몇 년전부터 악성코드 제작자들은 악의적인 목적으로 제작하는 악성코드들을 효과적으로 감염시키기 위해 전자 문서 파일들에 존재하는 알려지거나 또는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점들을 악용하기 시작하였다.


악용되는 전자 문서들 중 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 사용하는 PDF 파일이나 마이크로소프트 오피스 워드(Microsoft Office Word)와 같은 전자 문서 파일들이 존재하는 취약점들이 주된 대상이 되었다.

이러한 사례들 중 가장 최근에 알려진 2011년 4월 CVE-2011-0611 취약점을 악용한 PDF 파일 유포 2011년 7월 MS10-087 취약점을 악용한 워드 파일 유포가 있다.

이와 같이 전자 문서 파일의 취약점을 악용한 악성코드 유포는 고도의 사회 공학 기법(Social Engineering)과 결합하여 APT(Advanced Persistent Threat) 형태의 보안 위협을 만들어 낼 수도 있다.

이와 같이 심각한 위협에 악용되는 전자 문서 취약점을 악용한 악성코드 유포는 국내에서 제작된 한글 프로그램도 그 예외가 아님으로 많은 주의가 필요하다.

최근에는 국내에서 제작된 한글 프로그램에 존재하는 취약점을 악용한 악성코드가 발견되어 보안 패치의 중요성이 다시 강조된다.

이 번에 발견된 한글 프로그램의 취약점을 악용한 악성코드는 한글 프로그램에서 사용하는 HwpApp.dll 모듈에서 존재하는 취약한 memcpy() API를 이용하여 임의의 코드를 실행 시킬 수 있는 코드 실행 취약점이다.


해당 취약점을 악용한 취약한 한글 파일(HWP)을 실행하게 되면, 아래 이미지와 같이 Svchost.exe 파일을 생성하게 된다.

그리고 생성된 svchost.exe 파일은 다시 시스템 폴더(C:\Windows\system32)에 ieprotect.dll 파일명의 악성코드를 생성 한다. 이와 함께 2.hwp이라는 정상 HWP 파일을 생성시켜 감염된 시스템의 사용자로 하여금 정상적으로 한글 파일이 열린 것으로 오인하도록 동작한다.


취약한 한글 파일은 파일 내부에 아래 이미지와 같은 쉘코드(Shellcode) 및 악성코드를 가지고 있어 실행과 동시에 생성하도록 되어 있다.


현재 한글 프로그램에서 발견된 취약점에 대해 한글과 컴퓨터에서는 "[공지] 한컴오피스, 전체 사용자용 보안 업데이트 배포" 공지를 통해 이미 보안 패치를 배포 중에 있다.

그리고 한글 프로그램 사용자는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.


[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.


그리고 위 이미지의 [환경 설정]을 클릭하여 [업데이트 방법]과 [자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.


이 번에 발견된 취약한 한글 파일은 V3 제품군에서 다음과 같이 진단한다. 그러나 해당 악성코드 감염을 근본적으로 막기 위해서는 사용하는 한글 프로그램의 보안 패치 설치가 중요하다.

HWP/Exploit
Dropper/Dllbot.17920
Win-Trojan/Dllbot.9728 

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC