[Security issues & Technology trends] 취약점 CVE - 2018 - 15982 를 이용한 악성 한글문서의 등장

 

 

9/4 ) 취약점 CVE - 2018 - 15982 를 이용한 악성 한글문서의 등장

 

문서에 삽입된 OLE 개체[자료=보안뉴스, 안랩]

 

 요즘 한글 파일의 프로필 양식으로 위장하여 OLE 개체를 삽입하는 악성 한글문서가 이슈가 되고 있다. 여기서 OLE 개체란 Object Linking and Embedding의 약자로, 개체의 연결 및 삽입과 응용 프로그램 간 자료교환을 의미한다. 관련 악성 한글문서는 플래시 취약점인 CVE - 2018 - 15982 를 이용하였고, 본 플래시 취약점이 발견된 2020년 때와 동일한 악성 URL을 사용한다. 전문가들의 분석 결과 공격자가 악성 한글파일 내부에 존재하는 OLE 개체를 보이지 않게 하기 위해 위의 그림처럼 흰색 이미지를 배치하였다는 것이 알려졌다. 문서에 들어있는 개체 중 hword.exe와 hwp.exe같은 파일들의 경우 문서가 실행되면 %TEMP% 폴더에 생성되는데, 이때 기존 파일들을 사용하지 않고 %TEMP% 경로에 복사되어 행위탐지 기능을 우회했다.

 

 프로필 양식뿐 아니라 개인정보 수집용 양식으로 위장한 악성 문서가 발견되기도 하였는데, 이 문서 또한 위와 같이 OLE 개체를 포함한 악성 문서이다. 안랩의 분석팀의 조사에 따르면 이 문서에는 연락처 칸을 제외한 모든 부분에 하이퍼링크가 설정되어있으며, 사용자가 이를 클릭할 시 명렬어가 실행되는 구조이다.

 

 위의 두 사례처럼 과거에 발견되었고, 사용되었던 취약점들을 이용하여 공격을 수행한 경우가 많아 사용자의 주의가 필요하다. 다양한 취약점을 이용한 공격을 예방하기 위해서는 출처를 알 수 없거나 신뢰할 수 없는 파일이나 문서의 실행을 지양해야 한다. 더 나아가 현재 사용하고 있는 응용 프로그램 및 보안 프로그램들을 항상 최신 버전으로 유지하여 높은 수준의 보안을 유지해야 한다.

 

 

 

참고 자료 :

[보안뉴스] "프로필 양식으로 위장해 OLE 개체 삽입한 악성 한글문서 주의!"_보안뉴스 김경애 기자_2022-09-02

https://www.boannews.com/media/view.asp?idx=109538&page=1&mkind=1&kind=1

 

[동아일보] "OLE란 개체 연결 및 삽입 기능"_PC라인 제공_2009-09-23 최종 수정

https://www.donga.com/news/It/article/all/20000121/7502111/1