.gif)
2016년부터 2018년 현재까지 한글 파일 상당수 EPS 이용해 악성 기능 수행
EPS 취약점 익스플로잇으로 쉘코드 실행, 정상적인 문법 패턴 이용해 악성파일 생성
[보안뉴스 김경애 기자] 한글 워드프로세서를 대상으로 하는 악성 문서파일(*.HWP)이 지속적으로 제작·유포되고 있는 것으로 드러났다.
[이미지=iclickart]
안랩 분석팀에 따르면 2016년부터 2018년 말 현재(11월 22일)까지 접수된 악성 한글 파일 상당수는 EPS를 이용해 악성 기능을 수행한 것으로 분석됐다.
EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일이다. EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공한다.
악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성한다.
EPS를 이용한 2가지 유형의 악성 한글 파일은 2016년부터 계속 등장했다. 기존에는 시그니처 기반의 파일 탐지가 어려운 취약점 유형이 많았다면 현재는 드로퍼 유형이 더욱 자주 발견되는 추세다.
1. EPS 취약점 익스플로잇으로 쉘코드 실행
▲EPS 취약점 익스플로잇으로 쉘코드 실행[이미지=안랩]
첫번째 EPS 취약점은 EPS 파일 뷰어 또는 인터프리터 취약점을 익스플로잇해 쉘코드를 실행하는 유형이다. 올해 발견된 EPS 취약점 유형은 CVE-2017-8291이 대부분으로, 고스트스크립트 취약점이며, 9.21 버전 이하에서 동작한다. 한글 프로그램에 포함된 고스트스크립트는 버전이 8.6 또는 8.71로 취약하다.
한글 프로그램의 최신 보안 업데이트 이후에는 위에서 언급한 ‘<한글프로그램설치경로>\Bin\ImgFilters\GS’ 디렉토리 자체가 삭제된다. 이 디렉토리가 있는 시스템은 반드시 업데이트를 해야 한다.
2. 정상적인 문법 패턴을 이용해 악성 파일 생성
▲정상적인 문법 패턴을 이용해 악성 파일 생성[이미지=안랩]
다음으로 악성 파일을 생성하는 유형은 정상적인 포스트스크립트 실행을 이용한다. 공격자는 파일 객체를 생성하고 접근할 수 있는 특성을 이용하는데, readhexstring, writefile 등의 명령어를 이용해 로컬에 파일을 생성한다. 공격자는 메모리에서 파일을 드롭하기 때문에 백신 제품에서 탐지될 가능성이 높아 여러 개의 파일을 생성 및 조합해 최종 악성 실행 파일을 생성하도록 만들었다. 이는 최근 발견된 동작 방식으로 이용자는 한글 프로그램의 최신 보안 업데이트 이후 ‘<한글프로그램설치경로>\Bin\ImgFilters\GS’ 디렉토리 자체가 삭제되기 때문에 이 디렉토리가 있는 시스템은 반드시 업데이트를 해야 한다.
[이미지=안랩]
이와 관련 안랩 측은 “EPS 파일을 악의적으로 만들어 한글 문서에 포함하게 되면 문서 파일 실행 시 악성 기능이 실행된다”며 “특히, EPS 파일을 이용한 한글 문서 악성 파일은 정부나 학교 등 공공기관, 금융관련 기업, 주요 민간 인사 등을 노린 타깃형 공격이 많기 때문에 민감 정보가 유출될 가능성이 크고 피해 규모 역시 크다. 따라서 한글 프로그램 이용자는 보안 업데이트를 통해 피해 예방을 해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
EPS 취약점 익스플로잇으로 쉘코드 실행, 정상적인 문법 패턴 이용해 악성파일 생성
[보안뉴스 김경애 기자] 한글 워드프로세서를 대상으로 하는 악성 문서파일(*.HWP)이 지속적으로 제작·유포되고 있는 것으로 드러났다.
[이미지=iclickart]
안랩 분석팀에 따르면 2016년부터 2018년 말 현재(11월 22일)까지 접수된 악성 한글 파일 상당수는 EPS를 이용해 악성 기능을 수행한 것으로 분석됐다.
EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일이다. EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공한다.
악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성한다.
EPS를 이용한 2가지 유형의 악성 한글 파일은 2016년부터 계속 등장했다. 기존에는 시그니처 기반의 파일 탐지가 어려운 취약점 유형이 많았다면 현재는 드로퍼 유형이 더욱 자주 발견되는 추세다.
1. EPS 취약점 익스플로잇으로 쉘코드 실행
▲EPS 취약점 익스플로잇으로 쉘코드 실행[이미지=안랩]
첫번째 EPS 취약점은 EPS 파일 뷰어 또는 인터프리터 취약점을 익스플로잇해 쉘코드를 실행하는 유형이다. 올해 발견된 EPS 취약점 유형은 CVE-2017-8291이 대부분으로, 고스트스크립트 취약점이며, 9.21 버전 이하에서 동작한다. 한글 프로그램에 포함된 고스트스크립트는 버전이 8.6 또는 8.71로 취약하다.
한글 프로그램의 최신 보안 업데이트 이후에는 위에서 언급한 ‘<한글프로그램설치경로>\Bin\ImgFilters\GS’ 디렉토리 자체가 삭제된다. 이 디렉토리가 있는 시스템은 반드시 업데이트를 해야 한다.
2. 정상적인 문법 패턴을 이용해 악성 파일 생성
▲정상적인 문법 패턴을 이용해 악성 파일 생성[이미지=안랩]
다음으로 악성 파일을 생성하는 유형은 정상적인 포스트스크립트 실행을 이용한다. 공격자는 파일 객체를 생성하고 접근할 수 있는 특성을 이용하는데, readhexstring, writefile 등의 명령어를 이용해 로컬에 파일을 생성한다. 공격자는 메모리에서 파일을 드롭하기 때문에 백신 제품에서 탐지될 가능성이 높아 여러 개의 파일을 생성 및 조합해 최종 악성 실행 파일을 생성하도록 만들었다. 이는 최근 발견된 동작 방식으로 이용자는 한글 프로그램의 최신 보안 업데이트 이후 ‘<한글프로그램설치경로>\Bin\ImgFilters\GS’ 디렉토리 자체가 삭제되기 때문에 이 디렉토리가 있는 시스템은 반드시 업데이트를 해야 한다.
[이미지=안랩]
이와 관련 안랩 측은 “EPS 파일을 악의적으로 만들어 한글 문서에 포함하게 되면 문서 파일 실행 시 악성 기능이 실행된다”며 “특히, EPS 파일을 이용한 한글 문서 악성 파일은 정부나 학교 등 공공기관, 금융관련 기업, 주요 민간 인사 등을 노린 타깃형 공격이 많기 때문에 민감 정보가 유출될 가능성이 크고 피해 규모 역시 크다. 따라서 한글 프로그램 이용자는 보안 업데이트를 통해 피해 예방을 해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
