안랩 ASEC 지난 8월 PDF 파일의 첨부 파일 형태로 IQY와 PUB 확장자 악성코드가 유포 중인 것을 확인하였다. 확인된 PDF 첨부 파일의 확장자에 대해서 간략히 설명하면, *.iqy 확장자는 엑셀에서 사용하는 인터넷 쿼리 파일 형식이고, *.pub확장자는 MS Office의 Publisher와 관련된 프로그램의 확장자이다.

다음 [그림 1][그림 2] IQY, PUB 성코드가 첨부된 PDF 악성코드의 동작 과정을 설명한 것이다. 결과적으로 악성 매크로를 실행하는 것을 확인할 수 있다.

[그림 1] IQY 확장자를 포함한 PDF 파일의 악성 행위 과정

 

[그림 2] PUB 확장자를 포함한 PDF 파일의 악성 행위 과정

 

해당 PDF 실행 시 [그림 3]과 같은 실행 경고 창이 뜨면서 PDF 내부 첨부 파일이 실행될 수 있는 이유는 PDF 내부에 [그림 4]와 같은 자바스크립트 코드가 존재하기 때문이다.


[그림 3] PDF 내부 첨부 파일 실행 알림 창

 

[그림 4] exportDataObject 메소드 자바스크립트 코드


PDF는 자바스크립트의 exportDataObject 메소드를 사용하여 첨부 파일을 실행할 수 있는데, 이때 nLaunch의 값에 따라 첨부파일의 저장 경로 및 실행 방식을 정할 수 있다.


nLaunch

설명

0

파일 저장, 이때 첨부 파일은 사용자가 지정한 저장 경로에 저장

1

파일 저장 & 실행, 첨부파일 사용자가 지정한 저장 경로에 저장

2

파일 저장 & 실행, 첨부일 임시경로에 저장, 사용자에게 저장경로를 묻지 않음

[1] nLaunch 값에 따른 첨부파일 저장 및 실행 방법


악성 코드를 첨부한 PDF 파일은 nLaunch의 값이 주로 ‘2’로 설정되어 유포되기 때문에 사용자가 '확인' 버튼을 누를 시 첨부 파일이 임시 경로에 저장된 후 자동 실행된다. 그러므로 사용자는 [그림 3]과 같은 알림 창이 뜰 경우 확인버튼을 클릭하지 않도록 주의가 필요하다.

분석 당시 PUB 확장자의 경우 최종적으로 다운로드 및 실행되는 악성코드는 백도어 악성코드 (MD5 : a471555caf8dbb9d30fac3014172515f)였다.

현재 안랩은 해당 PDF 악성코드와 확인된 백도어를 아래와 같은 진단명으로 진단하고 있다.

- PDF/Expod(2018.08.17.00)

- Backdoor/Win32.Agent.C2676481(2018.08.23.01)


Posted by 분석팀