본문 바로가기
악성코드 정보

[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록)

by 분석팀 2019. 11. 22.

안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다.

현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다.

2019.11.18 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포

 

'한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포

안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 입후보신청서" 제목의 악성 한글문서가 유포된 것을 확인하였다. 한글문서의 내용은 아래와 같고, 문서 내부에 존재하는 EPS(EncapEncapsulated Postscript) 개체..

asec.ahnlab.com

윈도우 시스템에서 시작 프로그램의 경로는 아래와 같다.

  • C:\Users\%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

악성코드 제작자는 시작 프로그램에 다양한 형태의 스크립트 파일을 테스트하고 있으며, 이 중 실제 공격에 사용된 파일들도 확인되었다.

[공격자 테스트 샘플]

  • 한글문서 파일명: test.hwp
    • 생성파일 경로: \시작 프로그램\hncupdate.wsf
  • 한글문서 파일명: test.hwp
    • 생성파일 경로: \시작 프로그램\new.js
  • 한글문서 파일명: test.hwp
    • 생성파일 경로: \시작 프로그램\hncupdate.js

[실제 유포 샘플]

  • 한글문서 파일: 등록단체카드1.hwp
    • 생성파일 경로: \시작 프로그램\method106.0.2.vbs
  • 한글문서 파일: 등록단체지원금신청서.hwp
    • 생성파일 경로: \시작 프로그램\method106.0.2.vbs
  • 한글문서 파일: 제안설명서.hwp
    • 생성파일 경로: \시작 프로그램\hncdic.vbe

V3 제품에서는 이러한 한글문서 파일에 대해 행위기반 사전 탐지기능을 수행하고 있으며, 아래와 같이 시작프로그램에 등록하는 행위를 탐지하고 삭제하고 있다.

V3 행위탐지 화면

이러한 시작 프로그램에 스크립트 파일을 생성하여 재부팅 시점에 악성행위가 발생하도록 하는 변화는 악성행위가 바로 발생할 경우 다양한 보안 제품을 통해 탐지되는 것을 피해기 위한 것으로 추정된다. 한글 내부의 EPS 파일도 스크립트 파일이며, EPS 파일에 의해 스크립트 파일이 생성되는 것만으로 악성으로 탐지하기 어렵기 때문이다. 안랩 ASEC 분석팀은 한글 문서 악성코드의 동작방식의 변화를 지속적으로 모니터링하여 대응하고 있다.

현재까지 확인된 C2 주소와 V3 진단정보는 아래와 같다.

[C2 주소]

  • 27.102.114.55

[파일진단]

  • HWP/Dropper
  • EPS/Dropper
  • VBS/Agent

[행위진단]

  • Malware/MDP.Behavior.M2303

댓글