한컴오피스 한글악성코드 분석보고서
Contents
No.04 | 2015년 9월
MALWARE ANALYSIS REPORT
No.4 | 2015 년 9 월
Subject
한컴오피스 한글 악성코드 분석보고서
※본 자료는 악성코드 분석을 위한 참조 자료로 활용되어야 하며, 악성코드 제작 등의 용도로 악용되어서는
안됩니다. ㈜ 소만사는 이러한 오남용에 대한 책임을 지지 않습니다.
0. 들어가기에 앞서........................................................................................................................................................ 2
1. 악성파일 정보 ........................................................................................................................................................... 3
2. 동작 분석................................................................................................................................................................... 4
2.1. HWP 문서 (4.2 심포기획안.hwp, 소위자료(2014.2.25)_수석전문위원소관.hwp) ....................................... 4
2.2. ~tmp.dll ............................................................................................................................................................ 8
3. Reference ................................................................................................................................................................ 16
본 자료의 전체 혹은 일부를 소만사의 허락을 받지 않고, 무단개제, 복사, 배포는 엄격히 금합니다. 만일 이
를 어길 시에는 민형사상의 손해배상에 처해질 수 있습니다.
Copyright(c)2015 ㈜ 소만사 All rights reserved.
(주) 소만사 악성코드 분석 센터
월간 Security Report
No.04 | 2015년 9월
0. 들어가기에 앞서
본 보고서에서 분석하고 있는 악성코드는 국내 특정기관을 겨냥한 APT공격입니다. 공격은 2
년전쯤부터 지속된 것으로 추측하고 있으며, 동작이 조금씩 다른 수십 개의 변종이 발견되었습니
다. 또한 한국인들이 많이 사용하는 한글 오피스를 통한 악성코드 유입은 특별히 주목할 만한 점
입니다.
소개된 악성코드는 Kimsuky가 제작 유포한 것으로 추정되며 현재는 취약점이 패치 되어 최
신 버전 사용으로 감염을 막을 수 있습니다. 다만 지금도 …
MALWARE ANALYSIS REPORT
No.4 | 2015 년 9 월
Subject
한컴오피스 한글 악성코드 분석보고서
※본 자료는 악성코드 분석을 위한 참조 자료로 활용되어야 하며, 악성코드 제작 등의 용도로 악용되어서는
안됩니다. ㈜ 소만사는 이러한 오남용에 대한 책임을 지지 않습니다.
0. 들어가기에 앞서........................................................................................................................................................ 2
1. 악성파일 정보 ........................................................................................................................................................... 3
2. 동작 분석................................................................................................................................................................... 4
2.1. HWP 문서 (4.2 심포기획안.hwp, 소위자료(2014.2.25)_수석전문위원소관.hwp) ....................................... 4
2.2. ~tmp.dll ............................................................................................................................................................ 8
3. Reference ................................................................................................................................................................ 16
본 자료의 전체 혹은 일부를 소만사의 허락을 받지 않고, 무단개제, 복사, 배포는 엄격히 금합니다. 만일 이
를 어길 시에는 민형사상의 손해배상에 처해질 수 있습니다.
Copyright(c)2015 ㈜ 소만사 All rights reserved.
(주) 소만사 악성코드 분석 센터
월간 Security Report
No.04 | 2015년 9월
0. 들어가기에 앞서
본 보고서에서 분석하고 있는 악성코드는 국내 특정기관을 겨냥한 APT공격입니다. 공격은 2
년전쯤부터 지속된 것으로 추측하고 있으며, 동작이 조금씩 다른 수십 개의 변종이 발견되었습니
다. 또한 한국인들이 많이 사용하는 한글 오피스를 통한 악성코드 유입은 특별히 주목할 만한 점
입니다.
소개된 악성코드는 Kimsuky가 제작 유포한 것으로 추정되며 현재는 취약점이 패치 되어 최
신 버전 사용으로 감염을 막을 수 있습니다. 다만 지금도 …