본문 바로가기
악성코드 정보

[주의] '2차 북미정상회담' 내용의 한글취약점 문서

by 분석팀 2019. 2. 21.

안랩 ASEC은 곧 이루어질 2차 북미정상회담과 관련된 내용의 한글 EPS(Encapsulated PostScript) 취약점 악성 문서 파일이 유포되고 있는 정황을 포착하였다. EPS 파일을 이용한 악성 한글 HWP문서에 대한 상세한 취약점 정보와 보안 업데이트 정보는 아래의 포스팅을 참고하면 된다.

https://asec.ahnlab.com/1181 (제목: [주의] EPS 파일을 이용한 악성 한글 HWP 문서 | 업데이트 필수) - 2018.11.22 


[그림-1] EPS 취약점 한글파일 내용

해당 파일은 내부 취약점이 있는 EPS 개체를 포함하고 있어 보안에 취약한 환경에서 파일을 열람할 시, Internet Explorer 브라우저(iexplore.exe)에 인젝션(Injection)을 수행하여 2차 악성 DLL 파일을 다운로드 및 실행하는 기능을 한다.

[그림-2] EPS 내부 난독화 된 데이터 일부와 복호화 코드

위 [그림-2]에서 쉘코드에 해당하는 데이터(주황색 글씨)를 1바이트 키 값(0x64)으로 XOR하여 실행한다.

[그림-3] XOR 복호화된 데이터 일부

한글보안 패치가 이루어지지 않은 시스템에서는 (한글 프로그램에서 EPS 처리를 담당하는) 정상 "gswin32c.exe" 프로세스에 의해 [그림-3]의 빨간 박스의 쉘코드가 실행된다. 

[그림-4] 쉘코드 내부에 하드코딩 된 iexplore.exe

쉘코드는 [그림-4]에서처럼 Internet Explorer 브라우저(iexplore.exe)에 인젝션을 수행한다.

[그림-5] iexplore.exe에 인젝션 된 쉘코드

[그림-5] 확인할 수 있듯이 인젝션 된 iexplore.exe는 "http://itoassn.mireene.co.kr/shop/shop/mail/com/mun/down[.]php" 에서 DLL 형태의 파일을 %temp%경로의 "~emp.dll" 이름으로 다운로드 후 실행한다.

다운로드 된 "~emp.dll" 파일은 같은 경로의 "http://itoassn.mireene.co.kr/shop/shop/mail/com/mun/down[.]php"로 통신을 시도한다. 현재 안랩은 해당 HWP문서와 다운로드된 DLL을 모두 진단하고 있다. 

- HWP/Exploit(2019.02.21.06)

- Trojan/Win32.Hwdoor(2019.02.21.07)


댓글