감염PC 정보 외부 유출하거나 추가적인 명령에 대기하는 악성파일 설치·실행

[보안뉴스 민세아] 한컴오피스 2014 제품의 문서파일 취약점을 이용한 악성파일이 지속적으로 발견되고 있어 해당 제품 이용자들의 각별한 주의가 요구된다.


▲ HWP 2014 취약점 공격절차(출처: 이스트소프트 알약 공식 블로그)

정보보안 전문 기업 이스트소프트는 해당 보안 취약점은 지난 9월 7일 한글과컴퓨터사에서 보안업데이트를 발표했으나 패치하지 않은 사용자들이 해당 취약점을 악용한 스피어피싱 공격에 여과없이 노출될 수 있으므로, 반드시 업데이트할 것을 권장하고 있다.

이스트소프트의 알약 공식 블로그에 따르면, 공격자는 취약점 모듈을 삽입한 한글(hwp) 문서파일을 첨부해 특정 대상자의 이메일 주소로 발송하는 스피어 피싱(Spear Phishing) 공격 기법을 사용하는 것으로 알려졌다.

스피어 피싱 공격은 예전부터 공격자들이 수없이 사용해온 고전적인 수법이지만, 취약점이 패치되지 않은 프로그램을 대상으로 한 제로데이(Zero-Day) 공격일 경우 매우 치명적이다.

이스트소프트가 분석한 공격에는 이력서를 가장한 문서파일이 사용됐다. 보안취약점이 존재하는 환경에서 이메일을 받은 사용자가 이력서 등의 첨부파일을 실행할 경우 svchost.exe 등의 시스템 정상 파일로 위장한 악성파일이 생성되고 실행된다.

svchost.exe 파일이 실행되면 hkcmd.exe로 위장한 추가적인 악성 파일을 임시폴더 경로에 생성한다. 생성된 hkcmd.exe 파일은 또 추가 배치파일을 생성하는데, 이 배치파일은 svchost.exe의 흔적을 지우는 역할을 한다.

svchost.exe와 hkcmd.exe는 모두 윈도우에서 필수적으로 사용되는 정상 파일이고, 악성 파일이 설치·실행된 후 실제 정상적인 문서파일도 함께 생성·실행되기 때문에 사용자가 이상행동을 알아차리기 힘들다.

hkcmd.exe파일은 시작프로그램에 등록되어 부팅 시 마다 자동으로 실행이 된다. 또한 감염된 컴퓨터의 정보를 수집하는 행위를 수행한다. 이들은 두 개의 IP주소로 접속해 정보를 외부로 유출하거나 추가적인 명령에 대기하는 것으로 드러났다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>