통일 교육 지원서로 위장한 악성 한글 문서
Contents
통일 교육 지원서로 위장한 악성 한글 문서
AhnLab SEcurity intelligence Center(ASEC)은 지난 3월 5일 통일 관련 교육 수강생 모집 게시 글에서 악성 한글 문서를 다운로드하는 링크를 확인하였다.
분석 당시 게시 글 하단에는 각각 JPG, HWP, DOC 파일에 대한 다운로드 링크가 존재하였으며, 이 중 HWP 형식의 파일은 지원서를 위장한 악성 파일로 확인되었다.
그림 1. 게시 글 하단에 존재하는 다운로드 링크
다운로드 된 한글 문서 내부에는 정상 한글 문서와 악성 BAT 파일을 비롯한 여러 파일이 포함되어 있어, 한글 문서 실행 시 TEMP 폴더에 해당 파일들을 생성한다.
|
파일명 |
설명 |
| hwp_doc.db | 정상 문서 |
| app.db (0304.exe, 0304_1.exe) |
정상 실행 파일(EXE) |
| mnfst.db (0304.exe.manifest) |
악성 명령어가 포함된 설정파일 |
| mnfst_1.db (0304_1.exe.manifest) |
악성 명령어가 포함된 설정파일 |
| sch_0304.db | 작업이 정의된 악성 XML 파일 |
| sch_0304_1.db | 작업이 정의된 악성 XML 파일 |
| document.bat | 악성 BAT 파일 |
| get.db (0304.bat) |
악성 BAT 파일 |
표 1. TEMP 경로에 생성되는 파일
문서 본문에는 마치 한글 문서가 첨부된 것처럼 내용이 작성되어 있으나, …
AhnLab SEcurity intelligence Center(ASEC)은 지난 3월 5일 통일 관련 교육 수강생 모집 게시 글에서 악성 한글 문서를 다운로드하는 링크를 확인하였다.
분석 당시 게시 글 하단에는 각각 JPG, HWP, DOC 파일에 대한 다운로드 링크가 존재하였으며, 이 중 HWP 형식의 파일은 지원서를 위장한 악성 파일로 확인되었다.
그림 1. 게시 글 하단에 존재하는 다운로드 링크
다운로드 된 한글 문서 내부에는 정상 한글 문서와 악성 BAT 파일을 비롯한 여러 파일이 포함되어 있어, 한글 문서 실행 시 TEMP 폴더에 해당 파일들을 생성한다.
|
파일명 |
설명 |
| hwp_doc.db | 정상 문서 |
| app.db (0304.exe, 0304_1.exe) |
정상 실행 파일(EXE) |
| mnfst.db (0304.exe.manifest) |
악성 명령어가 포함된 설정파일 |
| mnfst_1.db (0304_1.exe.manifest) |
악성 명령어가 포함된 설정파일 |
| sch_0304.db | 작업이 정의된 악성 XML 파일 |
| sch_0304_1.db | 작업이 정의된 악성 XML 파일 |
| document.bat | 악성 BAT 파일 |
| get.db (0304.bat) |
악성 BAT 파일 |
표 1. TEMP 경로에 생성되는 파일
문서 본문에는 마치 한글 문서가 첨부된 것처럼 내용이 작성되어 있으나, …