Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보국내 유명 암호화폐 거래소 계정 운영 정책 변경 관련 문서로 위장한 공격
작성일 2020-07-16 조회 512

 

1. 개요

 
국내 유명 암호화폐 거래소 계정 운영 정책 변경 관련 문서로 위장한 공격이 확인되었다. 문서는 “계정기능 제한 안내.hwp” 라는 제목으로 암호화폐 거래소 계정을 가진 사용자들을 대상으로 해 각별한 주의가 필요하다.
 
 
 
< 그림 > “계정기능 제한 안내.hwp”문서
 
 
 

2. 파일 정보

 

파일명: 계정기능 제한 안내.hwp
확장자: hwp
크기: 121,344 Bytes
Hash81ee247eb8d9116893e5742d12b2d8cd2835db3f751d6be16c2e927b892c5dc7

 

파일명: hanwordupdate.exe
확장자: exe
크기: 44,544 Bytes
Hash: 304d569374625857323cae7ce6a1a4bb56b32a3a0d5fdb7d4a9e7392c3f56fb3

 

 
 

3. 계정기능 제한 안내.hwp

 
악성 문서는 문서 내 OLE 개체 삽입 시 개체가 임시폴더에 생성되는 점을 악용해 악성 파일을 감염 PC에 생성한다. 생성되는 파일정보는 아래와 같다.
 
    - C:UsersAdministratorAppDataLocalTemphanwordupdate.exe
 
 
 
 
< 그림 > hanwordupdate.exe 파일 생성
 
 
 
 
이후 열람된 문서에는 문서 전체를 덮고 있는 2개의 도형이 존재한다. 이는 위에서 생성된 악성파일을 실행하기 위해 하이퍼링크가 적용되어 있는 도형으로, 클릭 시 아래와 같이 보안 경고가 뜨게 되고 실행버튼을 누르면 악성 파일이 실행된다.
 
 
 
< 그림 > 하이퍼링크 적용된 도형 위치
 
 
< 그림 > hanwordupdate.exe 파일 실행 경고
 
 
 

4. hanwordupdate.exe

 
실행된 악성파일은 특별한 행위 없이 파일에 포함된 Base64 인코딩된 문자열을 디코딩 및 실행 후 종료된다.
 
 
 
< 그림 > Script 실행 명령
 
 
 

5. Mal PowerShell Script

 
디코딩 및 실행된 문자열은 실제 악성행위를 수행하는 Powershell 스크립트이며, 가장 먼저 악성 행위를 지속 수행하기 위해 위에서 생성한 악성 파일을 %APPDATA% 경로에 복제 후 자동 실행 레지스트리에 등록한다. 
 
 
    - 파일 경로 : C:UsersAdministratorAppDataRoamingsvchost.exe
    - 레지스트리 : HKCU:SoftwareMicrosoftWindowsCurrentVersionRunHyperServer[파일경로]
 
 
자동실행 등록 후 감염 PC의 시리얼 번호를 C2 서버로 전송한다. 시리얼 번호를 ID로 사용하는 것으로 보아 감염 PC를 구별하기 위한 정보로 판단된다.
 
 
 
< 그림 > 첫 C2 통신, 시리얼 전송
 
 
 
C2 서버로 구별 ID를 전달한 후 서버의 상태를 체크한다. 상태코드가 200 일 경우 아래 표의 5가지 행위를 수행 할 수 있으며, 200이 아닐 경우에는 서버의 상태 체크를 반복 진행한다.
 
 
 
 
 
 
행위 중 remote shell 또는 파일 다운로드 같은 경우 2차, 3차 악성 코드 감염의 우려가 있다. 현재 C2 서버가 닫혀 명령을 받고 있지는 않지만 공격자에 의해 언제든 공격이 진행될 수 있어 사용자들의 각별한 주의가 필요하다..
 
 
 

6. APTX 탐지 현황

 

현재 윈스의 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

첨부파일 첨부파일이 없습니다.
태그 Malware  Coin  Bot