HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 일일 동향보고로 위장한 악성 한글 문서
등록일 :
2018.09.13

□ 개요

이번에 발견된 악성 한글 문서는 한국 부동산 개발 협회에서 작성한 일일 동향보고로 위장하고 있다. 해당 악성코드는 국내 부동산 시장에 대한 관심이 높아지고 있어 국내 사용자들을 대상으로 유포되고 있는 것으로 추정된다. 

 

□ 내용

북한의 사이버 공격 그룹으로 알려진 라자루스는 한글 문서 파일을 악용하여 지속적인 공격을 시도하고 있는 것으로 보인다. 라자루스 그룹은 3.20 사이버 테러, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹 등 주요 해킹 사건 때마다 등장하는 그룹으로 국내에 한글 문서 파일을 악용해 지속적으로 공격을 시도하고 있다. 이번에 발견된 '일일동향보고_180913.hwp' 악성 한글 문서도 라자루스 그룹이 제작한 한글 문서구조와 악성 코드가 유사하다.


[그림 1] 일일 동향 보고


한글 구조 내부 PS 파일에 쉘코드를 포함하고 있으며 16바이트 XOR 키로 쉘코드를 복호화한다.  

 

[그림 2] 한글 구조 내부에 포함된 PS 파일     

 

쉘코드가 실행되면 특정 주소에서 파일을 다운로드한다.

URL : hxxps://txxxx.exxxxx.xx/wp-content/uploads/2018/04/profile_1.gif (32bit)
        hxxps://txxxx.exxxxx.xx/wp-content/uploads/2018/04/profile_2.gif (64bit) 

 

[그림 3] 파일 다운로드   

 

다운로드 받은 profile_1.gif, profile_2.gif 파일을 XOR연산을 통해 0xAA로 디코딩한다.