ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다.



2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고 있으며, 취약한 한글 파일들이 이메일의 첨부 파일로 존재 한다.


첫 번째 메일은 아래 이미지와 같이 "핵심공약"이라는 메일 제목에 "핵심공약.hwp" 라는 한글 파일이 첨부 파일로 존재하는 형태이다.



그리고 두 번째 메일은 아래 이미지와 같이 "현안대응"이라는 메일 제목에 "현안대응.hwp"이라는 한글 파일이 첨부 파일로 존재한다.



첨부 되어 있는 "핵심공약.hwp (164,629 바이트)"을 열게 되면 아래 이미지와 같이 대통령 선거의 공약들과 관련된 내용이 나타나게 된다.



그리고 두 번째 "현안대응.hwp (168,725 바이트)"를 열게 되면 아래 이미지와 같이 한국의 정치적인 상황들과 관련된 내용이 나타나게 된다.



이 번에 발견된 해당 파일들은 일반적인 OLE 포맷을 따르지 않고 아래 이미지와 같이 한글  Version 2 포맷이라는 별도의 파일 포맷 형식으로 되어 있다.



그리고 해당 취약한 한글 파일들 내부에는 아래 이미지와 같이 별도의 PE 파일이 임베디드(Embedded) 되어 있는 형태를 가지고 있다.



해당 취약한 한글 파일들을 열게 되면 모두 공통적으로 시스템 사용자 모르게 백그라운드로 "svc.exe (126,976 바이트)" 파일을 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\svc.exe


생성된 svc.exe는 다시 DLL 형태의 파일인 "wdmaud.drv (78,336 바이트)" 를 다음 경로에 생성하게 된다.


C:\WINDOWS\wdmaud.drv


생성된 wdmaud.drv 는 윈도우 시스템 프로세스인 explorer.exe와 winlogin.exe의 스레드(Thread)로 인젝션이 성공하게 되면 감염된 시스템에서 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 업로드

CMD.EXE를 이용한 콘솔 명령 실행

실행 중인 프로세스 리스트 수집

감염된 시스템 컴퓨터명 수집

감염된 시스템 IP와 프록시(Proxy) 서버 주소 수집

윈도우 사용자 계정 명 수집

감염된 시스템의 윈도우 버전과 언어 정보 수집


감염된 시스템에서 수집한 정보들은 한국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.Document

Dropper/MDP.Exploit

Suspicious/ MDP.Exploit

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다.


7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다.


이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다.



해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,240 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe ( 138,240 바이트 


생성된 scvhost.exe (138,240 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,336 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,336 바이트)


그리고 생성된 wdmaud.drv (78,336 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.138240.FK 

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


생성되는 파일명들과 생성된 악성코드들이 가지고 있는 기능들을 미루어 볼 때 해당 악성코드 제작자는 동일한 한글 취약점과 동일한 악성코드 소스코드를 바탕으로 지속적으로 변형들을 생산해내는 것으로 분석된다.


그러므로 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 6월 15일 한글과 컴퓨터에서 개발한 한글 소프트웨어에 존재하는 코드 실행 취약점을 악용한 악성코드 유포 사례가 발견되었음을 공개하였다.


현재 해당 코드 실행 취약점에 대해서는 6월 22일 한글과 컴퓨터에서는 해당 취약점을 제거할 수 있는 보안 패치를 공개하여, 해당 취약점을 악용한 악성코드 감염 시도에 대해서는 원천적인 차단이 가능하다.


금일 다시 국내에서 알려진 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.


이 번에 유포된 취약한 한글 파일들은 국내 특정 조직들을 대상으로 발송된 이메일의 첨부 파일 형태로 유포되었으며, 첨부된 취약한 한글 파일들을 열게되면 아래 이미지와 같은 내용이 보여진다.




해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다.


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,752 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe (138,752 바이트) 


생성된 scvhost.exe (138,752 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,848 바이트)와 wdmaud.dat (78,848 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,848 바이트)

C:\WINDOWS\wdmaud.dat (78,848 바이트) 


wdmaud.dat (78,848 바이트)는 인코딩되어 있는 파일로 해당 파일을 디코딩하게 되면 실행 가능한 PE 파일이 wdmaud.drv (78,848 바이트)이 생성된다.


wdmaud.dat (78,848 바이트)의 디코딩 작업이 완료되어 wdmaud.drv (78,848 바이트)가 생성되면 해당 scvhost.exe (138,752 바이트)에 의해 해당 파일은 삭제된다.


그리고 생성된 wdmaud.drv (78,848 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Agent
Win-Trojan/Npkon.138752
Trojan/Win32.Dllbot

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document(57)

앞서 언급한 바와 같이 금일 유포된 취약한 한글 파일은 이미 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.


저작자 표시
신고
Posted by 비회원