한글 파일 취약점은 주로 APT 공격에 사용 되었으며 파일명과 본문 내용은 정치,외교 관련 내용을 포함한 경우가 많았다.

그러나, 최근 특수한 내용이 아닌 일반적인 내용을 담은 한글 EPS 취약점이 발견되었다.


[그림 1] 한글문서 취약점 (1)

[그림 2] 한글 문서 취약점 (2)

[그림 3] 한글 문서 취약점 (3)


CVE-2017-8291 취약점이 발생하는 Encapsulated PostScript 파일이 포함 된 한글 문서가 [그림 1~3]과 같이 다양한 내용을 포함하여 악의적으로 제작되고 있다.

따라서, 한글 문서를 사용하는 시스템에서는 프로그램을 최신 버전으로 업데이트하여 취약점이 발생되지 않게 해야하며, 또한 발신자가 불분명한 의심스러운 이메일에 첨부된 문서는 열어보지 않도록 각별한 주의가 요구된다.


현재 V3에서는 한글 취약점 문서파일을 다음 진단명으로 진단하고 있다.

- 파일 진단 : EPS/Dropper.Gen (2017.12.14.04)


실제 악성행위를 하는 PE는 Explorer.exe에 인젝션되어 동작하며 메모리상에만 존재한다.

현재 V3에서 다음 진단명으로 진단하고 있다.

- 파일 진단 32bit : Trojan/Win32.Navepry.R215554 (2017.12.15.02)

- 파일 진단 64bit: Trojan/Win64.Navepry.R215553 (2017.12.15.02)


Posted by 분석팀