본문 바로가기
악성코드 정보

한글 소프트웨어의 취약점을 악용하는 악성코드

by 알 수 없는 사용자 2012. 9. 4.

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다.


2011년 10월 - 취약한 한글 파일을 악용한 악성코드 유포


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 6월 - 알려진 한글 취약점을 악용한 악성코드 유포


2012년 7월 - 지속적으로 발견되는 취약한 한글 파일 유포


2012년 7월 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 - 다시 발견된 한글 취약점을 악용한 취약한 한글 파일


2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다.


이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 "북한전문가와 대북전략가"라는 제목의 내용을 가지고 있다.



이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던  HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다.


해당 취약한 한글 파일에서 악용한 취약점은 EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인해 임의의 코드가 실행되는 취약점이다. 현재 해당 취약점과 관련된 보안 패치는 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


해당 취약한 한글 파일 내부에 백도어 기능을 수행하는 악성코드가 인코딩된 상태로 임베디드(Embedded) 되어 있다.


해당 취약한 한글 파일을 보안 패치가 설치 되지 않은 한글 소프트웨어가 설치되어 있는 시스템에서 열게 되면 사용자 모르게 백그라운드로 msver.tmp (137,884 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msver.tmp 


해당 파일이 정상적으로 생성되면 다시 msver.tmp (137,884 바이트) 는 msiexec.exe (94,208 바이트)를 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msiexec.exe 


그리고 다시 vmm85.tmp (64,472 바이트)를 다음 폴더에 생성하게 된다. 


C:\documents and settings\tester\local settings\temp\vmm85.tmp


생성한 vmm85.tmp (64,472 바이트)의 자신의 복사본을 EventSystem.dl(64,472 바이트)라는 파일명으로 윈도우 시스템 폴더에 생성하게 된다


C:\WINDOWS\system32\EventSystem.dll 


생성된 EventSystem.dll (64,472 바이트)는 윈도우 시스템에 존재하는 rundll32.exe를 이용해 자신을 실행하여 미국에 위치한 특정 시스템으로 역접속을 시도하게 된다. 그러나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


만약 정상적인 접속이 이루어지게 된다면, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


시스템 하드웨어 정보

운영체제 정보

프록시 설정

네트워크 정보 확인

파일 실행, 업로드 및 다운로드

디렉토리 정보 확인

실행 중인 프로세스 리스트 확인


그리고 감염된 시스템에 다음의 확장자를 가진 파일이 존재 할 경우 수집하여 외부로 전송을 시도하게 된다.


jpg, dat, png, rm, avi, mp3, pdf, bmp, mov, rar, zip, tmp


이 번에 발견된 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Dropper/Malware.137884

Win-Trojan/Protux.94208.D

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

댓글