상세 컨텐츠

본문 제목

악성코드가 삽입된 HWP 파일 유포 중!

악성코드 분석 리포트

by 알약(Alyac) 2017. 5. 23. 17:48

본문

악성코드가 삽입된 HWP 파일 유포 중!


안녕하세요. 이스트시큐리티입니다. 

'법인(개인)혐의거래보고내역'과 '납세담보변경요구서'로 위장한 악성 HWP파일이 발견되었습니다. 사용자 분들의 주의를 당부 드립니다. 


이 HWP 파일은 이메일에 첨부되어 유포되는 이른바 스피어피싱 공격에 사용되고 있는 것으로 추정됩니다.


[그림 1] 악성 HWP파일 실행 시 나타나는 화면


파일명

법인(개인)혐의거래보고내역.hwp 

납세담보변경요구서.hwp 

유형 

한컴오피스 한글 2010 문서 

한컴오피스 한글 2010 문서 

크기 

892KB 

927KB 

작성자 

팀장1 

와우폼(www.wowform.com) 

마지막 작성자 

jikpurid 

Administrator 

만든 날짜 

2017-05-22 오전 7:47 

2017-05-16 오전 00:49 

수정한 날짜 

2017-05-22 오전 10:07 

2017-05-16 오전 00:49 

[표 1] HWP 파일 메타데이터 정보


HWP 파일은 정상적인 문서파일로 보이지만 실제 파일 내부에는 HWP의 취약점을 이용한 악성 스크립트가 숨겨져 있습니다. 해당 파일을 열면 취약점을 통해 삽입된 스크립트가 실행되어, 사용자 모르게 EXE 형태의 악성파일이 드롭되어 실행됩니다.


[그림 2] 삽입된 코드


추가된 악성파일은 HWP 취약점 파일에 따라 각각 'LanEup.exe'와 'SMHost.exe'라는 이름으로 생성됩니다. 해당 파일은 원격에서 감염PC를 제어하는 좀비PC 악성코드입니다. 공격자는 명령을 내려 원격의 감염PC 통제권을 가지게 되며, 이를 통해 여러가지 기능을 수행합니다. 악성코드를 통해 수행되는 주요 봇 기능은 다음과 같습니다.


주요 봇 기능

 파일 Control(이동/삭제/정보전송)

 프로세스 Control(실행/종료/정보전송)

 파일 다운로드/업로드

 PC정보 전송

[표 2] 주요 봇 기능


LanEup.exe와 SMHost.exe가 연결을 시도하는 C&C 정보는 203.124.12.88(홍콩)으로 다음과 같습니다.



[그림 3] LanEup.exe와 SMHost.exe의 C&C 연결


이처럼, 계속해서 정상적인 내용을 담고 있는 HWP 악성파일이 꾸준히 보고되고 있습니다. 한컴오피스 프로그램 사용자분들께서는 해당 프로그램을 최신버전으로 업데이트해 주시기 바랍니다.


한편, 이스트시큐리티의 통합 백신 알약은 이번 HWP 취약점 문서파일을 'Exploit.HWP.Agent'로 진단 및 치료하고 있습니다. 감사합니다.








관련글 더보기

댓글 영역