본문 바로가기
IT/해킹보안

국방 관련 내용의 0-day 취약점 악용 한글 파일

by 모르면 모른다고 해 2012. 12. 1.
반응형

※ 제로 데이(zero-day) 취약점?

패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법.

 

한동안 잠잠하였던 한글과컴퓨터 소프트웨어(이하 '한글')에서 존재하였던 취약점을 악용하여 원격제어 형태의 악성코드 감염을 시도한 사례가 발견되었다. 

 

이 번에 발견된 취약한 한글 파일은 한국 시간으로 11월 21~ 22일 사이에 정부 기관을 대상으로 유포된 것으로 추정된다. 

해당 제로 데이 취약점을 가지고 있는 취약한 한글 문서를 열게 되면, 아래 이미지와 동일하게 "한국 공군의 위상에 대한 평가와 진단" 이라는 제목의 문서 내용이 보여지게 된다. 

 

                                                   <그림 출처 : 안랩 ASEC 센터>

해당 취약한 한글 문서를 '한글2010'이 설치된 시스템에서 열게 되면 아래 경로에 "HncCtrl.exe(139,264바이트)" 파일이 생성된다.

 C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncCtrl.exe

 

생성된 "

HncCtrl.exe 

(139,264 바이트)"는 다음 경로에 추가적으로 "

taskmgr.exe 

(61,440 바이트)"

와 "sens.dll 

(36,864 바이트)"를 생성하게 된다.

C:\WINDOWS\system32\IE\sens.dllC:\WINDOWS\system32\IE\taskmgr.exe


그리고 다음 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\ServiceDll = C:\WINDOWS\system32\IE\sens.dll


생성된 "sens.dll (36,864 바이트)"는 윈도우 시스템에 존재하는 정상 svchost.exe 프로세스에 스레드(Thread)로 인젝션시킨 이후 감염된 시스템에서 사용자가 입력하는 모든 키보드 입력 값들을 "report.tmp"에 기록하게 된다.
그리고 다른 "taskmgr.exe (61,440 바이트)"는 감염된 시스템이 인터넷 접속이 가능한지 확인하기 위해 구글(Google) 웹 사이트로 접속을 시도하게 된다. 
접속이 성공하게 되면 아래 이미지에서와 같이 감염된 시스템에서 연결되어 있는 구글 사용자 세션을 이용하여 특정 지메일 계정으로 키보드 입력 값들이 기록 되어 있는 "report.tmp"을 첨부하여 발송하게 된다.

 

 <그림 출처 : 안랩 ASEC 센터>

 

 

이 번에 발견된 국방 관련 내용을 가진 제로 데이 취약점을 악용한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.
HWP/ExploitWin-Trojan/Agent.139264.QVWin-Trojan/Agent.61440.BBSWin-Trojan/Agent.36864.CCY

 

 

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.
Dropper/MDP.Exploit

 

앞서 언급한 바와 같이 금일 발견된 취약한 한글 파일은 기존에 알려지지 않은 제로 데이 취약점을 악용하고 있다. 현재 한글과 컴퓨터를 통해 공식적인 보안 패치가 제공되지 않고 있음으로 외부에서 보내온 이메일에 첨부된 한글 파일이 존재 할 경우에는 각별한 주의를 기울여야 한다.

 

 

출처 및 참조 :

안랩 보안 이슈 & 이슈  

안랩 ASEC 센터

 

 

반응형

댓글