상세 컨텐츠

본문 제목

'찌라시'로 위장한 악성 HWP 파일 주의!

악성코드 분석 리포트

by 알약4 2020. 11. 25. 09:48

본문



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 


최근 국내 유통 대기업이 랜섬웨어 공격을 받아 보안 담당자의 경각심이 높아지고 있는 가운데, 사설정보지(속칭 ‘찌라시’)로 위장한 악성 한글 파일(HWP)이 발견돼 주의가 필요합니다. 


해당 문서는 ‘정세균 총리 교체 시기 미뤄질 수도’, ‘비서실장직 선긋는 양정철’ 등 정치, 외교, 사회 등 언론 보도와 출처를 알 수 없는 소문 등을 짜깁기 한 내용으로 이뤄져 있어 호기심을 자극합니다.



[그림 1] 사설정보지로 내용을 채운 악성 HWP 파일



해당 악성 문서는 공격 방식이나 특징으로 미뤄볼 때 북한 해킹 조직 ‘탈륨(Thallium)’에 의해 제작된 것으로 보입니다. 또한 문서는 수정/편집이 불가능한 ‘한글 배포용 문서’로 제작되어 있습니다. 배포용 문서 기능은 공공기관에서 공문 등을 보낼 때 사용하는 것으로, 이를 통해 마치 기관에서 제작한 문서인 것처럼 위장하고 있습니다.



[그림 2] 임시 폴더에 생성된 HTA 파일



이번 공격은 한컴 오피스 OLE(객체 연결 삽입) 기능을 악용해 숨어있는 HTA(HTML 응용프로그램)을 실행한 뒤 C&C(명령제어) 서버와 통신해 추가적인 명령을 실행합니다. 


HTA 파일은 웹 브라우저를 기반으로 작동하는 응용 프로그램으로 HTML은 물론 자바스크립트, 비주얼 베이직 스크립트 등 다양한 코드로 작성된 기능을 수행할 수 있습니다. 이번 공격에 쓰인 HTA 파일 역시 PC 정보 확인, 명령 제어 서버와 통신을 통한 추가명령 수행 등의 기능을 갖춘 것으로 보입니다.


이러한 공격은 탈륨이 즐겨 사용하는 방식입니다. 이달 초에는 ‘미국 대선 결과 예측 언론사 내부 문건’으로 위장한 HWP 문서로 공격을 시도한 바 있으며, 지난달에는 북한 내부 정보로 위장한 HWP 문서 이 같은 공격을 수행한 바 있습니다. 당시에는 HTA 대신 비주얼 베이직 스크립트 코드를 실행하는 방식을 사용했으나, 공격 매커니즘은 완전히 동일합니다.


과거 HWP 문서를 이용한 공격은 포스트 스크립트 취약점과 셸코드를 결합한 방식이 많았으나, 한컴 오피스 최신 버전에서는 해당 취약점이 개선된 만큼 OLE 기능을 통해 추가 명령을 실행하는 방식으로 노선을 변경한 것으로 보입니다. 


OLE는 한컴 오피스의 정상 기능이며, 해당 파일이 바이러스 정의 DB에 등록되기 전까지는 안티 바이러스 등의 보안 소프트웨어에서 탐지하기도 어렵습니다.


OLE 기능이란 문서 내에 링크나 이미지 혹은 패키지 등 다른 파일을 쉽게 삽입하고 이를 연결하는 기능으로, 기본 설정 상태에서 사용자 동의 없이는 자동 실행되지 않습니다. 이 때문에 사용자가 궁금할 만한 내용으로 문서를 만들고, 객체 클릭 시 나타나는 실행 경고에 대해 무의식적으로 허용을 누르게 만듭니다. 


기본적으로 차단된 악성코드가 사용자 부주의에 의해 실행되는 셈이다. 여기서 사용자가 명심해야할 점은 화면에 나타나는 경고창 내용이 어떤 의미인지 완벽하게 파악하지 못했을 때는 ‘실행’이나 ‘허용’을 누르는 것이 아닌 ‘취소’를 눌러야 한다는 점이다.



[그림 3] OLE 기능 실행 시 나타나는 경고 창



탈륨은 지능적인 공격 기법을 사용합니다. 악성코드를 실행하면 PC 정보를 수집해 해당 PC가 가상머신이나 샌드박스 같은 분석 시스템은 아닌지 파악하고, 추가적인 악성 행위를 멈춥니다. 


반면 실제 표적 대상이라고 판단될 경우 명령 제어 서버를 통해 정보유출 등 추가적인 악성 행위를 합니다. 이러한 방식을 통해 보안 솔루션을 회피하고, 공격 기법이 노출되는 것을 막고 있습니다.


또한 최근 탈륨은 국내 공공기관에서 주로 사용하는 HWP 문서를 악용해 공격을 시도하고 있습니다. 특히 OLE는 취약점이 아닌 기본기능입니다. 


때문에 최신 업데이트를 마친 소프트웨어를 사용하더라도 사용자 부주의로 공격에 노출될 수 있습니다. 때문에 사용자의 기본적인 보안 의식이 무엇보다 중요합니다.


현재 이스트시큐리티 알약(Alyac)에서는 해당 악성 파일을 'Exploit.HWP.Agent'로 탐지 중입니다. 악성코드에 대한 상세분석 내용 및 IoC 정보는 Threat Inside에서 확인하실 수 있습니다. 




관련글 더보기

댓글 영역