포스팅 내용

악성코드 분석 리포트

정치적 이슈를 이용한 악성코드 유포 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 우여곡절 끝에 북미 정상회담이 이루어졌지만 보이지 않는 사이버 첩보전은 계속되었습니다. 실제로 ESRC는 현재 북한과 미국의 정세를 이용한 “미북 정상회담 전망 및 대비.hwp”제목으로 위장한 악성 파일을 포착하였습니다. 해당 파일은 북미 정상회담이 이루어지기 전인 “2018-05-30”에 제작되어 공격이 시도된 것으로 보여집니다.

 

그림 1 “미북 정상회담 전망 및 대비.hwp” 화면


공격자는 악성코드의 감염 사실을 사용자로부터 은폐하기 위하여 hwp취약점을 이용하여 정상 프로세스인 iexplore.exe에 악성코드를 인젝션하였습니다. 


그림 2 hwp내부 삽입된 Post Script


해당 코드는 C&C서버로부터 악성코드 다운로더 기능을 수행합니다.


그림 3 다운로더 코드


최종적으로 실행되는 코드의 주된 악성 행위는 키로깅행위이며 시스템 정보와 프로세스 리스트 등의 정보를 탈취하고 국내 특정 백신 회사 이름으로 폴더를 생성하여 획득한 사용자의 정보들을 저장합니다. 다음은 사용자 키보드 로그가 저장된 파일 화면입니다.


그림 4 키로깅 화면


이후 iexplore.exe로 프로세스 인젝션하여 네이버로 로그인을 시도합니다. 로그인에 필요한 정보는 다음과 같이 악성코드 내부에 저장되어 있습니다.


 

그림 5 자동 로그인 코드 일부


분석 시점인 현재는 접속이 되지 않아 추가적인 악성 행위 확인이 어렵습니다. 하지만 정치적으로 민감한 제목과 내용으로 위장하여 악성코드를 전파시키려는 의도로 보아 기관 관계자나 기업 관계자들에게 각별한 유의가 필요합니다.


현재 알약에서는 해당 악성코드를 'Trojan.Keylogger.121856B, Exploit.HWP.Agent'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage