Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보북한 2018년 신년사 분석.hwp로 위장한 한글 악성코드
작성일 2018-01-12 조회 808

최근 '북한 2018년 신년사 분석'이라는 이름의 악성 한글 문서가 유포되고 있다. 북한 관련 이슈를 가장한 악성코드는 지난 해 초에도 '17년 북한 신년사 분석'으로 유포된 경력이 있으며 앞으로 평창 올림픽, 금융, 가상 화폐, 지방 선거 등 사회적 이슈를 가장한 악성코드들이 추가로 유포될 수 있기 때문에 사용자들의 각별한 주의가 필요하다.

 

이번에 유포된 한글 문서에 삽입된 EPS 개체의 취약점을 이용한 악성코드로 문서 열람 시 EPS 개체 내 악성코드 제작자가 제작한 임의의 코드가 실행된다. EPS는 Encapsulated PostScript의 약자로 화면상에 그래픽 요소를 출력하는 용도로 제작된 언어로 특정 개체 내 삽입이 가능하다.

 

 

[그림1] "북한 2018년 신년사 분석" 악성 문서

 

[그림2] EPS에 포함된 ShellCode

 

 

악성 문서 열람 시 문서 내 실행된 EPS가 악성 ShellCode를 호출하면서 악성 행위가 시작된다. ShellCode는 동작 중에 자신의 코드를 복호화 한 후 Wscript.exe 실행 및 복호화 된 데이터를 인젝션한다.

 

 

[그림3] CreateProcessA()로 wscript.exe 실행

 

[그림4] wscript.exe에 악성코드 인젝션

 

 

wscript.exe에 인젝션 된 악성코드는 위와 동일하게 자신을 복호화 한 뒤 또 다른 악성코드를 다운받기 위해 C2 서버에 접속한다. 접속하는 C2의 주소는 다음 아래와 같다.

 

C2 Flow

 - hxxp://60chicken[.]co[.]kr/wysiwyg/PEG_temp/logo1.png

 

[그림5] C2 접속

 

 

접속 후 C2로부터 전송 받은 데이터는 png 파일의 시그니처를 갖고 있지만 파일 내 ShellCode를 포함하고 있다. 이 때 악성코드는 해당 데이터를 파일로 생성하지 않고 메모리상에서 동작시킨다.

※ 아래 패킷 사진은 실제 패킷이 아닌 악성 환경을 구축하여 캡쳐한 사진입니다.

 

 

[그림6] Recive data Packet

 

[그림7] Png 파일 내 ShellCode

 

 

이 후 ShellCode는 내부에 있는 암호화된 PE를 복호화 후 실행시킨다.

 

 

[그림8] 복호화 pseudocode

 

 

복호화 된 PE는 2017년 11월 29일 대북 관련 한글 문서에서 발견된 ROKRAT과 99%동일한 샘플이다. 이 PE는 Anti VM, ScreenShot, 브라우저 비밀번호 추출 그리고 C2 접속을 통한 추가 악성코드 다운로드 기능이 있다.

 

 

[그림9] EntryPoint비교

 

[그림10] 추가 다운로드 파일 목록

 

 

행위: Downloader
파일 이름: 북한 2018년 신년사 분석.hwp
파일 크기: 87,552 bytes
확장자: ..hwp
SHA256f068196d2c492b49e4aae4312c140e9a6c8c61a33f61ea35d74f4a26ef263ead
 
행위: RAT
파일 이름: logo1.png
파일 크기: 522,932 bytes
확장자: ..png
SHA256bdd48dbed10f74f234ed38908756b5c3ae3c79d014ecf991e31b36d957d9c950

 

 

[방지 방안]

1) 중요 자료는 백업을 하며, 독립된 망에 별도 보관한다.

2) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다.

 

 

[그림11] APTX Detect

첨부파일 첨부파일이 없습니다.
태그 HWP  북한 신년사