본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
악성 첨부파일 해킹공격에 악용되는 한글 워드프로세서 및 포스트스크립트2017.09.27
개요
  • 트렌드마이크로(TREDN MICRO)는 *한글의 **포스트스크립트 코드 실행 기능을 악용한 악성 첨부파일 해킹 공격 발견
    * 한글 : 한글과컴퓨터에서 개발한 워드프로세서 프로그램
    ** 포스트스크립트(PostScript) : 디지털 인쇄에 주로 사용되는 프로그래밍 언어
     


  

주요내용

 

  • 해킹공격은 구버전 한글이 밀봉형 포스트스크립트* 코드를 부적절하게 처리하는 취약점을 악용
    * 밀봉형 포스트스크립트(Encapsulated PostScrip, EPS) : 포스트스크립트언어에서 사용되는 그래픽 파일 포맷
  1. 공격자는 악성 포스트스크립트를 포함한 한글 첨부파일을 이용하여 구 버전 한글을 사용하는 시스템에 악성파일을 저장


 해킹공격 세부 사항
 
  • 악성 한글 첨부파일 중 일부는 “비트코인 정보”와 “사용인감계” 문서로 위장
<그림 1,2 악성 한글 첨부파일 샘플>
거래번호, 지갑주소, 상대방 지갑주소 사용인감계
 
  • 이 공격은 PostScript는 파일 조작 기능을 이용하여 악성파일을 시작 폴더에 저장하고 사용자가 컴퓨터를 재부팅 할 때까지 기다림, 일부 첨부파일의 동작과정은 다음과 같음
     
    1. 시작 폴더에 Javascript 파일을 실행하는 MSHTA.exe 파일의 바로 가기를 생성
    2. 시작 폴더에 바로 가기를 생성하고 %Temp% 디렉토리의 DLL 파일을 생성, 이후 바로 가기는 DLL 파일을 실행하기 위해 rundll32.exe를 호출
    3. 시작 폴더에 실행 파일을 생성
<그림 3. 한글 파일 내 악성코드 샘플>
한글 파일 내 악성코드 샘플

 
 

해결방법

 

  • 최신 버전의 한글(2014)은 밀봉형 포스트스크립트의 처리를 올바르게 구현하여 해당 취약점이 존재하지 않으므로 2014이전 버전 이용자는 2014로 업그레이드 필요
 


[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/hangul-word-processor-postscript-abused-malicious-attachments/


작성 : 침해대응단 상황관제팀
키워드 워드프로세서 , 포스트스크립트