Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보스크립트 파일 형태로 악성코드 유포
작성일 2020-07-15 조회 311

1. 개요

최근 WSF(Windows Script File)의 형태로 악성코드가 유포되고 있다. WSF는 Python, JScript, VBScipt와 같은 스크립트 언어를 혼합할 수 있는 파일 형식이며, WSH(WIndows Script Host)를 통해 실행된다. 이번에 발견된 악성 스크립트 파일은 JScript 언어로 작성되었으며, 실행 시 코로나 관련 내용이 작성된 HWP 파일이 열린다. 그리고 악성 DLL 파일이 실행되면 C2 서버로 PC 정보를 전송하거나 추가 악성 파일을 다운로드받는 등의 악의적인 행위가 실행된다. 

 

 

COVID-19.hwp

[그림 1] 정상 HWP 파일

 

 

 

2. 악성행위

스크립트 파일 내부에는 Base64로 인코딩된 정상 'COVID-19.hwp' 파일과 악성 DLL 파일인 'romanet.ft'을 포함하고 있다. 스크립트 실행 시, Base64 디코딩을 통해 ProgramData 디렉터리에 COVID-19.hwp와 romanet.ft 파일을 드롭한다. ProgramData 디렉터리가 없을 경우 Windows 디렉터리에 생성한다. romanet.ft 파일은 Windows 기본 프로그램인 regsvr32.exe을 통해 실행된다. 

 

 

HWP 파일과 DLL 파일 생성

[그림 2] 정상 HWP 파일과 악성 DLL 파일 생성

 

 

 

실행된 romanet.ft 파일은 먼저 patch.dll 파일이 regsvr32.exe을 통해 실행되도록 하는 커맨드 명령어를 레지스트리에 자동실행등록을 한다. 

 

 

자동실행등록

[그림 3] 자동실행등록

 

 

 

현재 실행되는 DLL의 파일명이 patch.dll 인지 여부를 확인 후 아닐 경우 patch.dll라는 파일명으로 파일을 복제한다.

 

이후 실행되고 있던 DLL 파일인 romanet.ft을 지우는 BAT 파일을 생성하고, 실행하여 기존 DLL 파일과 BAT 파일을 삭제한다. 복제된 DLL 파일은 regsvr32.exe를 이용하여 실행된다.

 

 

patch.dll 생성

[그림 4] patch.dll 생성

 

BAT 파일

[그림 5] BAT 파일

 

 

 

사용자 동의 없이 관리자 권한을 사용하기 위해 레지스트리에서 UAC 기능 중 권한 상승 확인과 Secure Desktop 기능을 비활성화하도록 수정한다.

 

 

UAC와 Secure Desktop 기능 비활성화

[그림 6] UAC와 Secure Desktop 기능 비활성화

 

 

 

감염 PC로부터 공격자는 감염 PC 구분을 위해 고유 식별번호인 MAC주소, OS 정보 등을 전달받는다. 그리고 C2 서버로부터 악성 파일을 다운로드받아 Temp 디렉터리에 저장 후 실행한다.

 

현재 C2 통신이 원활하지 않아 이후 행위에 대해 확인은 어렵지만, 추후 다운로드된 파일을 통해 추가적인 악성 행위가 진행될 것으로 판단된다.

 

chanel-love.org-help.com/temp/reading.php?userid=step_ok
chanel-love.org-help.com//?m=a&p1=[MAC 주소]
chanel-love.org-help.com//?m=a&p1=
[MAC 주소]&p2=Win6.1.7601x86-Dropper-v3382363
chanel-love.org-help.com///?m=e&p1=[MAC 주소]&p2=a&p3=9fd426cfb475c3487047c2b17a56d8e3e0942d31

 

 

 

3. APTX 탐지 현황

현재 윈스의 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

APTX 탐지/분석 보고서

[그림 7] APTX 탐지/분석 보고서

 

 

 

4. IOC

COVID-19.hwp.wsf
586e15ba298ebf5905895c08dea66224

 

path.dll
58a004bda71f023273c058718bf661a3

 

chanel-love[.]org-help[.]com

 

 

첨부파일 첨부파일이 없습니다.
태그 WSF  COVID-19.hwp  path.dll