보안정보

금융보안원 사칭한글취약점HWP취약점

금융보안원 사칭 한글 악성코드

침해사고분석팀 2017.08.11

금융 보안원을 사칭한 HWP 악성파일 유포

 

 

 

 

[출처: 금융보안원 ( http://www.fsec.or.kr/user/bbs/fsec/21/13/bbsDataView/908.do )]

 

 

'2017 금융보안 표준화 수요조사 안내'  란 문서를 가장한 악성코드가 등장했다.

금융보안원(원장 허창언)은 기관에서 제작한 한글 파일 내을 이용한 악성코드가 유포돼 주의를 당부했다. 

금보원은 '표준화 수요조사 안내문'이 첨부된 이메일 수신시 첨부파일 다운로드와 실행에 각별한 주의를 요구했다. 관련 이메일은 삭제한다. 

한컴 오피스가 최신 버전이면 파일을 실행해도 악성코드에 감염되지 않는다. 최신 버전 업데이트가 시급하다. 금보원은 악성코드 감염 예방 수칙 준수를 당부했다.

 

[출처: 금융보안원 ( http://www.fsec.or.kr/user/bbs/fsec/21/13/bbsDataView/908.do )]

 

 

 

► Sniper 제품군 대응 현황

 

Sniper-IPS 

[3619] HWP Malformed PostScript Injection

[3620] HWP Malformed PostScript Injection.A

[3621] HWP Malformed PostScript Injection.B

[3622] HWP Malformed PostScript Injection.C

 

Sniper-UTM

[805374183] HWP Malformed PostScript Injection

[805374184] HWP Malformed PostScript Injection.A

[805374185] HWP Malformed PostScript Injection.B

[805374186] HWP Malformed PostScript Injection.C

 

Sniper-APTX

[2806] HWP Malformed PostScript Injection

[2807] HWP Malformed PostScript Injection.A

[2808] HWP Malformed PostScript Injection.B

[2809] HWP Malformed PostScript Injection.C

 

[Dynamic Sanbox 분석결과 100% 악성탐지]

 

 

 

 

► 금융보안표준화수요조사안내.HWP 분석 (HWP Malformed PostScript Injection 취약점)

 

            정상 금융보안표준화수요조사안내.HWP                                 악성 금융보안표준화수요조사안내.HWP

 

HWP Malformed PostScript Injection공격은 정상적인 문서 파일을 보여줌과 동시에 정보 유출형 악성파일을 시스템에 생성 및 실행한다. 
메일을 통해 금융기관을 사칭한 한글문서로 위장해 유포되며, 가상머신 환경에서는 악성 행위가 동작하지 않는다.
임의의 TMP 파일에 난독화된 악성 Post Script가 삽입되어 있다.

 

예)
gseF21B.tmp
gstF3A1.tmp
gseF48C.tmp

 

난독화된 Post Script를 이용해 한글 취약점을 이용해 추가 악성코드를 Drop하고, 사용자 정보를 탈취한다.

이번 ' '파일에서는 다음과 같이 tmp파일을 통해 쉘스크립트를 삽입해 postscript  취약점을 악용하였다.

 

1. BIN00001.ps

원본 [c:UserswsecAppdataLocalTempgstF21B.tmp]
스크립트 변조구문[-dNOPAUSE -dBATCH -dSAFER -q -r300 -sDEVICE=emf -sOutputFile="C:UserswsecAppDataLocalTempgseF21B.tmp" "C:UserswsecAppDataLocalTempHncBinDataEMB000003600df4.ps"] 
변조된스크립트[c:UserswsecAppdataLocalTempHncBinDataEMB000003600df4.ps]

2. BIN00002.ps

원본 [c:UserswsecAppdataLocalTempgstF3A1.tmp]
스크립트 변조구문 [<<
/PageSize [ 4000 4000 ]
 /PageOffset [ 2000 -2000 ]
>>
 setpagedevice]
변조된스크립트[c:UserswsecAppdataLocalTempHncBinDataEMB000003600df5.ps]

3. BIN00003.ps

원본[c:UserswsecAppdataLocalTempgsaF48C.tmp]
스크립트 변조구문 [-dNOPAUSE -dBATCH -dSAFER -q -r300 -sDEVICE=emf -sOutputFile="C:UserswsecAppDataLocalTempgseF48C.tmp" "C:UserswsecAppDataLocalTempHncBinDataEMB000003600df6.ps"]
변조된 스크립트 [c:UserswsecAppdataLocalTempHncBinDataEMB000003600df6.ps]

 

 

 

► 취약시스템

-HWP 2002 5.7.9.3052 and previous versions
-HWP 2004 6.0.5.770 and previous versions
-HWP 2005 6.7.10.1067 and previous versions
-HWP 2007 7.5.12.623 and previous versions

 

► 위험도

CVSS Score:7.3
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

 

► 해결방안

1. 의심스러운 메일의 첨부파일을 열어보지 않는다.
2. 한글 소프트웨어를 최신버전으로 업데이트 한다.
http://www.hancom.com/cs_center/csDownload.do
목록