안랩 ASEC은 곧 이루어질 2차 북미정상회담과 관련된 내용의 한글 EPS(Encapsulated PostScript) 취약점 악성 문서 파일이 유포되고 있는 정황을 포착하였다. EPS 파일을 이용한 악성 한글 HWP문서에 대한 상세한 취약점 정보와 보안 업데이트 정보는 아래의 포스팅을 참고하면 된다.
- https://asec.ahnlab.com/1181 (제목: [주의] EPS 파일을 이용한 악성 한글 HWP 문서 | 업데이트 필수) - 2018.11.22
[그림-1] EPS 취약점 한글파일 내용
해당 파일은 내부 취약점이 있는 EPS 개체를 포함하고 있어 보안에 취약한 환경에서 파일을 열람할 시, Internet Explorer 브라우저(iexplore.exe)에 인젝션(Injection)을 수행하여 2차 악성 DLL 파일을 다운로드 및 실행하는 기능을 한다.
[그림-2] EPS 내부 난독화 된 데이터 일부와 복호화 코드
위 [그림-2]에서 쉘코드에 해당하는 데이터(주황색 글씨)를 1바이트 키 값(0x64)으로 XOR하여 실행한다.
[그림-3] XOR 복호화된 데이터 일부
한글보안 패치가 이루어지지 않은 시스템에서는 (한글 프로그램에서 EPS 처리를 담당하는) 정상 "gswin32c.exe" 프로세스에 의해 [그림-3]의 빨간 박스의 쉘코드가 실행된다.
[그림-4] 쉘코드 내부에 하드코딩 된 iexplore.exe
쉘코드는 [그림-4]에서처럼 Internet Explorer 브라우저(iexplore.exe)에 인젝션을 수행한다.
[그림-5] iexplore.exe에 인젝션 된 쉘코드
[그림-5] 확인할 수 있듯이 인젝션 된 iexplore.exe는 "http://itoassn.mireene.co.kr/shop/shop/mail/com/mun/down[.]php" 에서 DLL 형태의 파일을 %temp%경로의 "~emp.dll" 이름으로 다운로드 후 실행한다.
다운로드 된 "~emp.dll" 파일은 같은 경로의 "http://itoassn.mireene.co.kr/shop/shop/mail/com/mun/down[.]php"로 통신을 시도한다. 현재 안랩은 해당 HWP문서와 다운로드된 DLL을 모두 진단하고 있다.
- HWP/Exploit(2019.02.21.06)
- Trojan/Win32.Hwdoor(2019.02.21.07)
'악성코드 정보' 카테고리의 다른 글
| 멀버타이징 방식에 의한 매그니베르와 갠드크랩 중복감염 (0) | 2019.02.28 |
|---|---|
| GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (0) | 2019.02.27 |
| GandCrab 랜섬웨어 v5.2 국내 유포 중 (복구불가) (0) | 2019.02.20 |
| 국내 인터넷 뉴스 사이트 통한 랜섬웨어 유포 (Greenflash Sundown EK) (0) | 2019.02.19 |
| 국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 (0) | 2019.02.18 |
댓글