안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다. 2020년 하반기에 들어서면서 HWP 문서파일 공격기법에 변화가 감지되고 있습니다. 기존에 많이 쓰이던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있습니다. 참고로 OLE란 'Object Linking and Embedding' 약자로서 객체 연결 및 삽입을 뜻하는데, 한컴에서는 대신 라는 표현을 사용합니다. 그리고 복합 파일 이진 형식(CFBF : Compound File Binary Format)이라고도 불립니다. ESRC는 2020년 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 기술해 보고자 합니다. 1. 초기 침투 과정 요약 □ 1단계 : 궁금증을 유발하는 이메일을 전달 대부분의..

악성코드 분석 리포트 2020. 12. 16. 00:34

OLE 패키지로 악성 스크립트를 실행하는 문서파일 주의 MS Office 제품군은 일반 및 기업 등에서 널리 이용되고 있는 주요 소프트웨어 중 하나입니다. 이스트시큐리티 시큐리티대응센터는 최근 MS 오피스 문서에 OLE(Object Linking and Embedding) 패키지와 같이 객체를 삽입해 실행을 유도하고, 타 호스트에서 특정 파일을 다운로드해 스크립트를 실행하는 기법의 악성코드가 이메일 첨부파일 형태로 유포 중인 것을 위협 관제 중 발견했습니다. 이는 MS 오피스 워드 매크로 방식이 아닌 점에서 주목되고 있습니다. 공격자는 이메일을 통해 온라인 거래가 중지되었으니, 첨부된 DOCX 리포트 파일을 검토해보라는 영문 내용과 함께 악의적인 기능을 수행하는 악성 문서를 첨부하였습니다. [그림 1] ..

악성코드 분석 리포트 2017. 4. 28. 15:11

CVE-2014-4114 취약점 공격의 진화CVE-2014-4114 변종 악성코드의 지속적인 발견과 공격방법의 진화 지난 15일, 알약 블로그에 CVE-2014-4114 제로데이 취약점을 이용하는 러시아발로 추정되는 악성코드에 대해 공지한 바 있습니다. (▶참고: http://blog.alyac.co.kr/180) 위 취약점과 관련하여 MS에서는 이미 패치를 발표했으나, CVE-2014-4114 취약점을 이용한 공격은 점점 늘어나고 있습니다. 더불어 최근 새로운 형태의 변종이 지속적으로 발견되고 있습니다. 해당 취약점은 특수하게 조작된 OLE 개체를 포함하는 MS Office파일을 열 경우 원격코드가 실행될 수 있는 취약점입니다. 초기에는 사용자로 하여금 CVE-2014-4114 취약점을 포함한 악성파일..

국내외 보안동향 2014. 10. 24. 10:10