통일 교육 지원서로 위장한 악성 한글 문서
AhnLab SEcurity intelligence Center(ASEC)은 지난 3월 5일 통일 관련 교육 수강생 모집 게시 글에서 악성 한글 문서를 다운로드하는 링크를 확인하였다.
분석 당시 게시 글 하단에는 각각 JPG, HWP, DOC 파일에 대한 다운로드 링크가 존재하였으며, 이 중 HWP 형식의 파일은 지원서를 위장한 악성 파일로 확인되었다.
그림 1. 게시 글 하단에 존재하는 다운로드 링크
다운로드 된 한글 문서 내부에는 정상 한글 문서와 악성 BAT 파일을 비롯한 여러 파일이 포함되어 있어, 한글 문서 실행 시 TEMP 폴더에 해당 파일들을 생성한다.
|
파일명 |
설명 |
| hwp_doc.db | 정상 문서 |
| app.db (0304.exe, 0304_1.exe) |
정상 실행 파일(EXE) |
| mnfst.db (0304.exe.manifest) |
악성 명령어가 포함된 설정파일 |
| mnfst_1.db (0304_1.exe.manifest) |
악성 명령어가 포함된 설정파일 |
| sch_0304.db | 작업이 정의된 악성 XML 파일 |
| sch_0304_1.db | 작업이 정의된 악성 XML 파일 |
| document.bat | 악성 BAT 파일 |
| get.db (0304.bat) |
악성 BAT 파일 |
표 1. TEMP 경로에 생성되는 파일
문서 본문에는 마치 한글 문서가 첨부된 것처럼 내용이 작성되어 있으나, 각 문자열에는 모두 동일한 하이퍼링크(상대 경로)가 삽입되어 있다.
그림 2. 문서 본문 내용
그림 3. 삽입된 하이퍼 링크
위 하이퍼링크를 통해 실행되는 document.bat 파일은 아래와 같은 행위를 통해 악성코드가 지속적으로 동작할 수 있도록 하며, 사용자가 악성 행위를 알아차리기 어렵게 한다.
- 다른 추가 파일들의 파일명 및 경로 변경
- 작업 스케줄러 등록
- 정상 문서 실행
실행되는 정상 문서는 다음과 같다.
그림 4. 실행되는 정상 문서 내용
그림 5. 생성된 작업 스케줄러
document.bat 파일에 의해 서비스로 등록되어 동작하는 0304.exe과 0304_1.exe 파일은 각각 동일한 폴더에 존재하는 0304.exe.manifest 와 0304.exe_1.manifest 파일을 읽어 실행한다. 각 파일의 기능은 다음과 같다.
|
파일명 |
기능 |
| 0304.exe.manifest (mnfst.db) | c:\users\public\music\0304.bat (get.db) 실행 |
| 0304_1.exe.manifest (mnfst_1.db) | c:\users\public\music\wis.db 파일을 wins.bat 파일명으로 변경 후 실행 |
표 2. 실행되는 악성 파일의 기능
해당 악성코드는 최종적으로 외부 URL에 접속하여 추가 파일을 다운로드 및 실행한다. 다운로드 된 파일은 .bat 파일로 실행되어, 공격자의 의도에 따라 다양한 커맨드 명령어가 실행될 수 있다.
최근 한글 문서를 이용한 악성 코드 유포가 다수 확인되고 있다. 특히, 스피어 피싱을 통해 특정 사용자를 대상으로 이루어지던 공격이 불특정 다수를 대상으로 유포되고 있어 각별한 주의가 필요하다. 사이트 관리자는 주기적인 점검을 통해 악성코드가 업로드되지 않도록 주의해야 하며, 사용자는 파일 실행 시 추가 동작이 필요한 경우 의심해 볼 필요가 있다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
