본문 바로가기
악성코드 정보

'CES 참관단 참가신청서' 내용의 악성 HWP 유포

by 분석팀 2019. 10. 24.

오늘 안랩 ASEC 분석팀에 '『 미국 라스베가스 CES 2020 참관단』 참가신청서' 내용의 새로운 악성 HWP 한글 문서가 접수되었다. 

 

이번 악성 파일은 한국정보산업연합회에서 최근 온라인에 공지한 CES 참가신청서 문서를 악용하였다. 정상적인 한글 문서에 취약점이 있는 악성 포스트스크립트 이미지를 삽입하여, 악성코드가 실행되도록 하였다.

 

파일 정보

 

  • 파일 타입: 한글 워드프로세서 문서
  • 파일명: CES2020 참관단.hwp (추정)
  • MD5: f865ea5f29bac6fe7f1d976a36c79713
  • SHA256: d4f055d170fd783ae4f010df64cfd18d8fa9a971378298eb6e863c60f57b93e3

 

주요 행위

 

프로세스에 악성코드 인젝션 

 

악성 포스트스크립트 파일은 CVE-2017-8291 취약점을 이용하였다. 실행 된 gswin32c.exe 프로세스 또는 gbb.exe 프로세스는 현재 실행 중인 explorer.exe 프로세스를 찾아 악성 쉘코드를 인젝션한다. 이로 인해 실제 악성 기능은 explorer.exe 프로세스에서 발생한다. 

 

외부 C&C 통신

 

인젝션 된 쉘코드는 외부 URL 주소에 HTTP 접속하여 파일을 읽고, 유효한 PE 파일 여부를 확인하는 부분이 있다. 이후 3개의 C&C 주소와 통신하는 부분이 확인되었다. 

 

  • hxxps://thevagabondsatchel.com/wp-content/uploads/2019/09/public.avi - HTTP GET
  • hxxps://www.juliesoskin.com/includes/common/list.php - HTTP POST
  • hxxps://www.valentinsblog.de/wp-admin/includes/list.php - HTTP POST
  • hxxps://www.necaled.com/modules/applet/list.php - HTTP POST

 

탐지와 대응

 

안랩의 V3 제품에서는 이와 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다.

 

  • 파일 진단 - HWP/Exploit (2019.10.24.05)
  • 파일 진단 - Trojan/Win64.Hwdoor (2019.10.24.07)
  • 파일 진단 - EPS/Exploit.S8 (2019.10.25.00)

 

댓글