HWP 2014 취약점 공격주의

HWP 2014 취약점 공격주의

한컴오피스2014 제품의 문서파일(HWP) 취약점(CVE-2015-6585)을 이용한 악성파일이 지속적으로 발견되고 있어, 해당 제품 이용자들의 각별한 주의가 필요합니다. 이 보안 취약점은 2015년 09월 07일 한글과컴퓨터 업체에서 제공한 보안업데이트를 통해 취약점을 제거할 수 있습니다.

HWP 2014 취약점 공격절차

이번 공격은 한컴 오피스 2014 제품을 설치한 특정 환경에서 취약점이 작동하며, 8월 전후부터 보안 업데이트가 완료된 9월 초까지 Zero-Day 공격으로 활용됐습니다. 또한, 한글 2014 환경설정에 존재하는 “악성코드 차단” 동작 기능 설정과는 무관하게 취약점이 작동합니다.

유포과정

공격자는 취약점 모듈을 삽입한 HWP(X) 문서파일을 첨부해 특정 대상자의 이메일 주소로 발송하게 됩니다. 보통, 이러한 공격 기법을 스피어피싱(Spear Phishing)이라 말하는데, 매우 고전적인 수법이지만 Zero-Day 공격인 경우 성공 확률은 매우 높은 편입니다.

이메일을 받은 수신자가 첨부되어 있던 HWP(X) 문서파일을 취약점이 존재하는 조건에서 실행할 경우 또 다른 악성파일(EXE)이 생성되고 실행됩니다. 그 다음에 실제 정상적인 문서파일도 함께 생성하고 실행하여 수신자로 하여금 마치 정상적인 문서파일로 보이도록 만듭니다.

분석정보

해당 악성 문서파일은 개방형 워드프로세서 마크업 언어인 OWPML(Open Word-Processor Markup Language) 포맷으로 한컴오피스 2014 제품 군에서 지원을 하고 있습니다.

악성 문서파일의 내부 목록은 대부분 2108년으로 01월 01일로 날짜가 조작되어 있지만, Contents 목록을 보면 “section1.xml” 파일이 2015년 09월 25일에 등록된 것을 확인할 수 있습니다.

section1.xml 날짜 화면

“section1.xml” Para Text 구조를 보면 “hp:t” 오브젝트에 비정상적인 유니코드 문자(U+1000, U+121C)가 포함된 것을 확인할 수 있습니다.

공격자는 오브젝트 임의조작을 통해 공격자가 설정한 가짜 클래스 주소로 연결되고, Shellcode 실행을 통해 XOR(0x19) 코드로 암호화되어 있는 추가 악성파일(svchost.exe)이 복호화된 후 실행됩니다.

hp:t 유니코드 조작화면

조작된 0x121c1000 데이터는 Exploit Code 주소를 호출하며, BinData 하위에 포함되어 있는 “ole1.ole” 파일을 이용하게 됩니다. 이 파일은 변종에 따라 170Mb~190Mb에 상당한 크기를 가지고 있습니다.

SVCH 문자열 위치를 확인한 후 XOR 0x19 값으로 암호화되어 있는 코드를 복호화하게 됩니다.

ole1.ole 파일에 포함된 Shellcode 화면

Shellcode 기능에 의해 “ole1.ole” 코드에 포함되어 있는 암호화된 코드가 복호화가 됩니다.

암호화와 복호화된 코드비교 화면

악성 HWP 문서가 실행되면 취약점에 의해 임시폴더(Temp) 경로에 정상 시스템 파일명으로 위장한 “svchost.exe” 악성을 생성하고 실행합니다.

“svchost.exe” 악성파일이 실행되면 내부에 포함되어 있는 “이력서-조형기.hwp”, “hkcmd.exe”, “HwpFilePathCheck.dll” 등의 파일을 임시폴더(Temp) 경로에 생성합니다.

svchost.exe 코드 안에 포함된 hwp 내용 화면

“hkcmd.exe” 파일이 실행되면 임시폴더(Temp) 경로에 “zawq.bat” 파일을 생성하는데, 이 배치파일은 다음과 같이 삭제 기능을 수행하여, 흔적을 지우는 역할을 수행합니다.

zawq.bat 파일 내용 화면

그리고 임시경로에 생성됐던 “hkcmd.exe” 파일은 [시작프로그램] 경로로 복사된 후 삭제됩니다.

시작프로그램에 등록된 화면

동시에 “이력서-조형기.hwp” 이름의 정상적인 문서파일이 실행되어 화면에는 실제 이력서 화면이 보여지게 됩니다. 따라서, 이용자는 자신이 실행한 문서가 마치 아무 문제없는 정상문서로 이해하게 됩니다.

실제 보여지는 이력서화면 / 일부 모자이크 처리

“hkcmd.exe” 파일은 시작프로그램에 등록되어 부팅 시 마다 자동으로 실행이 됩니다. 그리고 감염된 컴퓨터의 정보를 수집하는 행위를 수행합니다.

정보수집 기능 화면

두 개의 IP 주소로 접속해 정보를 외부로 유출하거나 추가적인 명령을 대기합니다.

명령제어 서버 위치

결론

한컴오피스 2014 제품의 최신 취약점을 이용한 스피어피싱 공격이 꾸준히 발생하고 있습니다. 현재 배포 중인 보안업데이트를 통해 사전예방이 가능하므로, 해당 제품 이용자 분들은 반드시 최신 업데이트를 설치하시길 권장해 드립니다.

현재 알약에서는 해당 악성코드에 대하여 Exploit.HWP.Agent 로 탐지하고 있으며, 꾸준한 모니터링을 통하여 변종에 대해서도 대응 할 예정입니다.

또한 알약 익스플로잇 쉴드를 이용하면, 한글 취약점을 이용한 공격을 사전에 차단할 수 있는 점도 참고해 주시기 바랍니다.