지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다.
메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.
해당 코드는 %appdata%\Microsoft\Internet Explorer\security.vbs를 생성하여 동작하며 그 내용은 아래와 같이 악성 URL에 접속하여 추가 파일을 다운로드하고 해당 파일을 실행하도록 한다.
- 악성 파일 다운로드 주소 : https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
- 생성 파일 명 : %appdata%\Microsoft\Internet Explorer\security.db
- 실행 명령 : rundll32 security.db, InstallSafari
- C&C : https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
추가 인코딩 된 악성 데이터를 다운로드하며 이 악성 파일은 위 코드에 명시된 것처럼 base64 디코딩을 수행하여 최종 DLL로 저장되어 실행한다. 위 rundll32 명령을 통해 알 수 있듯, 다운로드 된 DLL의 Export 함수인 InstallSafari가 동작되어 악의적인 행위를 수행한다. 이 악성 코드가 실행되면 https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php (51.81.21.96:443) C&C에 접속하여 시스템 정보를 전송 후 공격자로 부터 추가 데이터를 받을 수 있다.
사용자는 출처가 불분명한 발신자로부터의 메일 및 첨부파일을 열람, 실행하지 말아야한다. 현재 V3에서는 이와 같은 악성코드를 아래와 같이 진단하고 있다.
- Downloader/HWP.Generic (2020.05.25.03)
- Exploit/EPS.Generic (2020.05.25.04)
- Backdoor/Win32.Agent.C4107539 (2020.05.25.04)
'악성코드 정보' 카테고리의 다른 글
| 악성 한글문서(.hwp) 주제별 연관성 분석 (0) | 2020.05.29 |
|---|---|
| 악성 한글문서(.hwp) 유포 파일명 변화과정 추적 (1) | 2020.05.27 |
| 코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자) (0) | 2020.05.22 |
| Nemty Special Edition 버전 유포중 (복원가능) (0) | 2020.05.20 |
| 코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중 (0) | 2020.05.14 |
댓글