반응형

목차

     

    설명

    북한 해커 그룹 Kimsuky에서 제작한 것으로 추정되는 한글 문서 파일 위장 악성코드가 유포되고 있다.

    - 아이콘, 파일명을 통해 한글 문서로 위장한 exe 악성코드

    - exe 실행 시, %AppData% 경로에 update.vbs 생성

    - vbs 실행 시, 특정 레지스트리 값이 변경 및 URL을 통해 추가 스크립트 다운로드 및 실행

     

    분석 대상

    파일명 개인정보유출내역.hwp [많은 공백] .exe
    MD5 8133c5f663f89b01b30a052749b5a988
    SHA256 e5226f945e3ec29868891edc63e64caecae0f9eef1627eba826ac08809339a39
    분석 환경 Window 10 Pro, 64비트 운영 체제

     

    분석

    1) 악성코드 파일 확인

    압축 파일 내부

    확인된 악성코드는 readme.txt와 함께 .exe 파일을 압축한 .zip 파일로 구성되어 있다. (이중 압축)

     

    ( 왼) readme.txt (오) 한글 문서 위장 악성코드의 전체 파일명

    readme.txt 파일에는 개인정보유출내역.hwp.exe 파일을 실행하도록 유도하는 문구가 포함되어 있다.

     

    [ 한글 문서 위장 방법 ]
    1. 한글 문서 아이콘 사용
    2. hwp와 exe 사이에 공백을 다수 삽입 → 정확한 확장자를 파악하기 어려움
        ex) 개인정보유출내역.hwp                                                                                        .exe

     

    파일 정보 확인

    악성 EXE는 닷넷(.NET)으로 컴파일 되어있다.

     

     .NET 프레임워크 : Microsoft에서 개발한 윈도우 프로그램 개발 및 실행 환경
    - C# : 개발자가 .NET 프레임워크에서 실행되는 여러 응용 프로그램을 구축할 수 있도록 해주는 프로그래밍 언어

     

    2) exe 내부 코드 확인

    [NullableVersion_Main() 확인]

    exe 디컴파일을 통한 main 함수 확인

    .exe 파일 내부 코드 중 Main 함수에서 GetName 함수를 이용하여 동작하는 것으로 확인할 수 있다.

    ※ JustDecompile : .NET 디컴파일러 (C# 언어로 내부 코드 확인 가능)

     

    [NullableVersion_GetName() 확인]

    GetName 함수 코드 확인

     

    GetName 함수 내 코드의 동작 과정은 다음과 같다.

    1.     Base64로 인코딩된 값이 존재

    2.     이를 디코딩하여 %AppData% 폴더의 update.vbs 파일로 저장

    3.     powershell을 통해 생성한 update.vbs 파일을 실행

    4.     ‘문서가 파괴 되였습니다’라는 문구를 포함한 메시지 박스 생성

           - 북한어(‘오유(오류)’, ‘되였습니다(되었습니다)’)를 사용

     

     

     

     

    [update.vbs 확인]

    update.vbs 내용 확인
    update.vbs 내용 확인 (코드 해석)

    update.vbs 파일 내 난독화된 값은 한 글자씩 아스키코드로 변환 후 -3을 한 뒤 문자로 다시 변환 해주면 난독화가 해제된다.

    난독화가 해제된 값은 아래와 같다.

     

     [난독화된 명령어 확인]

    난독화된 명령어 해제
    난독화된 명령어 해제 (코드 해석)

    update.vbs를 powershell을 통해 레지스트리 값을 변경하고 URL을 통해 추가 스크립트를 다운로드한다.

    1.     해당 경로의 레지스트리 값 생성

    2.     ‘hxxp://well-story.co.kr/adm/inc/js/list.php?query=1’에서 추가 스크립트를 다운로드 및 실행

    (현재 유효하지 않는 URL로, 추가 스크립트는 확인하지 못함)

     

    3) 악성코드 동작 확인

    [레지스트리 변경 확인]

    InterExplorer\Main 경로 확인 (실행 전)
    InterExplorer\Main 경로 확인 (실행 후)
    Edge\IEToEdge 경로 확인 (실행 전)
    Edge\IEToEdge 경로 확인 (실행 후)

     

    악성코드 실행 후, 레지스트리 값이 생성된 것을 확인할 수 있다.

     

    [프로세스 동작 확인]

    Process Explorer 확인

    Process Explorer를 통해, exe 실행 시 powershell을 사용하여 스크립트를 실행한다는 것을 확인할 수 있다.

     

     

    [네트워크 패킷 확인]

    well-story.co[.]kr 관련 패킷 확인

    well-story.co[.]kr로 통신 시, 302 에러와 함께 html.gethompy[.]com으로 리다이렉트된다.

     

    html.gethompy[.]com 관련 패킷 확인

     

    [URL 접속 확인]

    well-story.co[.]kr 접속 확인

    URL에 직접 접속 시에도 wireshark와 동일한 결과를 확인할 수 있었다.

     

    참고 보고서 : https://asec.ahnlab.com/ko/54473/

    반응형
    저작자표시 비영리 변경금지

    '악성코드 > 분석' 카테고리의 다른 글

    [스터디_복습] Agenttesla 악성코드_.net 디컴파일러 사용  (0) 2024.11.06
    [스터디_Ahnlab] 포켓몬 게임으로 위장한 NetSupport RAT 악성코드  (0) 2023.04.21
    [프로젝트] ptjbfuog.exe 악성코드 분석 보고서  (0) 2023.04.12
    [프로젝트] ApcRunCmd.exe 악성코드 분석 보고서  (0) 2023.04.12

    + Recent posts

    티스토리툴바