OLE 개체를 악용한 HWP 악성코드
Contents
개요
악성 한글워드프로세서(이하 한글)를 이용한 APT 공격은 현재까지도 국내에서 빈번히 발생하고 있다. 과거 한글 프로그램은 Para text 취약점 또는 Post Script 취약점 등이 존재해 공격자는 이를 이용한 악성 문서를 배포했다. 그러나 취약점들이 패치되면서 코드 실행이 어려워지자 공격자들은 사용자의 클릭을 유도해 악성코드를 실행하는 방식으로 악성 문서를 만들어 유포하기 시작했다.
공격자는 한글 문서 내 OLE 연결 개체를 삽입하면 특정 경로에 파일이 생성되는 점을 악용해 악성 문서를 제작하고, 사용자의 클릭을 유도해 생성된 파일을 실행한다. 최근 발견된 악성 한글 문서 내부에는 OLE 파일이 존재하고 문서 실행시 특정 경로에 파워쉘 스크립트를 실행하는 bat 파일을 생성한다. 문서 본문에는 메시지 창으로 위장한 이미지 파일을 첨부해 사용자의 클릭을 유도하고 이를 통해 악성 스크립트를 실행한다.
[그림 1] 공격 흐름도
분석
Stage 1. 최초 접근
공격자는 악성 문서를 첨부한 스피어 피싱 이메일을 통해 접근을 시도한다. 주요 공격 대상은 북한과 관련된 인사들이며 대북 관련 TV 섭외, 의견 요청 등으로 메일을 작성해 악성 문서의 실행을 유도한다.
[그림 2] 스피어피싱 메일과 악성 문서
메일에 첨부된 악성 문서에는 두 개의 OLE …
악성 한글워드프로세서(이하 한글)를 이용한 APT 공격은 현재까지도 국내에서 빈번히 발생하고 있다. 과거 한글 프로그램은 Para text 취약점 또는 Post Script 취약점 등이 존재해 공격자는 이를 이용한 악성 문서를 배포했다. 그러나 취약점들이 패치되면서 코드 실행이 어려워지자 공격자들은 사용자의 클릭을 유도해 악성코드를 실행하는 방식으로 악성 문서를 만들어 유포하기 시작했다.
공격자는 한글 문서 내 OLE 연결 개체를 삽입하면 특정 경로에 파일이 생성되는 점을 악용해 악성 문서를 제작하고, 사용자의 클릭을 유도해 생성된 파일을 실행한다. 최근 발견된 악성 한글 문서 내부에는 OLE 파일이 존재하고 문서 실행시 특정 경로에 파워쉘 스크립트를 실행하는 bat 파일을 생성한다. 문서 본문에는 메시지 창으로 위장한 이미지 파일을 첨부해 사용자의 클릭을 유도하고 이를 통해 악성 스크립트를 실행한다.
[그림 1] 공격 흐름도
분석
Stage 1. 최초 접근
공격자는 악성 문서를 첨부한 스피어 피싱 이메일을 통해 접근을 시도한다. 주요 공격 대상은 북한과 관련된 인사들이며 대북 관련 TV 섭외, 의견 요청 등으로 메일을 작성해 악성 문서의 실행을 유도한다.
[그림 2] 스피어피싱 메일과 악성 문서
메일에 첨부된 악성 문서에는 두 개의 OLE …