고도의 사회 공학 기법이 포함된 취약한 한글 파일들

ASEC에서는 한글과 컴퓨터에서 개발하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일을 악용한 악성코드가 발견되었다는 것을 9월 4일 공개하였다.

9월 4일 취약한 한글 파일에 대해 공개한 이 후인 9월 5일과 9월 6일 오전 기존에 알려진 취약점을 악용하는 취약한 한글과 파일들과 악성코드들이 다시 발견되었다.

9월 5일 발견된 취약한 한글 파일은 아래 이미지와 동일하게 최근 언론을 통해 이슈가 되고 있는 독도 관련 내용을 담고 있으며, 문서 역시 독도 일본땅`日,자신만만증거보니…황당.hwp (447,504 바이트)라는 파일명을 가지고 있다.

해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점이다.

해당 취약점으로 인해 suchost.exe (295,424 바이트)을 다음의 경로에 생성한다.

c:\documents and settings\[사용자 계정명]\local settings\temp\suchost.exe

그리고 생성된 suchost.exe (295,424 바이트)는 다시 아래의 경로에 connection.dll (295,424 바이트)를 생성한다.

c:\documents and settings\all users\application data\connection.dll

윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행하여 스레드로 인젝션되어 홍콩에 위치한 특정 시스템으로 역접속을 시도하게 된다.

9월 6일 금일 오전에 발견된 취약한 한글 파일은 총 2건이며, 그 중 첫번째는 아래 이미지와 같은 내용을 담고 있으며, 파일명 역시 1. 기술료 신청서 양식.hwp (1,000,964 바이트)를 가지고 있다.

두번째 취약한 한글 파일 역시 아래와 같은 이미지의 내용을 담고 있으며, 확인된 유포 당시 파일명은 2. 기술료 지급대상자 명단(12.09.06 현재).hwp (1,019,908 바이트)를 가지고 있다.

금일 오전에 발견된 2건의 취약한 한글 파일들 모두 기존에 발견되었던 취약한 한글 파일들에서 사용되었던 HncTextArt.hplg 존재하는 취약점을 다시 악용하고 있다.

해당 취약점으로 인해 system32.dll (81,920 바이트)를 다음 경로에 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll

그리고 생성된 system32.dll (81,920 바이트)는 다시 아래의 경로에 taskeng.exe (28,672 바이트)를 생성하게 된다.

c:\documents and settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskeng.exe

이번에 발견된 총 3개의 취약한 한글 파일들에 의해 생성되는 악성코드들은 공격자의 명령에 따라 다양한 악의적인 기능들을 수행하게 되는 백도어 형태의 악성코드이다.

발견된 취약한 한글 파일과 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.

HWP/Exploit

Backdoor/Win32.Etso

Win-Trojan/Infostealer.81920 

Win-Trojan/Infostealer.28672.J 

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-SEH

Exploit/HWP.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit

현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.