check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

“토렌트로 받은 불법 한글 HWP2017 주의…좀비 PC될 수 있다”

감염될 경우 대부분 원격제어 기능에 노출되어 좀비 PC로 전락할 수 있어 주의

길민권 기자 mkgil@dailysecu.com 2017년 11월 20일 월요일

▲ 토렌트 사이트에 등록된 화면. 이스트시큐리티 제공
▲ 토렌트 사이트에 등록된 화면. 이스트시큐리티 제공
지난 11월 13일부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요하다. 이 프로그램을 사용할 경우 좀비 PC가 될 수 있다.

실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군이다.

토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있다.

우선 공격자는 새벽시간 토렌트 사이트에 다음과 같이 2종류의 한글 제목으로 글을 게시했다.

다운로드된 '한글2017 HWP2017.zip' 압축 파일의 용량은 대략 280Mb 정도로 얼핏 보기에는 고용량의 정상 소프트웨어로 착각하기 쉽다.

공격자는 지능적으로 용량을 적절하게 지정해 이용자들이 보다 쉽게 신뢰하도록 만들었다.

토렌트로 배포된 압축 파일에는 정상적인 문서작성 프로그램처럼 보이도록 하기 위해 정상 파일을 함께 포함시켜 두었다.

아래 이미지를 보면 'HWP2017.exe' 파일만 수정한 날짜가 2017년 11월 13일이라는 것을 알 수 있다.

▲ 배포된 압축 프로그램 내부. 이스트시큐리티 제공.
▲ 배포된 압축 프로그램 내부. 이스트시큐리티 제공.
압축을 해제하면 두 개의 실행프로그램이 상위폴더에 존재하고 'HWP2017.exe' 파일이 메인 파일로 보이도록 만들어 두었다. 실제 이 파일이 악의적인 기능을 수행하게 되는 악성파일이다.

이용자가 압축을 해제 후에 'HWP2017.exe' 파일을 실행하면 시스템 드라이브 최상위 경로에 'hwp' 폴더를 생성하고 그 내부에 'hwp.exe', 'hwp.exe.config' 파일을 생성하고 실행하게 된다.

그리고 'C:\Users\사용자계정\AppData\Roaming' 경로에 Watchdog Protection 기능의 'hdog.exe', 'hdong.exe.config' 파일을 생성하고 실행한다. 이 파일은 'hwp.exe' 파일의 프로세스가 종료되지 않도록 모니터링 및 런처 기능을 수행하게 된다.

따라서 해당 악성파일을 제대로 제거하기 위해서는 먼저 'hdog.exe' 파일의 프로세스를 먼저 종료하고 그 다음에 'hwp.exe' 프로세스를 종료하는 순서가 필요하다.

이 악성파일은 Orcus RAT 서버파일로 공격자는 원격제어 기능을 탑재해 문서작성 프로그램처럼 위장해 유포한 것이다. 이 RAT 종류는 독일에서 제작된 것으로 알려져 있으며 한국에서도 악용 사례가 꾸준히 보고되고 있다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 “이 RAT 종류에 감염될 경우 대부분의 원격제어 기능에 노출되어 좀비 PC로 전락하게 된다. 공격자는 명령제어 서버(C2) '211.110.35.168' 한국(KR) 호스트로 접속 대기를 유지하며 접속이 완료되면 감염 컴퓨터를 원격제어하여 개인정보 탈취 및 다양한 피해를 준다”며 “토렌트로 배포되는 불법 소프트웨어에는 은밀하게 악성파일이 숨겨져 있는 경우가 많아 자신도 모르게 좀비 PC로 전락하는 피해를 입을 수가 있다. 따라서 상용 소프트웨어는 반드시 정품을 사용하고 비정상적인 프로그램은 절대 실행하지 않는 것이 중요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록