세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
“EPS 취약점 공격, 현재도 공공기관과 기업 노려”
  |  입력 : 2018-11-23 11:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2016년부터 2018년 현재까지 한글 파일 상당수 EPS 이용해 악성 기능 수행
EPS 취약점 익스플로잇으로 쉘코드 실행, 정상적인 문법 패턴 이용해 악성파일 생성


[보안뉴스 김경애 기자] 한글 워드프로세서를 대상으로 하는 악성 문서파일(*.HWP)이 지속적으로 제작·유포되고 있는 것으로 드러났다.

[이미지=iclickart]


안랩 분석팀에 따르면 2016년부터 2018년 말 현재(11월 22일)까지 접수된 악성 한글 파일 상당수는 EPS를 이용해 악성 기능을 수행한 것으로 분석됐다.

EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일이다. EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공한다.

악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성한다.

EPS를 이용한 2가지 유형의 악성 한글 파일은 2016년부터 계속 등장했다. 기존에는 시그니처 기반의 파일 탐지가 어려운 취약점 유형이 많았다면 현재는 드로퍼 유형이 더욱 자주 발견되는 추세다.

1. EPS 취약점 익스플로잇으로 쉘코드 실행

▲EPS 취약점 익스플로잇으로 쉘코드 실행[이미지=안랩]


첫번째 EPS 취약점은 EPS 파일 뷰어 또는 인터프리터 취약점을 익스플로잇해 쉘코드를 실행하는 유형이다. 올해 발견된 EPS 취약점 유형은 CVE-2017-8291이 대부분으로, 고스트스크립트 취약점이며, 9.21 버전 이하에서 동작한다. 한글 프로그램에 포함된 고스트스크립트는 버전이 8.6 또는 8.71로 취약하다.

한글 프로그램의 최신 보안 업데이트 이후에는 위에서 언급한 ‘<한글프로그램설치경로>\Bin\ImgFilters\GS’ 디렉토리 자체가 삭제된다. 이 디렉토리가 있는 시스템은 반드시 업데이트를 해야 한다.

2. 정상적인 문법 패턴을 이용해 악성 파일 생성

▲정상적인 문법 패턴을 이용해 악성 파일 생성[이미지=안랩]


다음으로 악성 파일을 생성하는 유형은 정상적인 포스트스크립트 실행을 이용한다. 공격자는 파일 객체를 생성하고 접근할 수 있는 특성을 이용하는데, readhexstring, writefile 등의 명령어를 이용해 로컬에 파일을 생성한다. 공격자는 메모리에서 파일을 드롭하기 때문에 백신 제품에서 탐지될 가능성이 높아 여러 개의 파일을 생성 및 조합해 최종 악성 실행 파일을 생성하도록 만들었다. 이는 최근 발견된 동작 방식으로 이용자는 한글 프로그램의 최신 보안 업데이트 이후 ‘<한글프로그램설치경로>\Bin\ImgFilters\GS’ 디렉토리 자체가 삭제되기 때문에 이 디렉토리가 있는 시스템은 반드시 업데이트를 해야 한다.

[이미지=안랩]


이와 관련 안랩 측은 “EPS 파일을 악의적으로 만들어 한글 문서에 포함하게 되면 문서 파일 실행 시 악성 기능이 실행된다”며 “특히, EPS 파일을 이용한 한글 문서 악성 파일은 정부나 학교 등 공공기관, 금융관련 기업, 주요 민간 인사 등을 노린 타깃형 공격이 많기 때문에 민감 정보가 유출될 가능성이 크고 피해 규모 역시 크다. 따라서 한글 프로그램 이용자는 보안 업데이트를 통해 피해 예방을 해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술