국방 관련 내용을 담은 취약한 한글 파일 발견 Posted By ASEC , 2012년 10월 19일 2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다. 특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다. 10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 “군환경교육계획(2012).hwp (1,044,996 바이트)”와 “우리도 항공모함을 갖자.hwp (240,285 바이트)”의 파일명으로 유포되었다. 취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다. 해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다. 첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 “system32.dll (65,536 바이트)” 가 다음 경로에 생성 된다. C:Documents and Settings[사용자 계정명]Local…
윈도우 도움말 파일을 이용한 악성코드 유포 Posted By ASEC , 2012년 10월 18일 10월 17일 ASEC에서는 윈도우 도움말(HLP) 파일을 이용해 내부 정보들을 탈취하기 위한 목적으로 제작된 악성코드가 국내에 유포 된 것을 발견하였다. 이번에 윈도우 도움말 파일을 이용하여 유포된 악성코드는 아래 이미지와 동일하게 이메일의 첨부 파일 형태로 유포되었다. 유포된 이메일은 “쟁점 Q&A 통일외교“와 “전략보고서“라는 제목을 가지고 있는 2가지 형태이며 공통적으로 메일 본문에는 아무런 내용이 존재하지 않는다. 그리고 메일을 보낸 송신인은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스를 이용해 동일한 메일 주소를 사용하고 있다. 유포된 이메일에는 총 2가지 형태의 “쟁점Q&A 통일외교.zip (62,247 바이트)”와 “전략보고서.zip (61,742 바이트)” 의 첨부 파일이 존재하며, 압축 파일의 압축을 풀게 되면 “쟁점Q&A 통일외교.hlp (129,883 바이트)”와 “전략보고서.hlp (129,375 바이트)” 이 생성된다. 생성된 해당 HLP 파일들을 실행하게 되면 아래 이미지와 동일한 내용이 보여지게 된다. 그리고 해당 HLP 파일들에 의해 백그라운드로 아래의 경로에 동일한 “winnetsvr.exe (114,688 바이트)” 파일을 생성하고 실행하게 된다. C:WINDOWSTempwinnetsvr.exe 생성된 winnetsvr.exe 파일은 다음의…
한글 소프트웨어의 제로 데이 취약점 악용 악성코드 Posted By ASEC , 2012년 10월 10일 ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다. 그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다. 2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다. 이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 “한반도통일대토론회-120928.hwp (225,792 바이트)”라는 파일명을 사용하였다. 해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다. 악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한…
Suspicious BHO 진단명 해결 방법 Posted By ASEC , 2009년 9월 16일 BHO는 (Browser Helper Object) Internet Explorer 의 추가적인 기능을 제공하는데 사용됩니다. 스파이웨어는 BHO를 이용하여 DLL 형태로 IE에 의하여 실행되기 때문에 윈도우 작업관리자에서 확인이 되지 않으며 Internet Explorer 7.0 기준으로 [도구]-[추가 기능 관리] 옵션을 통하여 확인할 수 있습니다. 스파이웨어나 애드웨어는 BHO를 이용하여 시작페이지를 사용자가 원하지 않는 페이지로 변경을 하거나 광고 등을 띄우며 또한 시스템 장애나 Internet Explorer 오류의 원인이 되기도 합니다. 아래 그림은 안리포트에서 BHO를 확인할 수 있는 그림입니다. 상기의 그림에서처럼 BHO로 등록된 스파이웨어가 V3에서 진단이 될 경우 “Suspicious BHO”라는 진단명으로 아래 그림처럼 진단되게 됩니다. “Suspicious BHO” 진단명을 해결하기 위해서는 툴바와 같은 불필요한 프로그램들을 [시작]-[제어판]-[프로그램 추가/제거]에서 삭제를 해 주시면 되겠습니다.
