* 출처는 안랩입니다.
최근 사이버 공격자들은 특정 기관 및 종사자를 표적으로 삼은 맞춤형 공격을 지속적으로 시도하고 있다. 지난 3월 초에는 통일 관련 주제를 악용해 사용자의 악성 파일 실행을 유도하는 사례가 발견됐다. 안랩에 따르면, 이번 공격은 한글 문서(HWP) 또는 윈도우 도움말 파일(CHM)을 통해 악성코드를 유포하는 방식으로 이루어졌다. 공격자는 문서 형태로 위장한 악성 파일을 배포해 사용자 정보를 탈취하고, 추가 악성코드를 설치해 장기적인 공격을 수행할 기반을 마련하고 있다.
이번 글에서는 통일 교육 지원서를 사칭한 한글 문서와 통일 관련 종사자를 노린 도움말 파일을 이용한 공격 사례를 분석하고, 대응 방안을 제시한다.
1. 통일 교육 지원서로 위장한 악성 한글 문서
지난 3월 5일, 안랩은 통일 관련 교육 수강생 모집 게시 글에서 악성 한글 문서를 다운로드하는 링크를 발견했다. 해당 게시 글에는 JPG, HWP, DOC 파일을 다운로드할 수 있는 링크가 포함되어 있었으며, 이 중 HWP 형식의 파일이 악성코드를 포함한 문서로 확인됐다.
[그림 1] 게시 글 하단에 존재하는 다운로드 링크
다운로드된 한글 문서 내부에는 정상적인 문서 파일과 함께 악성 BAT 파일을 비롯한 여러 파일이 포함돼 있다. 사용자가 한글 문서를 실행하면 TEMP 폴더에 [표 1]의 파일들을 생성한다.
|
파일명 |
설명 |
|
hwp_doc.db |
정상 문서 |
|
app.db |
정상 실행 파일(EXE) |
|
mnfst.db |
악성 명령어가 포함된 설정파일 |
|
mnfst_1.db |
악성 명령어가 포함된 설정파일 |
|
sch_0304.db |
작업이 정의된 악성 XML 파일 |
|
sch_0304_1.db |
작업이 정의된 악성 XML 파일 |
|
document.bat |
악성 BAT 파일 |
|
get.db |
악성 BAT 파일 |
[표 1] TEMP 경로에 생성되는 파일
문서 본문에는 마치 한글 문서가 첨부된 것처럼 보이지만, 각 문자열에는 모두 동일한 하이퍼링크(상대 경로)가 삽입돼 있다.
[그림 2] 문서 본문 내용
[그림 3] 삽입된 하이퍼링크
위 하이퍼링크를 통해 실행되는 document.bat 파일은 아래와 같은 행위를 통해 악성코드가 지속적으로 동작할 수 있도록 하며, 사용자가 악성 행위를 잘 알아채지 못하게 한다.
document.bat 파일의 주요 기능은 다음과 같다.
- 추가 파일들의 파일명 및 경로 변경
- 작업 스케줄러 등록
- 정상 문서 실행을 통한 위장
[그림 4] 실행되는 정상 문서 내용
[그림 5] 생성된 작업 스케줄러
document.bat 파일에 의해 서비스로 등록돼 동작하는 0304.exe과 0304_1.exe 파일은 각각 동일한 폴더에 존재하는 0304.exe.manifest 와 0304.exe_1.manifest 파일을 읽어 실행한다. 각 파일의 기능은 [표 2]와 같다.
|
파일명 |
기능 |
|
0304.exe.manifest (mnfst.db) |
c:\users\public\music\0304.bat (get.db) 실행 |
|
0304_1.exe.manifest (mnfst_1.db) |
c:\users\public\music\wis.db 파일을 wins.bat 파일명으로 변경 후 실행 |
[표 2] 실행되는 악성 파일의 기능
최종적으로 해당 악성코드는 외부 URL에 접속해 추가 악성 파일을 다운로드 및 실행하며, 공격자의 의도에 따라 다양한 명령어가 실행될 수 있다.
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/35798
![[네이버] 레노버 노트북 슬림3 램16GB NVME256GB (혜택가 48만원대)](https://img.danawa.com/images/attachFiles/6/777/5776820_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
