2020-05-31 13:01 (일)
한글 취약점 악용한 공격 계속…반드시 보안패치 적용!
상태바
한글 취약점 악용한 공격 계속…반드시 보안패치 적용!
  • 길민권
  • 승인 2012.08.14 17:16
이 기사를 공유합니다

한글과컴퓨터에서 제공하는 보안패치 반드시 적용해야 피해방지!
안랩에서 운영하는 ASEC 블로그에 14일 한글 취약점 악용한 공격 사례가 소개됐다. ASEC 관계자는 “그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들이 계속 발견되고 있다”며 “8월 13일, 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었다”고 경고했다.

 
해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로데이(0-Day) 취약점이 아니다.

 
해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다.
 
해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 이번에 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 SUCHOST.EXE (296,448 바이트) 파일을 생성하게 된다.
 
C:Documents and Settings[사용자 계정명]Local SettingsTempSUCHOST.EXE
 
생성된 SUCHOST.EXE (296,448 바이트) 파일은 다시 SxS.DLL (296,448 바이트) DLL 파일 1개를 생성하여 감염된 시스템에서 실행 중인 모든 프로세스에 스레드로 인젝션하게 된다.
 
C:Documents and SettingsAll UsersApplication DataSxS.DLL
C:Documents and SettingsAll UsersApplication DataSS.LOG
 
그리고 동일한 위치에 생성된 SS.LOG는 감염된 시스템에서 입력된 키로깅과 웹 사이트 접속 기록들을 보관하는 로그 파일이다.
 
생성한 SxS.DLL (296,448 바이트)을 시스템 재부팅시에도 자동 실행하기 위해 레지스트리에 다음 키를 생성하여 "Windows SxS Services"라는 명칭의 윈도우 서비스로 등록하여 실행하게 된다.
 
HKLMSYSTEMControlSet001ServicesSxSParametersServiceDll
"C:Documents and SettingsAll UsersApplication DataSxS.DLL"
 
그리고 레지스트리 키생성이 완료가 되면 최초 취약한 한글 파일에 의해 생성되었던 SUCHOST.EXE (296,448 바이트)을 삭제하게 된다.
 
SxS.DLL (296,448 바이트)에 의해 스레드 인젝션된 정상 svchost.exe 파일을 통해 홍콩에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 통신이 이루어지지 않았다.
 
정상적인 통신이 이루어지게 될 경우에는 감염된 시스템에서 입력되는 키보드 입력들을 가로채고 웹 사이트 접근을 모니터링 등 하는 일반적인 백도어 기능들을 수행하게 된다.
 
ASEC 관계자는 “HWP 사용자들은 한글과컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안”이라고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com