한글 파일에 숨어든 '고스트'
2019-07-03,
Ahnlab
https://k.kakaocdn.net/dn/cZgWbQ/btqwtmlyQnI/vDG9Ob080r38Zg5n9Iase0/AhnLab_ASEC_%ED%95%9C%EA%B8%80%ED%8C%8C%EC%9D%BC%EC%97%90%EC%88%A8%EC%96%B4%EB%93%A0%27%EA%B3%A0%EC%8A%A4%ED%8A%B8%27.pdf?attach=1&knm=tfile.pdf
AhnLab_ASEC_ED959CEAB880ED8C8CEC9DBCEC9790EC88A8EC96B4EB93A027EAB3_UkCTFx6.pdf, 4.7 MB
#CVE-2017-8291
https://k.kakaocdn.net/dn/cZgWbQ/btqwtmlyQnI/vDG9Ob080r38Zg5n9Iase0/AhnLab_ASEC_%ED%95%9C%EA%B8%80%ED%8C%8C%EC%9D%BC%EC%97%90%EC%88%A8%EC%96%B4%EB%93%A0%27%EA%B3%A0%EC%8A%A4%ED%8A%B8%27.pdf?attach=1&knm=tfile.pdf
AhnLab_ASEC_ED959CEAB880ED8C8CEC9DBCEC9790EC88A8EC96B4EB93A027EAB3_UkCTFx6.pdf, 4.7 MB
#CVE-2017-8291
Contents
2019. 07
한글 파일에 숨어든 ‘고스트’
고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일
안랩 시큐리티대응센터(ASEC) 분석팀
경기도 성남시 분당구 판교역로 220 (우) 13493 | 대표전화 : 031-722-8000 | 팩스 : 031-722-8901 | www.ahnlab.com
© AhnLab, Inc. All rights reserved.
한글 파일에 숨어든 ‘고스트’ | 고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일
한글 파일에 숨어든 ‘고스트’
고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일
안랩 시큐리티대응센터(ASEC) 분석팀
최수진 주임 연구원, 한명욱 연구원, 김준석 연구원
2019.07
[ 개 요 ]
국내 공공기관 및 일부 기업에서 주로 사용하는 한글과컴퓨터사의 워드 프로그램인 ‘한글’의 파일(HWP)
을 이용한 공격이 지속적으로 발생하고 있다. 한글 파일을 이용한 공격이 본격화된 것은 지난 2010년
이후로, 공격자들은 한글 프로그램에서 제공하는 기능이나 소프트웨어 취약점을 악용하여 악성코드를
실행한다. 악성코드 실행 방식은 시기에 따라 계속해서 변화해왔는데, 이는 국내 사용자의 보안 인식의
변화로 보안 패치 적용, 안티바이러스 이용 증가함에 따라 공격 성공률을 높이기 위함으로 볼 수 있다.
최근 악성 한글 파일을 이용한 일련의 공격에서 특징적인 모습이 포착됐다. 2017년 6월을 시작으로 현재까
지, 약 2년 동안 확인된 악성 한글 파일 중 상당수가 특정 취약점을 노린 …
한글 파일에 숨어든 ‘고스트’
고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일
안랩 시큐리티대응센터(ASEC) 분석팀
경기도 성남시 분당구 판교역로 220 (우) 13493 | 대표전화 : 031-722-8000 | 팩스 : 031-722-8901 | www.ahnlab.com
© AhnLab, Inc. All rights reserved.
한글 파일에 숨어든 ‘고스트’ | 고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일
한글 파일에 숨어든 ‘고스트’
고스트스크립트 취약점 CVE-2017-8291을 이용한 악성 한글 파일
안랩 시큐리티대응센터(ASEC) 분석팀
최수진 주임 연구원, 한명욱 연구원, 김준석 연구원
2019.07
[ 개 요 ]
국내 공공기관 및 일부 기업에서 주로 사용하는 한글과컴퓨터사의 워드 프로그램인 ‘한글’의 파일(HWP)
을 이용한 공격이 지속적으로 발생하고 있다. 한글 파일을 이용한 공격이 본격화된 것은 지난 2010년
이후로, 공격자들은 한글 프로그램에서 제공하는 기능이나 소프트웨어 취약점을 악용하여 악성코드를
실행한다. 악성코드 실행 방식은 시기에 따라 계속해서 변화해왔는데, 이는 국내 사용자의 보안 인식의
변화로 보안 패치 적용, 안티바이러스 이용 증가함에 따라 공격 성공률을 높이기 위함으로 볼 수 있다.
최근 악성 한글 파일을 이용한 일련의 공격에서 특징적인 모습이 포착됐다. 2017년 6월을 시작으로 현재까
지, 약 2년 동안 확인된 악성 한글 파일 중 상당수가 특정 취약점을 노린 …
IoC
https://www.adobe.com/content/dam/acom/en/devnet/actionscript/articles/PLRM.pdf
https://www.hancom.com/board/noticeView.do?board_seq=3&artcl_seq=6606&pageInfo.page=1&search_text
https://www.securityfocus.com/bid/98476
https://bugs.ghostscript.com/show_bug.cgi?id=697808
https://www.hancom.com/board/devdataView.do?board_seq=47&artcl_seq=6104&pageInfo.page=1&search_text=
https://git.ghostscript.com/?p=ghostpdl.git
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27234
https://nvd.nist.gov/vuln/detail/CVE-2017-8291
https://www.ghostscript.com
https://www.hancom.com/etc/hwpDownload.do
https://ghostscript.com/doc/psi/iref.h
https://bugs.ghostscript.com/show_bug.cgi?id=697892
http://git.ghostscript.com/?p=ghostpdl.git
https://bugs.ghostscript.com/show_bug.cgi?id=697799
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8291
https://bugs.ghostscript.com/show_bug.cgi?id=697846
https://bugzilla.redhat.com/show_bug.cgi?id=1446063
63069c9bcc4f8e16412ea1a25f3edf14
e8bf331858b173eac8bd2b2227821022
631f1c63ff87399e5e73c7d94d62532f
13570dcee3d217ff90f1ea912daec8fc
06cfc6cda57fb5b67ee3eb0400dd5b97
e0a48954a6728d7ed285600af26bad87
a43dfbfad77b5aa974cd475744ab8182
ec06c31cb0992bb378a185f1e781563b
87c748f59f97dfb29b48079532b39e5c
f420757270d0987148b950f2066bbbab
85684409e402d1f518552e8e18f27a98
c87696a3224f97e30200a93021e44ab6
3d4b6b947283e70cf94a8e1112edfd72
a7b3b2c6e23a15f6fe0a722ebaa4459c
ce3350131bbfca1a330dad62653a132d
5a7718f70ace857d2f9c9e09ec5d54f1
df7328f9f6fbab00c63e6c398c961502
d4a8acca0c0af629f600234d230ab0cf
48d9e625ea3efbcbef3963c8714544a7
2a52138403a403316f22225964c3b9ae
abafa0cbfbe18afe6dd635d14e7d03d3
ff9eff561fd793ddb9011cf7006d5f6c
e50256b8e8496a030561f5ad6d9bda1e
b84e781bbff0bbff63f3d88c6ce4d84e
8152e241b3f1fdb85d21bfcf2aa8ab1d
87b01ad040f3c4e9ca323039f97063e4
281160972ef8f657139d3801139e6783
2228fea495bee51dc88c1a0ed953450a
a0748e19b043ffe9bdf04c5d2df26689
9ca962eb74bbdb238609e192e1a33a40
09689e9311fd25817f2b88ae8d791435
2cd28ee74910be7a023d10e3860eae5c
1c0ee8e91704ca11cb4b9825541e8f7a
e9ea50d43c5f1e9874895dd352a505a7
f392492ef5ea1b399b4c0af38810b0d6
dc06928356c90ac5b3dc3239868b88c7
da02193fc7f2a628770382d9b39fe8e0
3d0d71fdedfd8945d78b64cdf0fb11ed
b39228c9538fd79dc425964dde1501d9
0765b1fe1f761e4b50a48d525c23b678
f5b5a3f9eab0219d4f91a1f61541c61e
3667a4032215cbe4420eab911d4414a7
a6dd0124fb5cb054f1614f13f3f2fe48
6d980c4ec6ca4561c354f417960154c5
7de8b065e2587765fca5a163f958637d
a36cc933b1c5902d98a3db3143f4b419
ec7ba18cc775a58647943e16d51d01ac
398150acc728dfa7a67cb07584045825
eb4e82da565d70cfe0951adc12608148
https://www.hancom.com/board/noticeView.do?board_seq=3&artcl_seq=6606&pageInfo.page=1&search_text
https://www.securityfocus.com/bid/98476
https://bugs.ghostscript.com/show_bug.cgi?id=697808
https://www.hancom.com/board/devdataView.do?board_seq=47&artcl_seq=6104&pageInfo.page=1&search_text=
https://git.ghostscript.com/?p=ghostpdl.git
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27234
https://nvd.nist.gov/vuln/detail/CVE-2017-8291
https://www.ghostscript.com
https://www.hancom.com/etc/hwpDownload.do
https://ghostscript.com/doc/psi/iref.h
https://bugs.ghostscript.com/show_bug.cgi?id=697892
http://git.ghostscript.com/?p=ghostpdl.git
https://bugs.ghostscript.com/show_bug.cgi?id=697799
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8291
https://bugs.ghostscript.com/show_bug.cgi?id=697846
https://bugzilla.redhat.com/show_bug.cgi?id=1446063
63069c9bcc4f8e16412ea1a25f3edf14
e8bf331858b173eac8bd2b2227821022
631f1c63ff87399e5e73c7d94d62532f
13570dcee3d217ff90f1ea912daec8fc
06cfc6cda57fb5b67ee3eb0400dd5b97
e0a48954a6728d7ed285600af26bad87
a43dfbfad77b5aa974cd475744ab8182
ec06c31cb0992bb378a185f1e781563b
87c748f59f97dfb29b48079532b39e5c
f420757270d0987148b950f2066bbbab
85684409e402d1f518552e8e18f27a98
c87696a3224f97e30200a93021e44ab6
3d4b6b947283e70cf94a8e1112edfd72
a7b3b2c6e23a15f6fe0a722ebaa4459c
ce3350131bbfca1a330dad62653a132d
5a7718f70ace857d2f9c9e09ec5d54f1
df7328f9f6fbab00c63e6c398c961502
d4a8acca0c0af629f600234d230ab0cf
48d9e625ea3efbcbef3963c8714544a7
2a52138403a403316f22225964c3b9ae
abafa0cbfbe18afe6dd635d14e7d03d3
ff9eff561fd793ddb9011cf7006d5f6c
e50256b8e8496a030561f5ad6d9bda1e
b84e781bbff0bbff63f3d88c6ce4d84e
8152e241b3f1fdb85d21bfcf2aa8ab1d
87b01ad040f3c4e9ca323039f97063e4
281160972ef8f657139d3801139e6783
2228fea495bee51dc88c1a0ed953450a
a0748e19b043ffe9bdf04c5d2df26689
9ca962eb74bbdb238609e192e1a33a40
09689e9311fd25817f2b88ae8d791435
2cd28ee74910be7a023d10e3860eae5c
1c0ee8e91704ca11cb4b9825541e8f7a
e9ea50d43c5f1e9874895dd352a505a7
f392492ef5ea1b399b4c0af38810b0d6
dc06928356c90ac5b3dc3239868b88c7
da02193fc7f2a628770382d9b39fe8e0
3d0d71fdedfd8945d78b64cdf0fb11ed
b39228c9538fd79dc425964dde1501d9
0765b1fe1f761e4b50a48d525c23b678
f5b5a3f9eab0219d4f91a1f61541c61e
3667a4032215cbe4420eab911d4414a7
a6dd0124fb5cb054f1614f13f3f2fe48
6d980c4ec6ca4561c354f417960154c5
7de8b065e2587765fca5a163f958637d
a36cc933b1c5902d98a3db3143f4b419
ec7ba18cc775a58647943e16d51d01ac
398150acc728dfa7a67cb07584045825
eb4e82da565d70cfe0951adc12608148