HWP 취약점과 스테가노그래피 이용한 악성코드 발견

7.6일 이스트시큐리티는 '한국 방산업체 망 분리 관련 요청사항'을 사칭한 스피어 피싱 메일이 발견됐다며 주의를 당부했다. 내용상 방위산업 관련 대상을 노린 APT 공격으로 추정했다.

악성코드는 첨부된 hwp 문서파일을 통해 실행된다. 이번에 이용된 hwp 취약점은 제로데이 취약점이 아니라 이미 공개되고 패치된 취약점이다. 따라서 업데이트를 잘 한 사용자는 안전하다.

주목할 점은 스테가노그래피 기법을 이용한 것으로 보인다는 점이다. 이스트시큐리티의 분석가는 “문서 스트림 내부에 XOR 코드로 암호화된 포스트스크립트 셸코드가 작동하면 BMP 이미지 포맷에 정교하게 숨겨져 있던 악성 모듈이 실행된다”고 설명했다.

풀어 쓰자면 그림 파일에 스테가노그래피로 악성코드를 숨겨놓고, hwp 문서에 있는 스크립트로 이 악성코드를 추출하여 실행한다는 것이다.

스테가노그래피는 파일 확장명을 단순히 위장하는 데서 한걸음 더 나아가, 다른 파일 속에 완전히 숨겨 놓는 기법이다. 아직 악성코드 유포 수단으로는 많이 쓰이지는 않고 있다.


관련 자료

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다