‘북한의 회색지대 전략과 대응방안’ 한글문서(HWP) 유포 중 Posted By ASEC , 2020년 7월 3일 ASEC 분석팀은 최근 ‘북한의 회색지대 전략과 대응방안’ 내용의 한글 문서 파일이 유포 중인 것을 확인하였다. 한글문서는 2019년 10월 21일에 작성되었으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정된다. 마지막으로 해당 문서를 저장한 사람은 Venus.H로 확인되었다. 아래의 그림은 EPS 취약점 스크립트를 포함한 악성 한글문서의 본문 내용을 나타낸다. 북한의 회색지대 전략과 대응방안.hwp 해당 한글문서에 대한 문서 정보는 아래와 같다. 문서 정보 위의 한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부…
국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중 Posted By ASEC , 2020년 6월 4일 ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다. https://asec.ahnlab.com/1325 현재까지 확인된 악성 한글문서의 제목은 아래와 같이 2가지이며, 위 블로그 상에서 분류한 주제 중, ‘그 외’ 항목에 해당하는 기법으로 확인되었다. 해당 한글문서의 특징은 실행 시, 사용자에게 정상적으로 본문내용이 보여지지 않고 2차 악성 파일 다운로드 행위만 수행된다. 2020_XXXX_초전도 논문.hwp 학술대회.hwp 악성코드 제작자는 국내 학회지의 하계 논문 투고 기간이…
드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중 Posted By ASEC , 2020년 6월 2일 ASEC 분석팀에서는 드론(무인항공기) 관련 내용의 악성 한글 문서(.HWP)가 유포되고 있음을 확인하였다. 아래 [그림1]과 같이 드론 현황 및 개선방안의 내용으로 구성되어 있으며 내부에는 악성 EPS를 포함하고 있다. [그림1] 문서 내용 [그림2] 문서 정보 문서 실행 시 내부의 악성 포스트스크립트(EPS)가 동작하여 악성 행위를 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 사용하여 내부의 쉘 코드를 복호화 후 실행한다. [그림3] 악성 EPS 감염 PC에서 현재 실행중인 모든 프로세스 정보를 조회하며 자사 V3 제품이 실행 중인지 검사하는 루틴이다. 비교 대상 값인 3376과 3356은 문자열로 “v3” 및…
악성 한글문서(.hwp) 유포 파일명 변화과정 추적 Posted By ASEC , 2020년 5월 27일 그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 ‘한글 문서를 통해 의심스러운 행위가 발생’했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다. 주제 1 : 코로나 관련 (Lazarus 그룹 추정) 전라남도 코로나바이러스 대응 긴급조회.hwp인천광역시 코로나바이러스 대응 긴급 조회.hwp인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp[붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp 지금도 여전히 코로나와 관련한 이슈가 끊이지 않고 있는데 특히 지난 3월말부터 4월 동안 고강도 사회적 거리두기 했던 그 틈을 이용하여 코로나를 주제로한 한글 문서 파일이 유포되었었다. 위의 표와 같이 긴급성을 띄는 것처럼 보여 사용자의 심리를 자극하고 있으며 이러한 제목으로 4월 1일부터 4월 말까지 꾸준히 유포되어 졌다. 지난…
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) Posted By ASEC , 2019년 11월 22일 안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 ‘한국국가정보학회 학회장 선거공고’ 내용의 악성 HWP 유포 윈도우 시스템에서 시작 프로그램의 경로는 아래와 같다. C:Users%UserProfile%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 악성코드…
