본문 바로가기

HWP27

'원산지 조사 자율 점검표' 한글(HWP) 악성코드 유포 ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 '국가법령정부센터'에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. 코로나 예측 결과 위장 악성 문서(xls) 유포 중 올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 '코로나 예측 결과'에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확�� asec.ahnlab.com 한글문서 첫 페이지 우측 상단에는 아래의 그림과 같.. 2020. 7. 24.
링크 개체를 이용한 악성 한글문서(HWP) 주의 - 코인업체 사칭 ASEC 분석팀은 지난주 코인업체를 사칭한 악성 한글 문서 파일이 유포됨을 확인하였다. 한글 파일에는 특정 코인 업체의 운영 정책이 변경되어 해당 사항을 확인하도록 하는 내용이 담겨있다. 파일 실행 시 내부에 포함된 OLE 개체(EXE 실행파일)가 %temp%폴더에 생성된다. 파일명이 hanwordupdate.exe로 되어있어 사용자가 한글의 정상 파일로 착각할 수 있어 주의가 필요하다. 파일 내부에는 개체를 실행하기 위해 링크가 포함된 도형이 존재하며, 특정 도형들은 페이지 전부를 덮고 있어 사용자가 어느 곳을 선택하여도 악성 파일의 링크를 실행하게 된다. 아래의 그림에서 빨간색으로 표시된 부분이 링크를 포함하는 도형을 나타낸다. 도형에 삽입된 링크는 "..\appdata\local\temp\hanwo.. 2020. 7. 14.
'북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중 ASEC 분석팀은 최근 '북한의 회색지대 전략과 대응방안' 내용의 한글 문서 파일이 유포 중인 것을 확인하였다. 한글문서는 2019년 10월 21일에 작성되었으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정된다. 마지막으로 해당 문서를 저장한 사람은 Venus.H로 확인되었다. 아래의 그림은 EPS 취약점 스크립트를 포함한 악성 한글문서의 본문 내용을 나타낸다. 해당 한글문서에 대한 문서 정보는 아래와 같다. 위의 한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다. EPS 파일은 gbb.exe에 의해 실행되며, 취약점에 의해 EPS 내부의 셸.. 2020. 7. 3.
악성 한글문서(.hwp) 유포 파일명 변화과정 추적 그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 '한글 문서를 통해 의심스러운 행위가 발생'했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다. 주제 1 : 코로나 관련 (Lazarus 그룹 추정) 전라남도 코로나바이러스 대응 긴급조회.hwp 인천광역시 코로나바이러스 대응 긴급 조회.hwp 인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp [붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp 지금도 여전히 코로나와 관련한 이슈.. 2020. 5. 27.
부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) 지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. 메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다. 해당 코드는 %appdata%\Microsoft\Internet Exp.. 2020. 5. 25.
포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 HWP 한글 문서를 이용한 악성코드가 4월부터 눈에 띄게 증가하고 있다. HWP 한글 문서 악성코드는 코로나19 관련 감염병관리지원단을 위장하여 전라남도, 인천광역시 등 다수 지역 이름으로 유포되었고, 며칠 전에는 한국수력원자력 채용 공고 문서로도 유포되었다. 공격자는 정상적인 만들어진 한글 문서에 악성 Encapsulated PostScript (EPS) 파일 개체를 삽입하였다. (아래 그림에서 검은색 박스로 표시) 최근 유포되는 HWP 한글 문서 악성코드는 이전 파일들과 비교하였을 때 포스트스크립트 문법 패턴을 매우 단순하게 하였다는 특징이 있다. 유연한 스크립트 언어인 포스트스크립트 문법적 특징을 이용하여 CVE-2017-8291 취약점 발생과 쉘코드 실행 부분을 모두 < > 안으로 표현되는 Hex.. 2020. 4. 28.
소송 관련 내용의 악성 한글 HWP 파일 유포 - 코니(KONNI) 조직 오늘 ASEC 분석팀에 신규 악성 HWP 한글 파일이 접수되었다. 접수된 문서는 모 민간 병원의 법률 소송 관련 소송대리인 답변 내용으로 되어 있다. 한글 파일은 악성 포스트스크립트(Postscript) 파일을 포함하고 있다. 포스트스크립트를 통해 실행되는 쉘코드 기능을 파악한 결과, '코니(KONNI)' 조직에서 유포한 한글 파일로 확인된다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 이○○ 답변서 최정본. MD5: bbde7c694faf6b450adbfc8efe88a41a SHA256: f5339239a6bcda0afe61e6ef8bfafe51e4aba510b68e219e95cf4918033dc463 주요 행위 쉘코드는 실행시 악성 유포지 주소에 접속하여 2개의 파일을 다운로드한다. 현재.. 2019. 12. 12.
'한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 입후보신청서" 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체가 악성기능을 수행하는 구조이다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 제 9대 학회장 선거공고 및 입후보신청서.hwp (추정) MD5: e232ee98e0777fe589f600aa6e62d967 SHA256: 72fd996d651baaad444ac7664b39f66e1eb030a924fe3544ff7c7d80dff768ea 악성 EPS 파일이 존재하는 곳은 첫번째 페이지로 아래의 그림에서 붉은색 표시부분으로 일반 사용자가 알 수 없는 형태로 그림개체가 추.. 2019. 11. 18.