EtcDocGroup.DFT

취약점을 악용하지 않는 한글 파일 악성코드

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다. 유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다. 1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점 2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다. 이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다. 해당 한글 파일들…

한글 소프트웨어의 취약점을 악용하는 악성코드

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다. 2011년 10월 – 취약한 한글 파일을 악용한 악성코드 유포 2012년 6월 – 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 6월 – 알려진 한글 취약점을 악용한 악성코드 유포 2012년 7월 – 지속적으로 발견되는 취약한 한글 파일 유포 2012년 7월 – 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 – 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다. 이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 “북한전문가와 대북전략가“라는 제목의 내용을 가지고 있다. 이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던  HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다….