한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격

ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다.

이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave Flash) 등 다양한 스크립트 형태의 포맷들을 한글 문서 내에 OLE 개체로 삽입하여 유포한다는 것을 알 수 있다.

한글문서는 다음과 같은 파일명을 통해 유포된 것으로 확인 되었다.

• 통일한국포럼 – 참가자 사례비 지급용 프로필 양식.hwp
• 이력서 조충희.hwp

한글문서 파일은 확인되지 않았지만, 공격 정황을 보았을 때 문서 내부에는 플래시 취약점(CVE-2018-15982) 파일의 주소(hxxp://www.sjem.co.kr/admin/data/category/notice_en/view.php)가 담긴 OLE 개체가 삽입되어 사용자가 문서를 열람하면서 플래시 파일이 다운로드 및 실행된 것으로 보인다. 이러한 방식으로 한글문서 내부에서 플래시 개체가 실행될 경우 취약점이 존재하는 플래시 모듈이 웹 브라우저가 아닌, 한글 프로세스(HWP.EXE) 메모리에서 동작하기 때문에 공격자는 보안 제품의 우회 목적으로 이 방식을 사용한 것으로 추정된다. 2020년 12월로 예정된 구글 크롬 브라우저에서 플래쉬 지원 중단 이후에도 취약한 버전의 플래쉬 사용자에게는 여전히 이러한 공격이 유효할 것으로 추정된다.

• 감염경로 1차: hxxp://www.sjem.co.kr/admin/data/category/notice_en/view.php
• 감염경로 2차: hxxps://onedrive.live.com/download.aspx?cid=94428D8C32FAECE9&authKey=%21AMB33HDKDTxDluE&resid=94428D8C32FAECE9%21420&ithint=%2Edat

플래시 취약점 내부 쉘코드의 기능적인 특징은 cmd.exe 프로세스를 생성하여 추가 쉘코드를 인젝션 하고 원드라이브 서버에 저장된 바이너리를 다운로드 받아 cmd.exe 프로세스 메모리 상에서 동작시키는 구조이다.

분석당시 원드라이브 서버의 바이너리는 접근이 차단되어 확보하지 못했지만, 자사 ASD 인프라를 통해 추가로 실행된 실행 가능한 EXE 파일의 정보를 확인할 수 있었다.

최종적으로 실행된 HncUpdate.exe 이름의 실행 파일은 2020년 11월 11일에 제작된 악성코드로서 정보 유출의 기능을 갖고있다. 사용자 PC의 정보를 수집하여 국내 사이트 주소로 수집된 파일들을 업로드한 것으로 보인다. 공격자와 명령을 통해 별도의 2차 악성 사이트로 접속이 가능하며, cmd.exe 실행을 통해 다양한 명령을 수행할 수 있는 구조이다.

확인된 cmd.exe 명령으로는 아래의 형태가 확인되었다.

• cmd /c dir “c:\users\”
• cmd /c dir “c:\program files\”

HncUpdate.exe 파일 내부의 정보는 아래와 같다.

[레지스트리 등록]

• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[PDB 정보]

• D:\VSWorkspace\chinotto\Release\Chinotto.pdb

[정보 유출 데이터 업로드 주소]

• hxxp://haeundaejugong.com/editor/chinotto/do.php?frag=******-********_6.2(9200)_조현_Desktop.zip
• hxxp://haeundaejugong.com/editor/chinotto/do.php?id=******-********_6.2(9200)_조현&type=command&direction=receive
• hxxp://kumdo.org/admin/cont/do.php?id=*******_VJ01_6.1(7600)_arzxjw&type=command&direction=receive.ction=receive

[파일생성]

• C:\Users\%UserProfile%\AppData\Roaming\chinotto.dat

[뮤텍스]

• MutexName = “zPxdHF97F940oXxWIHvos0upLcqw0Jf5SeiBeSLAbvAwmEfQM62”

현재 안랩 V3 제품에서는 관련 파일에 대하여 아래의 진단명으로 탐지 및 차단하고 있다.

[파일진단]

• Exploit/SWF.CVE-2018-15982 (2020.11.26.01)
• Backdoor/Win32.Akdoor.C4230455 (2020.11.25.04)

[행위진단]

• Malware/MDP.Behavior.M3479

[IOC]

• 65993d1cb0d1d7ce218fb267ee36f7c1 (SWF)
• 55afe67b0cd4a01f3a9a6621c26b1a49 (EXE)
• hxxp://www.sjem.co.kr/admin/data/category/notice_en/view.php
• hxxps://onedrive.live.com/download.aspx?cid=94428D8C32FAECE9&authKey=%21AMB33HDKDTxDluE&resid=94428D8C32FAECE9%21420&ithint=%2Edat
• hxxp://haeundaejugong.com/editor/chinotto/do.php
• hxxp://kumdo.org/admin/cont/do.php