본문 바로가기
악성코드 정보

다시 발견된 한글 취약점을 악용한 취약한 한글 파일

by 알 수 없는 사용자 2012. 8. 14.

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 


6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포


6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포


7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포


7월 25 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다.



해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다.



해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 SUCHOST.EXE (296,448 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\SUCHOST.EXE


생성된 SUCHOST.EXE (296,448 바이트) 파일은 다시 SxS.DLL (296,448 바이트) DLL 파일 1개를 생성하여 감염된 시스템에서 실행 중인 모든 프로세스에 스레드로 인젝션하게 된다.


C:\Documents and Settings\All Users\Application Data\SxS.DLL

C:\Documents and Settings\All Users\Application Data\SS.LOG


그리고 동일한 위치에 생성된 SS.LOG는 감염된 시스템에서 입력된 키로깅과 웹 사이트 접속 기록들을 보관하는 로그 파일이다.


생성한 SxS.DLL (296,448 바이트)을 시스템 재부팅시에도 자동 실행하기 위해 레지스트리에 다음 키를 생성하여 "Windows SxS Services"라는 명칭의 윈도우 서비스로 등록하여 실행하게 된다.


HKLM\SYSTEM\ControlSet001\Services\SxS\Parameters\ServiceDll

"C:\Documents and Settings\All Users\Application Data\SxS.DLL"


그리고 레지스트리 키 생성이 완료가 되면 최초 취약한 한글 파일에 의해 생성되었던 SUCHOST.EXE (296,448 바이트)을 삭제하게 된다.


SxS.DLL (296,448 바이트)에 의해 스레드 인젝션된 정상 svchost.exe 파일을 통해 홍콩에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 통신이 이루어지지 않았다.


정상적인 통신이 이루어지게 될 경우에는 감염된 시스템에서 입력되는 키보드 입력들을 가로채고 웹 사이트 접근을 모니터링 등 하는 일반적인 백도어 기능들을 수행하게 된다.


이 번에 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Exploit/Hwp.AccessViolation-SEH

Backdoor/Win32.Etso


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(6)


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

댓글