MS-Office 수식 편집기 취약점을 이용해 설치되는 키로거 (Kimsuky)

AhnLab SEcurity intelligence Center(ASEC) 에서는 Kimsuky 공격 그룹이 최근 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)을 악용해 키로거 악성코드를 유포한 내용을 확인했다. 공격자는 취약점을 사용해 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 키로거 악성코드를 유포했다.

[그림 1] 수식 편집기 프로그램(EQNEDT32.exe)로 실행되는 mshta.exe

[그림 2] C2 서버 접속 시 화면(mshta.exe)

mshta로 접속하는 페이지는 실제 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 로 “error.php” 파일명을 사용한다. 사용자는 [그림 2]처럼 “Not Found”라는 문구를 통해 접속 되지 않는 것 처럼 보이지만, 악성 스크립트는 실행된다.

[그림 3] 악성 스크립트 내용(error.php)

[그림 3]은 error.php의 내용이다. 주요 행위로는 파워쉘 명령어로 C2(Query=50) 에서 추가 악성코드를 받아와 실행하고, Users\Public\Pictures 경로 하위에 desktop.ini.bak 파일을 생성하며, 재실행을 위해 HKLM 하위 Run키에 “Clear Web History”이름으로 desktop.ini.bak 파일을 등록한다. Powershell을 통한 추가 악성코드를 받아와 실행되었지만, 공격자는 wscript를 실행하는 부분의 잘못된 코딩으로 Run키 등록과 파일 생성을 실패했다. 재현을 위해 스크립트를 수정해 정상적으로 실행하면 파일이 생성되며, [그림 4]처럼 재실행을 위한 레지스트리 키 등록을 정상적으로 수행한다.

[그림 4] 자동실행 레지스트리 등록

[그림 5] 악성 스크립트 내용(50.php)

첫 번째로 받아오는 악성코드는 파워쉘 스크립트로 [그림 5]와 같다. 시스템 정보, IP등의 정보를 수집하여 C2(Query=97)로 전송하며, 키로거 악성코드를 C2(Query=107)로 부터 받아와 실행하는 기능이 있다.

[그림 6] 악성 스크립트 내용(107.php)

[그림 7] 키로깅 데이터 내용(desktop.ini.bak)

[그림 6]은 키로거 기능의 주요 부분의 스크립트이다. 사용자의 키 입력 뿐만 아니라 클립보드 데이터를 Users\Public\Music 경로에 desktop.ini.bak 파일로 생성해 기록한다. 뮤텍스 “Global\AlreadyRunning19122345″값 으로 중복 실행을 방지하며, 수집된 데이터는 공격자가 설정한 시간 범위 내의 랜덤한 시간마다 C2(Query=97)로 전송 및 삭제하고 다시 생성한다. 전체적인 프로세스 실행은 프록몬의 프로세스 트리와 같다.

[그림 8] 프록몬 프로세스 트리 화면

Kimsuky 공격 그룹은 공격 성공을 위해 과거에 많이 사용했던 MS오피스의 수식 편집기 프로그램(EQNEDT32.EXE) 관련 취약점(CVE-2017-11882)을 현재도 사용한다. 이와 같은 과거 취약점을 악용한 악성코드 감염을 막기 위해서는 취약점 패치가 중요하다. 소프트웨어를 항상 최신으로 업데이트 해야 하며, EOS(End-Of-Service)된 소프트웨어 사용은 지양해야 한다. 의심스러운 문서 파일은 열람하지 않고, V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 하며 엔드포인트 보안 제품(V3) 뿐만 아니라 MDS와 같은 샌드박스 기반의 APT 솔루션을 도입하여 사이버 공격에 대한 피해를 예방해야 한다.

[파일진단]

• Trojan/VBS.Agent.SC198696 (2024.03.29.00)
• Downloader/PowerShell.Agent.SC197158 (2024.02.26.03)
• Keylogger/PowerShell.Agent.SC197159 (2024.02.26.03)

MD5

279c86f3796d14d2a4d89049c2b3fa2d

5bfeef520eb1e62ea2ef313bb979aeae

d404ab9c8722fc97cceb95f258a2e70d