zero-Day 공격 등장

잉카인터넷 대응팀은 2013년 11월 06일 기준으로 MS 오피스 Zero-Day 보안취약점을 이용하는 악성 Word 파일을 다수 발견하였고, 파키스탄 등에서 변종이 다수 유포 중인 정황도 포착한 상태이다. 해당 이슈는 대응팀에서 2013년 10월 말 관련 첩보를 입수하고 자체 조사를 은밀하고 진행 중에 있었다. 또한 보여지는 문서파일은 대체로 파키스탄 시간대(
PST:Pakistan Standard Time)를 이용하고 있다.

악성파일은 "Shanti Dyanamite.docx", "IMEI.docx", "Inter-Services Intelligence (ISI).docx", "Kayani.docx", "Failure_Notice.docx", "$142,000.docx", "Illegality_Supply details.docx", "Missing MT103 Confirmation.docx", "Swift Message $288,550 USD.docx" 등으로 유포되었으며, 실행 시 정상적인 DOC 문서파일들을 보여준다. 현재까지 확인된 바에 의하면 변종이 매우 다양하게 존재하고 있으며, 2013년 10월 03일 경부터 파키스탄 지역을 통해서 제작 유포된 것으로 추정된다. 이외의 국가에서도 공격이 사용된 보고가 확인되고 있다.


아래는 실제 사용된 공격 이메일 중 하나이다.

 

CVE-2013-3906

Microsoft Security Advisory (2896666)
http://technet.microsoft.com/en-us/security/advisory/2896666  

CVE-2013-3906: a graphics vulnerability exploited through Word documents
http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견
☞ http://erteam.nprotect.com/451

[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인
☞ http://erteam.nprotect.com/447

[주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견
 http://erteam.nprotect.com/443

[주의]표적공격 유발자 HWP 악성파일 지속 출현 
☞ 
http://erteam.nprotect.com/440

통일연구 및 무역관련 기관을 겨냥한 표적공격 다수 발견
☞ 
http://erteam.nprotect.com/433

새로운 HWP Zero-Day 취약점 악성파일 등장 (표적공격)
☞ 
http://erteam.nprotect.com/360

HWP 문서취약점을 이용한 표적형 악성파일 급증
☞ 
http://erteam.nprotect.com/358

국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
☞ 
http://erteam.nprotect.com/357

HWP 문서 0-Day 취약점 이용한 APT 공격발생
☞ 
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
☞ 
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
☞ 
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
☞ 
http://erteam.nprotect.com/272

2. 악성파일 정보

"Shanti Dyanamite.docx" 악성파일은 CVE-2013-3906 취약점을 통해서 터키의 특정 도메인으로 접속하여 "winword.exe" 악성파일을 다운로드하고 실행하게 된다. 

다운로드되는 파일은 변종에 따라 다르고 설치 경로도 조금씩 상이하다.

hxxp://myflatn**.com/new****/winword.exe

hxxp://myflatn**.com/br***/winword.exe

hxxp://myflatn**.com/br*****/winword.exe

hxxp://myflatn**.com/br*****/winword.exe

hxxp://myflatn**.com/ra*****/winword.exe
hxxp://twiks****.com/Exp**/winchost.exe 



해당 "winword.exe" 악성파일은 RAR SFX 형식으로 압축되어 있으며, 내부에는 "Updates.exe" 이름의 또 다른 악성파일과 "Shanti.doc" 이름의 정상적인 문서파일이 포함되어 있다. 2개의 파일은 RAR SFX 명령에 의해서 압축이 자동해제된 후 각각 모두 실행이 된다.


내부에 포함되어 있는 "
Shanti.doc" 정상문서 파일이 실행되면 아래와 같은 화면을 보여주고, 이용자로 하여금 정상적인 문서로 인식하도록 속이게 만든다. (노출부분 일부 모자이크 처리)


"Updates.exe" 악성파일은 일정 시간간격으로 러시아의 특정 호스트(37.0.125.77)로 접속을 시도하여 다양한 추가 명령을 수행하게 된다.

 

이외 변종에 따라서 보여지는 화면은 다음과 같이 다른 경우가 다수 존재한다.

 



3. 마무리

지능형 표적공격은 특정 기업이나 기관을 상대로 지속적인 공격을 수행한다. 특히, 보안업데이트가 존재하지 않는 Zero-Day 공격이 발생할 경우 공격에 노출될 가능성이 매우 높다. 따라서 이용자들은 확장자에 이상한 점이 없는지 세심하게 살펴보는 보안습관이 중요하다. 마이크로 소프트사에서 해당 보안취약점을 제거한 업데이트를 배포할 경우 신속하게 업데이트 하는 노력이 필요하며, 유사한 형태의 위협에 노출되지 않도록 각별한 관심이 요구된다.

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.


※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com