HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

한글 자료연결 기능을 악용한 국내 표적 악성코드 주의
등록일 :
2017.11.06

□ 개요

최근 워드파일 DDE 취약점과 같이 프로그램의 정상 기능을 악용하여 악성코드가 유포되고 있다. 이번에 발견된 한글 문서도 “자료연결” 정상 기능을 악용하였으며, 별도의 알림창 없이 본문 클릭 한 번으로 악성코드에 감염되기 때문에 사용자가 인지하기 어렵다. 앞으로 정상 기능을 악용한 악성코드 유포가 증가할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다. 

 

□ 내용

이번 표적 공격에 사용된 악성 한글(HWP) 문서 파일은 “자료연결” 기능 중 “외부 어플리케이션 문서”에 모든 파일이 지정 가능한 점과 OLE 개체삽입 시 개체가 임시폴더에 생성되는 점을 악용하였다.

* 자료연결 : 한글에서 설명을 추가하고 참고 자료를 지정하여 하이퍼링크를 연결하는 정상 기능이며, 연결할 수 있는 자료의 종류에는 한글 문서, 웹 주소, 전자 우편 주소, 외부 어플리케이션 문서 등이 있다. 

 

 [그림 1] 공고문으로 위장한 악성 한글문서

 

해당 한글 문서는 인터넷 익스플로러 브라우저를 이용하여 이메일에 첨부된 문서를 실행할 경우에만 악성 스크립트가 실행되도록 설계되었다. 공격자는 일부 사람들이 이메일 첨부파일을 PC에 저장하지 않고 바로 실행한다는 점을 노렸으며, “자료연결” 대상 파일의 상대 경로 방식에 대한 한계를 극복하려는 의도로 파악된다. 

  

  

[그림 2] 악성 스크립트가 연결된 한글 "자료연결" 기능

 

공격자는 한글의 OLE 개체삽입 기능을 사용하여 문서에 악성 스크립트(VBScript)를 삽입하였다. 이후 “자료연결” 대상에 해당 스크립트의 경로를(임시폴더) 상대 경로 방식으로 지정하였다. 사용자가 한글 문서를 열람하면 삽입된 악성 스크립트는 임시폴더에 생성되며, “자료연결”이 설정된 본문을 클릭할 경우 해당 스크립트가 실행되어 동작한다.

 


[그림 3] 악성 스크립트 실행

 

동작한 악성 스크립트는 특정 경로에 악성코드를 생성하고 실행한다. 최종 악성코드는 윈도우 명령 처리기(CMD.EXE)에 인젝션되어 동작하며, 감염 PC의 정보를 수집하는 등 백도어 행위를 수행한다. 

  

 

 [그림 4] 추가 악성코드를 생성하는 악성 스크립트

 

 

□ 바이로봇 업데이트 내역

HWP.S.Exploit

VBS.S.Dropper 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top