Information

이지시큐 정보센터

한글문서에서 자료연결 기능 악용한 국내 표적 공격 발견

최신동향
작성자
이지시큐
작성일
2017-11-07 09:40
조회
330
한글 프로그램의 정상 기능 악용...국내 사용자 타깃으로 한 표적 공격

[보안뉴스 김경애 기자] 최근 한글 문서에서 ‘자료연결’ 기능을 악용한 국내 표적 공격이 발견돼 사용자들의 주의가 요구된다.

보안전문기업 하우리에 따르면 이번 표적 공격에 사용된 악성 한글(HWP) 문서 파일은 ‘자료연결’ 기능 중 ‘외부 어플리케이션 문서’에 모든 파일이 지정 가능한 점과 OLE 개체삽입 시 개체가 임시폴더에 생성되는 점을 악용했다.

공격자는 한글의 OLE 개체삽입 기능을 사용해 문서에 악성 스크립트(VBScript)를 삽입했다. 이후 ‘자료연결’ 대상에 해당 스크립트의 경로(임시폴더)를 상대 경로 방식으로 지정했다. 사용자가 한글 문서를 열람하면 삽입된 악성 스크립트는 임시폴더에 생성되며, ‘자료연결’이 설정된 본문을 클릭할 경우 해당 스크립트가 실행되어 동작한다.

동작한 악성 스크립트는 특정 경로에 악성코드를 생성하고 실행한다. 최종 악성코드는 윈도우 명령 처리기(CMD.EXE)에 인젝션되어 동작하며, 감염PC의 정보를 수집하는 등 백도어 행위를 수행한다.


...(하략)...

출처 : 보안뉴스(http://www.boannews.com/media/view.asp?idx=57888&page=1&kind=1)
error: Content is protected !!