취약점

한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격

ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다. 이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave Flash) 등 다양한 스크립트 형태의 포맷들을 한글 문서 내에 OLE 개체로 삽입하여 유포한다는 것을 알 수 있다. 한글문서는 다음과 같은 파일명을 통해 유포된 것으로 확인 되었다. 통일한국포럼 – 참가자 사례비…

Magniber 랜섬웨어 유포 취약점 변경(CVE-2018-8174 -> CVE-2019-1367)

매그니베르(Magniber) 랜섬웨어는 취약한 인터넷 익스플로러를 통한 웹페이지 접속만으로 랜섬웨어를 감염시키는 파일리스(Fileless) 형태의 악성코드이다. 국내에 많은 피해를 입히고 있는 대표적인 랜섬웨어로 ASEC 분석팀은 이러한 IE(Internet Explore) 취약점을 통해 유포되는 Magniber 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 2020년 2월 11일부터 유포에 사용하던 취약점이 CVE-2018-8174에서 CVE-2019-1367으로 새롭게 변경하여 국내에 유포 중임을 확인하였다.  아래 [그림 1]은 현재 매그니베르 유포 사이트 접속 시 전달받는 HTML 스크립트로 인코딩된 형태이다.  [그림 2]는 [그림 1]의 스크립트의 디코딩된 형태로 취약점 스크립트 부분이다.  이전에 소개된 VBScript 엔진 취약점(CVE-2018-8174) 스크립트에서 JavaScript 엔진…

IE 취약점(CVE-2019-1367)에 대한 V3 행위탐지 (Fileless 형태)

CVE-2019-1367 취약점은 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약점이다. MS에서는 해당 취약점에 대해 아래와 같은 위험성을 경고 하고 있다. 스크립팅 엔진이 Internet Explorer에서 메모리의 개체를 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성으로 인해 메모리가 손상되고 공격자가 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 현재 사용자가 관리자 권한으로 로그온한 경우, 이 취약성 악용에 성공한 공격자는 영향받는 시스템을 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치하거나, 데이터를 보거나 변경하거나 삭제하거나, 모든 사용자 권한이 있는 새 계정을 만들 수 있습니다. 웹 기반 공격 시나리오에서 공격자는 Internet Explorer를 통해 이 취약성을 악용하도록 설계하여 특수 제작된 웹 사이트를 호스트한 다음, 전자 메일을 보내는 식으로 사용자가 이 웹 사이트를 보도록 유도할 수 있습니다. 1) ASEC 분석팀에서는 CVE-2019-1367 취약점을 악용한 악성코드를 확인하였으며, 취약점 발생 시 주요 행위는 아래와 같다. 취약점이 발현되면 쉘 코드는 메모리 영역에서 현재 프로세스명을 구해 “svchost.exe” 인지 확인한다. “svchost.exe” 인 경우, 현재 운영체제 버전을 검사한다. 프로세스명 확인 “svchost.exe” 프로세스에 삽입된 쉘 코드는 추가 악성코드를 %TEMP% 경로에 다운로드하며 이를 실행한다….

‘한국국가정보학회 학회장 선거공고’ 내용의 악성 HWP 유포

안랩 ASEC 분석팀은 “제 9대 학회장 선거공고 및 입후보신청서” 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 구조이다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 제 9대 학회장 선거공고 및 입후보신청서.hwp (추정) MD5: e232ee98e0777fe589f600aa6e62d967 SHA256: 72fd996d651baaad444ac7664b39f66e1eb030a924fe3544ff7c7d80dff768ea 한글문서 내용(페이지1, 페이지2) 한글문서 내용(페이지3) 악성 EPS 파일이 존재하는 곳은 첫번째 페이지로 아래의 그림에서 붉은색 표시부분으로 일반 사용자가 알 수 없는 형태로 그림개체가 추가된 것을 알 수 있다. 악성 EPS가 숨겨진 부분 (페이지1) 해당 한글문서는 아래의 그림에서 알 수 있듯이…

코드 상의 특징을 통해 살펴본 2가지 공격그룹 (한글문서 취약점)

안랩 ASEC 분석팀은 한글 EPS 취약점(CVE-2017-8291)을 이용하는 악성코드에서 쉘코드(ShellCode)를 실행하기 위한 전 단계에서 제작자 실수로 추정되는 코드상의 오류가 확인되었다. 전체 악성코드 동작에는 영향이 없지만, 이러한 코드상의 실수가 2018년부터 최근 한글 문서 악성코드에서도 지속적으로 발견되고 있다. 또한, 이러한 코드상의 실수가 없는 형태도 함께 발견되고 있는 점을 볼 때, 코드상의 특징을 바탕으로 제작자를 2개의 그룹으로 분류할 수 있다. 한글 EPS 취약점 파일들은 악의적인 쉘코드를 실행하기 전 공통적으로 해당 메모리 영역의 속성을 변경하기 위해 VirutalProtect 라는 API를 사용한다. 코드상의 오류라고 판단하는 부분은 VirutalProtect…