본문 바로가기
악성코드 정보

국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중

by AhnLab ASEC 분석팀 2020. 6. 4.

ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다.  '부동산 관련' 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다.

 

악성 한글문서(.hwp) 주제별 연관성 분석

ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 ��

asec.ahnlab.com

현재까지 확인된 악성 한글문서의 제목은 아래와 같이 2가지이며, 위 블로그 상에서 분류한 주제 중, 그 외항목에 해당하는 기법으로 확인되었다. 해당 한글문서의 특징은 실행 시, 사용자에게 정상적으로 본문내용이 보여지지 않고 2차 악성 파일 다운로드 행위만 수행된다.

 

  • 2020_XXXX_초전도 논문.hwp
  • 학술대회.hwp

악성코드 제작자는 국내 학회지의 하계 논문 투고 기간이 주로 5월에서 7월까지인 것을 노린 것으로 추정된다. 접수된 악성 한글파일은 이전에 소개된 내부 EPS(Encapsulated PostScript) 스크립트와 악성 행위가 동일함을 알 수 있다.

 

[그림 1.] 과거(좌)와 현재(우)의 XOR 복호화 대상과 키가 동일

 

백신 진단을 우회하기 위해 스크립트 내부에 공백을 추가하거나 변수명을 바꿔 유포중이며, 가장 중요한 쉘코드 및 XOR로 인코딩된 쉘코드를 풀기위한 키 정보는 기존에 공유한 것과 동일한 것으로 확인되었다. 즉, 동일한 제작자에 의해 다양한 제목으로 유포 중인것으로 추정된다.

 

EPS에 내장된 쉘코드는 C2 서버로부터 2차 악성파일(*.BAT, *.CAB)을 다운로드 한다. 다운로드된 CAB 형식의 압축파일 내부에는 아래와 같은 파일들을 포함하고 있으며, 사용자 PC의 특정 정보를 수집하여 C2 서버로 전송 및 추가 다운로드 행위를 수행한다.

 

[그림 2.] CAB 압축파일 내부

 

해당 한글문서 실행 시, 내부 EPS 코드에 의한 상세한 동작과정은 아래와 같다.

 

1단계) 스크립트 다운로드

복호화된 쉘코드는 배치 스크립트('no1.bat')와 Base64로 인코딩된 CAB 압축파일('vbs.txt')을 다운로드한다.

cab 압축파일 내부에는 아래와 같이 여러 스크립트를 가지고 있다. 

  • hxxp://resulview.com/5hado/no1.txt
  • hxxp://resulview.com/5hado/vbs.txt

2단계) 자동 실행 등록

- 자동 실행을 위해 Run키 등록을 한다.

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • 'svchostno2'에 CAB 압축파일 내부의 start.vbs 등록

3단계) 정보 수집 및 업로드

- 사용자 PC의 아래의 정보를 수집하여 악성 C2 (hxxp://resulview.com/5hadr/upload.php)에 전송한다.

  • 다운로드(downloads) 폴더 목록
  • 문서(documents) 폴더 목록
  • 바탕화면(desktop)
  • 설치 프로그램(Program Files) 목록
  • 사용자 PC의 IP주소
  • 현재 실행된 프로세스(tasklist) 목록
  • 사용자 PC의 시스템 정보(systeminfo)

4단계) 추가 다운로드

해당 악성코드에 감염된 PC는 공격자의 추가적인 활동을 할 수 있도록 다운로드 기능이 존재한다. 따라서 PC 정보 유출뿐만 아니라 2차 감염이 예상된다. 이는 다운로드 받는 파일은 압축파일로 추정되며 내부 파일인 'temprun.bat'를 통해 실행되는 것으로 보인다. 또한 'pakistan.txt'를 존재 유무를 통해 해당 스크립트 종료여부를 결정하도록 되어 있다.

  • 다운로드 주소 : hxxp://resulview.com/5hado/%COMPUTERNAME%.txt

해당 악성 한글파일의 유포지에선 현재 '네이버블로그 소송건.hwp'이라는 파일명으로도 유포 중이므로, 확인되지 않은 문서 파일은 실행하지 않아야 한다. (C2, URL 등 주요기능은 학술정보 형태와 동일)

 

현재 V3는 다음과 같은 진단명으로 탐지하고 있다.

  • Exploit/HWP.Generic (2020.06.04.05)
  • EPS/Exploit.mexp (2020.02.08.00)
  • Malware/MDP.Execute.M1473

EPS 스크립트에 대한 Generic 진단

 

댓글0