HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

이력서로 위장한 악성 한글 문서 주의
등록일 :
2018.06.21

□ 개요

이력서를 위장한 한글 문서파일이 지속적으로 발견되고 있어 각별한 주의가 필요하다.

 

□ 내용

금번에 발견된 이력서는 "신OO 전산담당 경력.hwp" 파일명으로 유포되었으며 한글 문서파일을 실행하면 [그림 1]과 같이 정상적인 이력서 화면이 출력되어 감염사실을 숨긴다.


[그림 1] 한글 문서파일 실행시 화면 

 

그러나 한글 문서파일 내부에 PostScript를 삽입하여 악의적인 동작을 수행한다.


 [그림 2] 한글 문서파일 내부에 삽입된 PostScript

 

PostScript에 의해 특정서버로 접속하여 악성코드를 다운로드하고 메모리에서 실행한다.

https://tpddata.com/skins/skin-8.thm

https://tpddata.com/skins/skin-6.thm

 

메모리에서 실행된 악성코드에 의해  C&C서버로 접속하여 수신받은 명령에 따라 다른 악의적인 페이로드를 다운로드 하거나 명령을 수행한다.

www.anlway.com/include/arc.search.class.php

www.apshenyihl.com/include/arc.speclist.class.php

www.ap8898.com/include/arc.search.class.php

 [그림 3] C&C 서버 목록

 

 □ 결론

최근 한글 문서파일 내부에 PostScript 코드를 삽입하여 공격하는 사례가 계속해서 발견되고 있으므로 의심스러운 한글 문서파일은 보안업체에 문의하거나 삭제한다. 또한 PostScript를 이용한 공격이 빈번해짐에 따라 한글과컴퓨터에서는 한글 워드프로세서에서 스크립트가 실행되지 않도록 패치를 한 상태이므로 최신버전으로 업데이트한다.

 

 

 □ 바이로봇 진단명

HWP.Exploit.Gen.I

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top