실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군이다.
토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있다.
우선 공격자는 새벽시간 토렌트 사이트에 다음과 같이 2종류의 한글 제목으로 글을 게시했다.
다운로드된 '한글2017 HWP2017.zip' 압축 파일의 용량은 대략 280Mb 정도로 얼핏 보기에는 고용량의 정상 소프트웨어로 착각하기 쉽다.
공격자는 지능적으로 용량을 적절하게 지정해 이용자들이 보다 쉽게 신뢰하도록 만들었다.
토렌트로 배포된 압축 파일에는 정상적인 문서작성 프로그램처럼 보이도록 하기 위해 정상 파일을 함께 포함시켜 두었다.
아래 이미지를 보면 'HWP2017.exe' 파일만 수정한 날짜가 2017년 11월 13일이라는 것을 알 수 있다.
이용자가 압축을 해제 후에 'HWP2017.exe' 파일을 실행하면 시스템 드라이브 최상위 경로에 'hwp' 폴더를 생성하고 그 내부에 'hwp.exe', 'hwp.exe.config' 파일을 생성하고 실행하게 된다.
그리고 'C:Users사용자계정AppDataRoaming' 경로에 Watchdog Protection 기능의 'hdog.exe', 'hdong.exe.config' 파일을 생성하고 실행한다. 이 파일은 'hwp.exe' 파일의 프로세스가 종료되지 않도록 모니터링 및 런처 기능을 수행하게 된다.
따라서 해당 악성파일을 제대로 제거하기 위해서는 먼저 'hdog.exe' 파일의 프로세스를 먼저 종료하고 그 다음에 'hwp.exe' 프로세스를 종료하는 순서가 필요하다.
이 악성파일은 Orcus RAT 서버파일로 공격자는 원격제어 기능을 탑재해 문서작성 프로그램처럼 위장해 유포한 것이다. 이 RAT 종류는 독일에서 제작된 것으로 알려져 있으며 한국에서도 악용 사례가 꾸준히 보고되고 있다.
이스트시큐리티 시큐리티대응센터(ESRC) 측은 “이 RAT 종류에 감염될 경우 대부분의 원격제어 기능에 노출되어 좀비 PC로 전락하게 된다. 공격자는 명령제어 서버(C2) '211.110.35.168' 한국(KR) 호스트로 접속 대기를 유지하며 접속이 완료되면 감염 컴퓨터를 원격제어하여 개인정보 탈취 및 다양한 피해를 준다”며 “토렌트로 배포되는 불법 소프트웨어에는 은밀하게 악성파일이 숨겨져 있는 경우가 많아 자신도 모르게 좀비 PC로 전락하는 피해를 입을 수가 있다. 따라서 상용 소프트웨어는 반드시 정품을 사용하고 비정상적인 프로그램은 절대 실행하지 않는 것이 중요하다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
