한글 제로데이 취약점을 악용한 악성코드 유포

한국에서 많이 사용되는 한글 소프트웨어에 존재하는 알려지지 않은 제로데이(0-Day, Zero-Day) 취약점 또는 기존에 알려진 취약점을 악용한 악성코드 유포는 2010년 무렵부터 국내에서 발견되기 시작하였다.

이러한 취약점이 발견될 때마다 한글 소프트웨어를 개발하는 한글과 컴퓨터에서는 발견된 해당 취약점을 제거하는 보안 패치도 꾸준히 배포하였다.

금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.

이 번에 발견된 취약점을 포함하고 있는 취약한 한글 파일(HWP)은 986,624 바이트의 크기를 가지고 있으며, 전자 메일의 첨부 파일 형태로 유포된 것으로 파악하고 있다.

해당 취약한 파일은 아래 이미지와 같은 구조를 가지고 있으며, 한글 파일 내부에 다른 PE 파일이 인코딩 된 상태로 포함되어 있다.

이 번에 발견된 해당 취약한 한글 파일은 아래 이미지와 같은 전체적인 악성코드 감염 구조를 가지고 있으며, 다른 악성코드들과 로그 파일을 생성하게 된다.

해당 취약한 한글 파일을 실행하게 되면 사용 중인 윈도우(Windows) 시스템에 다음의 파일이 생성된다.

C:\WINDOWS\YAHOO.dll (135,168 바이트)

생성된 해당 YAHOO.dll 파일은 다시 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 다음 파일들을 생성하게 된다.

C:\WINDOWS\system32\winview.exe  (49,152 바이트)

C:\WINDOWS\system32\c_38901.nls (45,056 바이트)

그리고 다시 생성된 파일 중 하나인 winview.exe 는 다시 자신의 복사본을 아래와 같이 생성하고 감염된 시스템의 정보들을 기록하는 로그 파일을 생성하게 된다. 

C:\WINDOWS\system32\IBMCodecSrv.exe (49,152 바이트)

C:\WINDOWS\system32\c_43911.nls

C:\WINDOWS\system32\abc.bat (39 바이트)

생성된 abc.bat 는 아래와 같은 커맨드 명령으로 동일한 윈도우 시스템 폴더에 tmp.dat를 생성하고 악성코드가 실행된 년도와 날자를 기록하게 된다.

date /t > "C:\WINDOWS\system32\tmp.dat" 

생성된 로그 파일 c_43911.nls은 아래 이미지와 같이 감염된 시스템의 하드웨어 및 운영체제 정보들 그리고 현재 감염된 시스템에서 실행 중인 프로그램들의 프로세스(Process) 정보 모두를 기록하게 된다

그리고 감염된 시스템이 재부팅을 하더라도 악성코드 자신을 다시 실행시키기 위하여 윈도우 레지스트리에 특정 키를 생성하여 생성된 파일 중 하나인 IBMCodecSrv.exe 을 "Microsoft Audio Codec Services"라는 명칭으로 윈도우 서비스로 등록하게 된다.

HKLM\SYSTEM\ControlSet001\Services\Microsoft Audio Codec Services

ImagePath = "C:\WINDOWS\system32\IBMCodecSrv.exe"

생성된 파일들은 각가 다른 역할을 하도록 설계 되어 제작되었으며, 하나의 악성코드만을 분석하여서는 해당 악성코드들이 어떠한 목적을 가지고 설계 및 제작이 되었는지를 파악하기 어렵도록 구성되었다.

최초 YAHOO.dll에 의해 생성되는 파일인 winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 아래 이미지에서와 같이 감염된 시스템의 하드웨어 및 운영체제 정보 수집한다.

그리고 이와 함께 함께 감염된 시스템에서 다음의 웹 브라우저들이 실행되면 해당 프로세스를 모니터링하여 접속하는 웹 사이트 주소들 역시 모두 수집하게 된다.

FireFox

Internet Explorer

Chrome

winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 감염된 시스템에서 웹 사이트 접속 주소, 하드웨어 및 운영체제 정보들을 수집하여 이를 로그 파일인 c_43911.nls에 기록하는 정보 수집 목적으로 제작된 악성코드 이다. 

그리고 YAHOO.dll 파일에 의해 생성되는 다른 c_38901.nls 파일은 아래 이미지에서와 같이 감염된 시스템에서 임의로 구글(Google) 지메일(Gmail)의 사용자 세션을 연결하게 된다. 

연결한 구글 지메일 세션을 이용하여 c_38901.nls는 특정 메일 주소로  winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe에 의해 감염된 시스템에서 수집된 정보들이 기록된 로그 파일인 c_43911.nls을 전송하는 정보 탈취 목적으로 제작된 악성코드이다.

이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드 감염 시도는 해당 악성코드가 감염된 시스템으로부터 다양한 정보들을 수집하기 위한 목적으로 제작된 것으로 추정되며, 이러한 정보는 향후 다른 공격을 계획하거나 구상할 경우 유용한 데이터로 활용 될 수 있다.

이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

HWP/Exploit

Trojan/Win32.Dllbot

Trojan/Win32.Npkon

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document(57)

현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.

그러므로 메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.