ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다.
그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다.
2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다.
이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 "한반도통일대토론회-120928.hwp (225,792 바이트)"라는 파일명을 사용하였다.
해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다.
악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한 코드 실행 취약점이다.
이 번에 유포된 취약한 한글 파일을 한글 소프트웨어가 설치된 시스템에서 열게 되면 다음 아미지와 같은 순서에 의해 악성코드들에 감염 된다.
먼저 취약한 한글 파일을 열게 되면 kbs.dll (115,200 바이트)가 다음 경로에 생성 된다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\kbs.dll
생성된 kbs.dll는 다시 동일한 경로에 kbs.exe (90,112 바이트)를 생성하게 되며, kbs.exe는 다시 아래의 경로에 자신의 복사본인 svchost.exe (90,112 바이트)와 함께 p_mail.def (10 바이트)와 com.dat (40,960 바이트)를 순차적으로 다음 경로에 생성하게 된다.
C:\WINDOWS\system32\2065\p_mail.def
C:\WINDOWS\system32\2065\svchost.exe
C:\WINDOWS\system32\2065\com.dat
그리고 레지스트리(Registry)에 다음의 키 값을 생성하여 자신의 복사본인 svchost.exe이 "SMS Loader"라는 윈도우 서비스로 시스템 재부팅 시에도 자동 실행되도록 구성하게 된다.
HKLM\SYSTEM\ControlSet001\Services\SMS Loader
ImagePath = "C:\WINDOWS\system32\2065\svchost.exe"
kbs.exe에 의해 생성된 p_mail.def 는 악성코드가 시스템에서 실행된 최초의 시각을 기록한 로그 파일이며, kbs.exe에 의해 생성된 자신의 복사본인 svchost.exe에 의해 다음의 악의적인 기능들을 수행하게 된다.
윈도우 내장 방화벽 무력화
AhnLab V3 Internet Security 8.0 및 2007 방화벽 무력화
윈도우 사용자 정보 수집
감염 시스템 IP, 운영체제 및 하드웨어 정보 수집
키보드 입력 가로채기
그리고 감염된 시스템에서 수집한 키보드 입력 데이터와 시스템 및 하드웨어 정보는 다음과 같은 경로에 key.dat와 log.dat 파일들을 생성하여 기록하게 된다. 그리고 악성코드에 의해 감염된 시각을 jpg 파일명으로 생성하게 된다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\key.dat C:\WINDOWS\system32\2065\log.dat C:\WINDOWS\system32\2065\[월일시분초10자리].jpg
감염된 시스템에서 수집한 정보들이 기록된 key.dat와 log.dat 파일들은 com.dat에 의해 한국에서 운영되는 특정 웹하드 웹 사이트에 접속하여 지정된 공유 폴더에 업로드 하게 된다.
이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
HWP/Exploit Trojan/Win32.Npkon Trojan/Win32.Dllbot APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다. Exploit/HWP.AccessViolation-DE 향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다. Dropper/MDP.Exploit Suspicious/MDP.DropExecutable Suspicious/MDP.DropMalware Suspicious/MDP.Behavior 앞서 언급한 바와 같이 이 번에 발견된 취약한 한글 파일은 한글 소프트웨어 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도하였다. 그러므로 잘 알지 못하는 사람이 발송한 이메일에 첨부된 한글 파일의 실행 시에는 각별한 주의가 필요하다.
'악성코드 정보' 카테고리의 다른 글
플레임 악성코드 변형 miniFlame 변형 발견 (0) | 2012.10.16 |
---|---|
미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 (0) | 2012.10.12 |
전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 (0) | 2012.10.09 |
ASEC 보안 위협 동향 리포트 2012 Vol.32 발간 (0) | 2012.10.08 |
ZeroAccess로도 알려진 Smiscer 변형 (0) | 2012.10.05 |
댓글