nanuminet

가장 정직하고 정성껏 안내 해 드리겠습니다.

공지사항

한글 취약점을 통해 유포되는 악성코드 동향 및 분석

  • 관리자
  • 2014.01.02 11:58:41
  • 2,452
□ 개 요

최근 아래 한글(.hwp)취약점을 통해 악성코드를 유포하고 사용자의 키보드 입력,시스템 정보 등을 유출하는 사례가 빈번하게 발견되고 있다.

취약한 한글 파일의 제목은 주요 인사 리스트,국제 행사 자료 등으로 다양하며 사용자가 클릭하도록 최근 이슈화된 사건을 다룬다.

< 악성코드를 내포하고 있는 아래 한글 제목 >

구분 발견된 한글 파일 제목
사회적 이슈 관련 수원 토막살해 오원춘, 감옥서 의외의 행동,
삼성 이어 LG전자도 정기 세무조사 등

주요 인사 관련 19대 노동계 및 범노동계출신 당선자 프로필(죄총 4.12),
국방 안보추진단 대사 추천 등

국제 행사 관련 2013년 대구 세계에너지 총회 발표내용 요약,
제57차 IAEA 총회자료 등
대북 이슈 관련 탈북인 인적사항, 북한의 회담전략과 의도 등

또한 해커는 하나의 악성코드를 여러 제목의 한글 파일에 넣어 감염 성공률을 높인다.


□ 한글 취약점 분석

한글 취약점을 찾는 것은 오랜 시일이 걸리는 고된 작업이므로 정부 및 사회 지도층 등의 PC로부터 가치 있는 정보를 캐기 위해 이루어진다.

자주 사용되는 한글 취약점으로는 힙스프레이 기법으로 쉘코드를 실행시키는 힙오버플로우 취약점 등이 있다.

취약점은 보안을 고려하지 않은 프로그램의 정상 기능을 통해 발생하기도한다. 아래 한글은 문서를 열람할 때마다 사용자의 모듈을 실행시키는 기능을

제공한다.실제 악성코드가 이 기능을 악용하여 한글 프로그램과 함께 실행되는 것이 발견된 바 있다.

□ 악성코드가 수집하는 정보 유형

이러한 유형의 악성코드는 대부분 시스템 정보,키보드 입력 등을 유출하며 추가 악성코드를 다운로드하여 2차 공격을 시도한다.보통 사용자

계정,MAC주소,컴퓨터 이름 등을 알아내기 위해 GetAdaptersInfo,Getusername,Getcomputername등 WindowsAPI를 사용하거나 systeminfo명령어를 사용한다

① 시스템 정보 검색 명령어 사용
※ 명령어 : cmd.exe /c systeminfo > C:[파일이름].txt

② WindowsAPI를 사용하여 감염PC(윈도우 버전,사용자 계정,MAC 주소,컴퓨터 이름 등)정보 수집

③ 시스템 날짜,실행 프로그램,사용자의 키보드 입력 등 수집

□ 수집한 정보 유출 방법

악성코드가 수집한 정보는 C&C 서버 및 이메일 계정으로 유출되고 있으며 최근 이메일 계정을 이용하는 사례가 증가하고 있다.그 이유는

가입 절차가 간단하고 제작자의 추적이 어려우며 이메일 차단 조치를위해 소요되는 시간이 길기 때문인 것으로 보인다.해커는 이메일에 로그인

하는 과정을 분석하여 악성코드에 자동 로그인 기능을 추가한다.‘12년2월 제작된 악성코드는 Yahoo 메일 서비스에서 사용되는 YMSG 프로토콜을

분석하여 자동으로 로그인할 수 있도록 기능을 포함시켰다.

또한 악성코드는 수신 메일함,C&C로부터 악성코드를 추가 다운로드 받으며 ‘13년 6월 카스퍼스키가 발표한 자료에 따르면 악성코드는 메일함

으로부터 TeamViewer를 추가 설치하여 감염 PC를 원격 제어하였다.

□ 악성코드 감염 예방법

이와 같이 장기간 한글 취약점을 분석하고 이메일 전송 프로토콜을 파악하여 원격 제어형 및 정보 유출형 악성코드를 유포하는 사례가 지속적

으로 발견되고 있다.해커는 정부기관 및 사회지도층 등의 PC에서 가치있는 정보를 노리고 있으므로 업무망 분리 등 철저한 보안 관리가 필요

하다.백신은 최신 버전으로 업데이트하고 주기적으로 검사하여 악성코드감염을 예방해야 한다.만약 대북,사회,정치적 뉴스 및 유명 행사 등과

관련된 이메일 또는 문서를 수신하였다면 일단 의심하고 백신으로 검사한후 118센터 등에 신고하는 것이 필요하다.

[참조 자료]
KISA - 한국 인터넷 진흥원
http://krcert.or.kr/kor/data/analNoticeView.jsp?p_bulletin_writing_sequence=20163#none