포스팅 내용

악성코드 분석 리포트

악성코드가 삽입된 HWP 파일 유포 중!

악성코드가 삽입된 HWP 파일 유포 중!


안녕하세요. 이스트시큐리티입니다. 

'법인(개인)혐의거래보고내역'과 '납세담보변경요구서'로 위장한 악성 HWP파일이 발견되었습니다. 사용자 분들의 주의를 당부 드립니다. 


이 HWP 파일은 이메일에 첨부되어 유포되는 이른바 스피어피싱 공격에 사용되고 있는 것으로 추정됩니다.


[그림 1] 악성 HWP파일 실행 시 나타나는 화면


파일명

법인(개인)혐의거래보고내역.hwp 

납세담보변경요구서.hwp 

유형 

한컴오피스 한글 2010 문서 

한컴오피스 한글 2010 문서 

크기 

892KB 

927KB 

작성자 

팀장1 

와우폼(www.wowform.com) 

마지막 작성자 

jikpurid 

Administrator 

만든 날짜 

2017-05-22 오전 7:47 

2017-05-16 오전 00:49 

수정한 날짜 

2017-05-22 오전 10:07 

2017-05-16 오전 00:49 

[표 1] HWP 파일 메타데이터 정보


HWP 파일은 정상적인 문서파일로 보이지만 실제 파일 내부에는 HWP의 취약점을 이용한 악성 스크립트가 숨겨져 있습니다. 해당 파일을 열면 취약점을 통해 삽입된 스크립트가 실행되어, 사용자 모르게 EXE 형태의 악성파일이 드롭되어 실행됩니다.


[그림 2] 삽입된 코드


추가된 악성파일은 HWP 취약점 파일에 따라 각각 'LanEup.exe'와 'SMHost.exe'라는 이름으로 생성됩니다. 해당 파일은 원격에서 감염PC를 제어하는 좀비PC 악성코드입니다. 공격자는 명령을 내려 원격의 감염PC 통제권을 가지게 되며, 이를 통해 여러가지 기능을 수행합니다. 악성코드를 통해 수행되는 주요 봇 기능은 다음과 같습니다.


주요 봇 기능

 파일 Control(이동/삭제/정보전송)

 프로세스 Control(실행/종료/정보전송)

 파일 다운로드/업로드

 PC정보 전송

[표 2] 주요 봇 기능


LanEup.exe와 SMHost.exe가 연결을 시도하는 C&C 정보는 203.124.12.88(홍콩)으로 다음과 같습니다.



[그림 3] LanEup.exe와 SMHost.exe의 C&C 연결


이처럼, 계속해서 정상적인 내용을 담고 있는 HWP 악성파일이 꾸준히 보고되고 있습니다. 한컴오피스 프로그램 사용자분들께서는 해당 프로그램을 최신버전으로 업데이트해 주시기 바랍니다.


한편, 이스트시큐리티의 통합 백신 알약은 이번 HWP 취약점 문서파일을 'Exploit.HWP.Agent'로 진단 및 치료하고 있습니다. 감사합니다.








  1. 해쉬처컬릿 2017.05.24 08:32  수정/삭제  댓글쓰기

    안녕하세요.
    외국 유명보안회사 보고서 보면, IOC(Indicator Of Compromise)에 기본적으로 Hash 정보를 알려주는데요, 본 게시글에서 안알려주시는 이유가 있는지요?

    • 알약(Alyac) 2017.05.24 09:50 신고  수정/삭제

      안녕하세요. 자사의 내부 정책이나, 경우에 따라 말씀하신 악성코드 해쉬값을 공개하거나 공개하지 않고 있습니다. 다른 포스팅(http://blog.alyac.co.kr/1100)을 확인해보시면 해쉬값을 공유해드리는 경우도 있으니 참고해주시기 바랍니다. 감사합니다.

  2. leehonggi 2017.05.24 17:16  수정/삭제  댓글쓰기

    들어오는 메일 제목을 알 수 있을까여?

    • 알약(Alyac) 2017.05.25 11:15 신고  수정/삭제

      '법인(개인)혐의거래보고내역'과 '납세담보변경요구서'라는 키워드를 활용한 제목으로 확인되고 있으나, 계속해서 제목이 변경되고 있는 점 참고 부탁 드립니다. 주로 금융관련 문서로 위장하여 확산되고 있으니 각별히 주의를 당부 드립니다.
      더불어 의심스러운 메일이나 파일을 수신하실 경우, 알약 [신고하기]를 통해 제보해주시면 신속히 분석하여 대응하도록 하겠습니다. 감사합니다.

  3. 해달선 2017.05.30 23:51  수정/삭제  댓글쓰기

  4. 해달선 2017.05.30 23:52  수정/삭제  댓글쓰기

티스토리 방명록 작성
name password homepage