2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다.


특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다.


10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 "군환경교육계획(2012).hwp (1,044,996 바이트)"와 "우리도 항공모함을 갖자.hwp (240,285 바이트)"의 파일명으로 유포되었다.


취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다.




해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다.


첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 "system32.dll (65,536 바이트)" 가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll 


그리고 다시 "taskmon.exe (15,048 바이트)"를 아래 경로에 추가적으로 생성하여, 시스템이 재부팅하더라도 자동 실행하게 구성한다.


C:\Documents and Settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskmon.exe 


추가적으로 생성된 taskmon.exe는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그리고 추가적으로 다음의 악의적인 기능들을 수행하게 된다.


CMD.EXE 실행 후 콘솔 명령 실행

감염된 시스템의 윈도우 운영체제 정보 수집

원격에서 공격자가 지정한 명령 수행


두 번째 취약한 한글 파일인 우리도 항공모함을 갖자.hwp 을 열게 되면, 백그라운드로 "hncctrl.exe (164,352 바이트)" 가 다음 경로에 생성 된다. 


c:\documents and settings\tester\local settings\temp\hncctrl.exe 


그리고 다시 "svchost.exe (131,584 바이트)"를 아래 경로에 추가적으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


svchost.exe 는 윈도우 레지스트리에 다음 키 값을 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.


 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Network = C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


추가적으로 생성된 svchost.exe 는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 


그리고 감염 된 시스템에서 다음 보안 프로그램들의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.


DaumCleaner.exe

hcontain.exe

vrmonnt.exe

ALYac.exe

AYAgent.exe

ALYac.aye

AYAgent.aye


이 외에 감염된 시스템의 운영체제 로그인을 위한 사용자계정명과 암호를 수집하여, 국내 유명 포털 웹 사이트에서 제공하는 이메일 서비스를 이용하여 해당 정보를 유출하게 된다.


이 번에 발견된 국방 관련 내용을 가지고 있는 취약한 한글 파일들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Locker.65536

Trojan/Win32.Agent

Win-Trojan/Backdoor.15048


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다.


전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다.


먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다.


기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)"로 유포되었다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점을 악용하고 있으며, 이는 기존에 알려진 취약점으로 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


두 번째 발견된 취약한 한글 파일은 아래 이미지와 동일하게 문서 암호가 설정되어 있는 "122601.hwp (213,133 바이트)"와 동일 한 파일명에 파일 크기만 217,231 바이트로 다른 파일이 존재한다.


해당 한글 파일들의 내부에는 아래 이미지와 동일한 형태로 특이하게 자바 스크립트(Java Script)가 포함되어 있다.



내부에 포함되어 있는 해당 자바 스크립트 코드를 디코딩하게 되면, 특정 시스템에서 ie67.exe (99,328 바이트)의 다른 악성코드를 다운로드 후 실행하도록 되어 있다.


그리고 마지막으로 아래 이미지와 동일한 내용을 포함하고 있는 "실험 리포트.hwp (7,887,360 바이트)"라는 파이명으로 유포되었으나, 해당 문서를 여는 것만으로는 악성코드 감염 행위가 발생하지 않는다.



해당 한글 파일의 OLE 포맷을 보게되면 아래 이미지와 동일하게 기존에 발견된 특이항 형태의 섹션명이 포함된 한글 파일과 유사한 형태를 가지고 있다.



어도비 아크로뱃(Adobe Acrobat)에 존재하는 알려진 취약점을 악용하는 PDF 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "안보현안분석.pdf  (679,753 바이트)" 파일명으로 유포 되었다.



해당 취약한 PDF 파일은 기존에 알려진 CVE-2009-0927 취약점을 악용하고 있으며, 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중에 있다.


마지막으로 발견된 마이크로소프트 워드에 존재하는 취약점을 악용하는 취약한 워드 파일은 유포 당시의 정확한 파일명은 확인 되지 않지만, 265,395 바이트의 크기를 가지고 있다.


그리고 해당 워드 파일은 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


마이크로소프트 워드, 한글 소프트웨어 그리고 어도비 리더에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Dropper/Exploit-HWP

Dropper/Cve-2012-0158

PDF/Exploit

Backdoor/Win32.PcClient

Dropper/Win32.OnlineGameHack 

Win-Trojan/Infostealer.28672.K

Win-Trojan/Infostealer.81920.B


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 마이크로소프트, 한글과 컴퓨터 그리고 어도비에서 모두 해당 취약점들을 제거할 수 있는 보안 패치들을 배포 중에 있다.


그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다.


유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다.


1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점


2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다.


이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다.






해당 한글 파일들 모두 앞서 언급한 바와 같이 기존에 알려진 한글 워드프로세스의 취약점을 악용하지 않고 있으며, 특이하게 OLE 포맷이 아래 이미지와 같은 형태로 구성되어 있다.



위 이미지와 같이 인코딩 되어 있는 형태의 ahnurl.sys 파일을 내부에 임베디드 된 형태로 가지고 있으며, 다른 하나의 한글 파일에서는 이와는 다르게 레지스트리에 쓸 수 있는 데이터인 ahnurlahnrul.sys 모두 가지고 있는 형태도 존재한다. 



해당 한글 파일들은 파일 자체에는 취약점을 악용할 수 있는 익스플로잇(Exploit) 코드와 쉘코드(Shellcode)가 포함되어 있지 않음으로 해당 한글 파일들을 열어보는 것만으로 악성코드에 감염되지는 않는다.


현재 ASEC에서는 해당 한글 파일 제작자가 어떠한 용도와 목적으로 해당 한글 파일들을 유포한 것인지 지속적으로 확인 중에 있다.


해당 한글 파일들은 V3 제품군에서는 다음과 같이 모두 진단한다.


HWP/Agent


앞서 언급한 바와 같이 한글 워드프로세스의 알려진 취약점을 악용하여 다른 악성코드 감염을 시도하는 취약한 한글 파일들 유포 사례가 자주 발견되고 있다. 그러므로 한글과 컴퓨터에서 배포 중인 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일을 악용한 악성코드가 발견되었다는 것을 9월 4일 공개하였다.


9월 4일 취약한 한글 파일에 대해 공개한 이 후인 9월 5일과 9월 6일 오전 기존에 알려진 취약점을 악용하는 취약한 한글과 파일들과 악성코드들이 다시 발견되었다.


9월 5일 발견된 취약한 한글 파일은 아래 이미지와 동일하게 최근 언론을 통해 이슈가 되고 있는 독도 관련 내용을 담고 있으며, 문서 역시 독도 일본땅`日,자신만만증거보니…황당.hwp (447,504 바이트)라는 파일명을 가지고 있다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점이다.


해당 취약점으로 인해 suchost.exe (295,424 바이트)을 다음의 경로에 생성한다.


c:\documents and settings\[사용자 계정명]\local settings\temp\suchost.exe


그리고 생성된 suchost.exe (295,424 바이트)는 다시 아래의 경로에 connection.dll (295,424 바이트)를 생성한다.


c:\documents and settings\all users\application data\connection.dll


윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행하여 스레드로 인젝션되어 홍콩에 위치한 특정 시스템으로 역접속을 시도하게 된다.


9월 6일 금일 오전에 발견된 취약한 한글 파일은 총 2건이며, 그 중 첫번째는 아래 이미지와 같은 내용을 담고 있으며, 파일명 역시 1. 기술료 신청서 양식.hwp (1,000,964 바이트)를 가지고 있다.



두번째 취약한 한글 파일 역시 아래와 같은 이미지의 내용을 담고 있으며, 확인된 유포 당시 파일명은 2. 기술료 지급대상자 명단(12.09.06 현재).hwp (1,019,908 바이트)를 가지고 있다.



금일 오전에 발견된 2건의 취약한 한글 파일들 모두 기존에 발견되었던 취약한 한글 파일들에서 사용되었던 HncTextArt.hplg 존재하는 취약점을 다시 악용하고 있다.


해당 취약점으로 인해 system32.dll (81,920 바이트)를 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll


그리고 생성된 system32.dll (81,920 바이트)는 다시 아래의 경로에 taskeng.exe (28,672 바이트)를 생성하게 된다.


c:\documents and settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskeng.exe


이번에 발견된 총 3개의 취약한 한글 파일들에 의해 생성되는 악성코드들은 공격자의 명령에 따라 다양한 악의적인 기능들을 수행하게 되는 백도어 형태의 악성코드이다.


발견된 취약한 한글 파일과 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Backdoor/Win32.Etso

Win-Trojan/Infostealer.81920 

Win-Trojan/Infostealer.28672.J 


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원