HWP 2014 취약점 공격주의
한컴오피스2014 제품의 문서파일(HWP) 취약점(CVE-2015-6585)을 이용한 악성파일이 지속적으로 발견되고 있어, 해당 제품 이용자들의 각별한 주의가 필요합니다. 이 보안 취약점은 2015년 09월 07일 한글과컴퓨터 업체에서 제공한 보안업데이트를 통해 취약점을 제거할 수 있습니다.
HWP 2014 취약점 공격절차
이번 공격은 한컴 오피스 2014 제품을 설치한 특정 환경에서 취약점이 작동하며, 8월 전후부터 보안 업데이트가 완료된 9월 초까지 Zero-Day 공격으로 활용됐습니다. 또한, 한글 2014 환경설정에 존재하는 “악성코드 차단” 동작 기능 설정과는 무관하게 취약점이 작동합니다.
공격자는 취약점 모듈을 삽입한 HWP(X) 문서파일을 첨부해 특정 대상자의 이메일 주소로 발송하게 됩니다. 보통, 이러한 공격 기법을 스피어피싱(Spear Phishing)이라 말하는데, 매우 고전적인 수법이지만 Zero-Day 공격인 경우 성공 확률은 매우 높은 편입니다.
이메일을 받은 수신자가 첨부되어 있던 HWP(X) 문서파일을 취약점이 존재하는 조건에서 실행할 경우 또 다른 악성파일(EXE)이 생성되고 실행됩니다. 그 다음에 실제 정상적인 문서파일도 함께 생성하고 실행하여 수신자로 하여금 마치 정상적인 문서파일로 보이도록 만듭니다.
section1.xml 날짜 화면
hp:t 유니코드 조작화면
ole1.ole 파일에 포함된 Shellcode 화면
암호화와 복호화된 코드비교 화면
악성 HWP 문서가 실행되면 취약점에 의해 임시폴더(Temp) 경로에 정상 시스템 파일명으로 위장한 “svchost.exe” 악성을 생성하고 실행합니다.
“svchost.exe” 악성파일이 실행되면 내부에 포함되어 있는 “이력서-조형기.hwp”, “hkcmd.exe”, “HwpFilePathCheck.dll” 등의 파일을 임시폴더(Temp) 경로에 생성합니다.
svchost.exe 코드 안에 포함된 hwp 내용 화면
zawq.bat 파일 내용 화면
시작프로그램에 등록된 화면
실제 보여지는 이력서화면 / 일부 모자이크 처리
정보수집 기능 화면
두 개의 IP 주소로 접속해 정보를 외부로 유출하거나 추가적인 명령을 대기합니다.
명령제어 서버 위치
결론
한컴오피스 2014 제품의 최신 취약점을 이용한 스피어피싱 공격이 꾸준히 발생하고 있습니다. 현재 배포 중인 보안업데이트를 통해 사전예방이 가능하므로, 해당 제품 이용자 분들은 반드시 최신 업데이트를 설치하시길 권장해 드립니다.
또한 알약 익스플로잇 쉴드를 이용하면, 한글 취약점을 이용한 공격을 사전에 차단할 수 있는 점도 참고해 주시기 바랍니다.
윈도우 블루스크린을 위장한 새로운 피싱 방식 (0) | 2015.10.08 |
---|---|
Stagefright Bug 2.0 발견 및 패치 (0) | 2015.10.07 |
MS, ‘실수’로 테스트패치를 모든 윈도우 7 사용자에게 배포해 (0) | 2015.10.05 |
Google Play 가 해커의 공격을 받았으며, 몇백만명의 안드로이드 사용자가 영향을 받았을 것으로 예상된다. (0) | 2015.09.24 |
변조된 Xcode IDE로 인한 공격으로 애플의 앱스토어에 다량의 악성앱이 등록 (0) | 2015.09.23 |
댓글 영역