[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) Posted By ASEC , 2019년 11월 22일 안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 ‘한국국가정보학회 학회장 선거공고’ 내용의 악성 HWP 유포 윈도우 시스템에서 시작 프로그램의 경로는 아래와 같다. C:Users%UserProfile%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 악성코드…
