몇 년전부터 악성코드 제작자들은 악의적인 목적으로 제작하는 악성코드들을 효과적으로 감염시키기 위해 전자 문서 파일들에 존재하는 알려지거나 또는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점들을 악용하기 시작하였다.
악용되는 전자 문서들 중 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 사용하는 PDF 파일이나 마이크로소프트 오피스 워드(Microsoft Office Word)와 같은 전자 문서 파일들이 존재하는 취약점들이 주된 대상이 되었다.
이러한 사례들 중 가장 최근에 알려진 2011년 4월 CVE-2011-0611 취약점을 악용한 PDF 파일 유포와 2011년 7월 MS10-087 취약점을 악용한 워드 파일 유포가 있다.
이와 같이 전자 문서 파일의 취약점을 악용한 악성코드 유포는 고도의 사회 공학 기법(Social Engineering)과 결합하여 APT(Advanced Persistent Threat) 형태의 보안 위협을 만들어 낼 수도 있다.
이와 같이 심각한 위협에 악용되는 전자 문서 취약점을 악용한 악성코드 유포는 국내에서 제작된 한글 프로그램도 그 예외가 아님으로 많은 주의가 필요하다.
최근에는 국내에서 제작된 한글 프로그램에 존재하는 취약점을 악용한 악성코드가 발견되어 보안 패치의 중요성이 다시 강조된다.
이 번에 발견된 한글 프로그램의 취약점을 악용한 악성코드는 한글 프로그램에서 사용하는 HwpApp.dll 모듈에서 존재하는 취약한 memcpy() API를 이용하여 임의의 코드를 실행 시킬 수 있는 코드 실행 취약점이다.
해당 취약점을 악용한 취약한 한글 파일(HWP)을 실행하게 되면, 아래 이미지와 같이 Svchost.exe 파일을 생성하게 된다.
그리고 생성된 svchost.exe 파일은 다시 시스템 폴더(C:\Windows\system32)에 ieprotect.dll 파일명의 악성코드를 생성 한다. 이와 함께 2.hwp이라는 정상 HWP 파일을 생성시켜 감염된 시스템의 사용자로 하여금 정상적으로 한글 파일이 열린 것으로 오인하도록 동작한다.
취약한 한글 파일은 파일 내부에 아래 이미지와 같은 쉘코드(Shellcode) 및 악성코드를 가지고 있어 실행과 동시에 생성하도록 되어 있다.
그리고 한글 프로그램 사용자는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.
[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.
그리고 위 이미지의 [환경 설정]을 클릭하여 [업데이트 방법]과 [자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.
이 번에 발견된 취약한 한글 파일은 V3 제품군에서 다음과 같이 진단한다. 그러나 해당 악성코드 감염을 근본적으로 막기 위해서는 사용하는 한글 프로그램의 보안 패치 설치가 중요하다.
HWP/Exploit
Dropper/Dllbot.17920
Win-Trojan/Dllbot.9728
'악성코드 정보' 카테고리의 다른 글
| 화학 업체를 대상으로 한 니트로 보안 위협 (0) | 2011.11.02 |
|---|---|
| EMC/RSA 침해 사고 유발한 타깃 공격 이메일 발견 (0) | 2011.10.28 |
| CVE-2011-1255 취약점 악용 악성코드 유포 (0) | 2011.10.28 |
| 어도비 플래쉬 플레이어 CVE-2011-2110 취약점 분석 (0) | 2011.10.28 |
| 어도비 플래쉬 플레이어 CVE-2011-0611 취약점 악용 PDF (0) | 2011.10.28 |
댓글