개요
트렌드마이크로(TREDN MICRO)는 *한글의 **포스트스크립트 코드 실행 기능을 악용한 악성 첨부파일 해킹 공격 발견
* 한글 : 한글과컴퓨터에서 개발한 워드프로세서 프로그램
** 포스트스크립트(PostScript) : 디지털 인쇄에 주로 사용되는 프로그래밍 언어
주요내용
해킹공격은 구버전 한글이 밀봉형 포스트스크립트* 코드를 부적절하게 처리하는 취약점을 악용
* 밀봉형 포스트스크립트(Encapsulated PostScrip, EPS) : 포스트스크립트언어에서 사용되는 그래픽 파일 포맷
공격자는 악성 포스트스크립트를 포함한 한글 첨부파일을 이용하여 구 버전 한글을 사용하는 시스템에 악성파일을 저장
해킹공격 세부 사항
악성 한글 첨부파일 중 일부는 “비트코인 정보”와 “사용인감계” 문서로 위장
|  |
이 공격은 PostScript는 파일 조작 기능을 이용하여 악성파일을 시작 폴더에 저장하고 사용자가 컴퓨터를 재부팅 할 때까지 기다림,
일부 첨부파일의 동작과정은 다음과 같음
1. 시작 폴더에 Javascript 파일을 실행하는 MSHTA.exe 파일의 바로 가기를 생성
2. 시작 폴더에 바로 가기를 생성하고 %Temp% 디렉토리의 DLL 파일을 생성, 이후 바로 가기는 DLL 파일을 실행하기 위해 rundll32.exe를 호출
3. 시작 폴더에 실행 파일을 생성
해결방법
최신 버전의 한글(2014)은 밀봉형 포스트스크립트의 처리를 올바르게 구현하여 해당 취약점이 존재하지 않으므로 2014이전 버전 이용자는 2014로 업그레이드 필요
[출처]
1. http://blog.trendmicro.com/trendlabs-security-intelligence/hangul-word-processor-postscript-abused-malicious-attachments/
'Security_News > 해외보안소식' 카테고리의 다른 글
| CCleaner 유틸리티, 기술회사 시스템 접근에 사용 (0) | 2017.09.29 |
|---|---|
| 웨스터모(Westermo)社 산업용 라우터, 치명적인 취약점 발견 (0) | 2017.09.28 |
| PC최적화 소프트웨어(CCleaner) 다운로드 서버 해킹, 230만 사용자 악성코드 감염 (0) | 2017.09.28 |
| Deloitte 해킹 - 사이버 공격으로 고객 이메일 노출 (0) | 2017.09.26 |
| 오라클 공개된 Apache Structs 취약점 패치 (0) | 2017.09.26 |