본문 바로가기
악성코드 정보

국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포

by AhnLab ASEC 분석팀 2020. 5. 8.

ASEC 분석팀에서는 지난달 아래 링크와 같이 상여금 발급 청구서로 위장한 악성 문서에 대해 블로그 글을 게시했었다. 이번에 동일류의 악성코드가 추가로 확인되어 아래와 같이 정보를 공개한다.

 

https://asec.ahnlab.com/1308

 

[주의] 상여금 발급 청구서로 위장한 워드 문서파일

ASEC분석팀은 직원 활동 상여금 발급 청구서로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 매크로 실행에 필요한 콘텐츠 사용을 유도하기 위해 Office 이미지 또는 Invoice (��

asec.ahnlab.com

 

이번에 확인된 문서는 메일을 통해 유포된 이력이 확인되었다. 아래 메일 캡처와 같이 보낸사람 주소를 특정 언론사 메일 주소로 사칭한 것으로 보인다. 마지막에 최종적으로 실행 되는 악성 DLL은 국내 대형 게임업체의 인증서를 도용하여 정상 파일로 위장하려 했다는 특이점이 있다.

 

[그림1] - 악성 문서가 첨부되어 유포된 메일

 

[그림2] - 실행 구조

 

[그림3] - 안내 화면을 위장한 단순 그림
[그림4] - 인력 모집 기준 내용

 

문서 WORD1은 실행시 [그림2]와 같이 Microsoft에서 제공되는 안내 문구 화면이 보이지만 이는 단순 캡처된 그림 파일로, 해당 그림의 투명도를 조절하여 뒤의 표를 살짝 가린 형태로 문서 내용을 구성하고 있다. 해당 문서를 열면 settings.xml.rels에 명시된 아래 URL에 접근하여 추가 WORD2 다운로드를 시도한다.

 

[그림5] - WORD2를 다운로드 주소(WROD1의 settings.xml.rels)

해당 문서를 통해 추가로 다운로드 된 악성 문서 WORD2는 내부에 인코딩 된 PE 파일을 2개 가지고 있다.

파일 하나는 MicrosoftEdgeUpdate.exe 정상 파일로 해당 파일이 msedgeupdate.dll을 로드하는 기능을 이용하여 악성 DLL을 해당 명으로 생성하여 자동 동작하도록 하였다.

 

[그림6] - 파일 생성 코드

 

해당 두 파일은 문서 내부에 Base64로 인코딩 되어 있으며 위 매크로 코드를 통해 디코딩 후 생성 된다.

정상 EXE 파일 C:\Users\Public\Documents\MicrosoftEdgeUpdate.exe 생성 (아래 악성 DLL 로드)
악성 DLL 파일 C:\Users\Public\Documents\msedgeupdate.dll 생성

 

생성 된 DLL은 아래 그림과 같이 국내 대형 게임업체의 인증서를 사칭하고 있으며 서명날짜가 해당 문서의 수정한 날짜와 동일하다.

 

[그림7] - 도용 인증서 및 문서 수정 날짜

 

또한 DLL은 CPU개수가 4개 이상인 환경에서만 동작하도록 하여 보통 분석에 쓰이는 가상 환경 동적 분석을 우회 시도를 한다. CPU 조건이 4개 이상으로 매치되면 내부의 인코딩 된 코드를 수행하는데 특정 네트워크에 접속한다. 데이터를 받아올 것으로 보이나 현재는 받아오는 데이터가 없어 추가 확인이 어렵다.

 

  • 접속 주소 : http://cs4.bit-humb.com

[그림8] - DLL코드 일부

 

해당 류의 악성코드는 암호 화폐 거래소, 언론사, 게임업체들을 대상으로 지속 공격하고 있는 것으로 보여 사용자들의 주의가 매우 필요하다. 출처가 불분명한 문서 확인은 지양해야한다.

 

현재 안랩 V3에서는 이와 같은 악성 문서파일과 DLL파일을 다음과 같은 진단명으로  진단하고 있다.

  • Downloader/Xml.Generic (2020.05.07.08)
  • Dropper/Doc.Generic (2020.05.08.07)
  • Trojan/Win32.Agent (2020.05.04.05)

 

댓글0