포스팅 내용

악성코드 분석 리포트

청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2'



안녕하세요. ESRC 입니다. 


2020년 01월 20일, PDF 문서파일을 위장한 악성 EXE 파일이 발견되었습니다. 이 파일은 한국시간으로 1월 17일 오전 9시경 제작한 것으로 확인되었습니다. 



파일명 

 제작 시점 (KST)

 MD5

 오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백포함).exe

 2020-01-17 09:33:41

 da799d16aed24cf4f8ec62d5048afd1a



파일명에는 '오성사 MC2-500 외형도 P1307033 Model_수정.pdf' 라고 되어 있고, 첫번째 확장자는 pdf 문서형식이지만, 다수의 공백을 포함한 2중 확장자로 실제로는 exe 실행파일 형식을 가지고 있습니다.


지난 12월 4일 ESRC에서는 ‘김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT공격’ 포스팅을 공개한 바 있습니다. 


 ESRC는 이번에 발견된 악성파일은, 지난번 발견된 '블루 에스티메이트(Blue Estimate) 캠페인'의 연장선에 있는 것으로 확신하고 있습니다. 



악성파일 분석



오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백포함).exe



이 악성파일은 원래 확장자 앞에 다수의 공백을 포함하여 마치 PDF 파일처럼 보이도록 이중확장자 형태를 사용하였으며, 아이콘도 PDF파일처럼 수정하여 사용자의 클릭을 유도합니다. 


하지만 실제로는 .EXE 파일로 이 악성 .EXE 파일 내부의 리소스 영역에는 정상적인 PDF 문서파일과 악성 64비트 DLL 파일이 포함되어 있어, 사용자가 .EXE 파일을 실행할 경우 PDF문서와 함께 악성 배치파일, DLL 파일이 실행되게 됩니다. 



[그림 1] 악성 .exe 파일 내부에 있는 PDF 파일(위)과 DLL 파일(아래) 화면



악성 파일을 실행하면 다음과 같은 화면이 보입니다. 



[그림 2] 악성파일이 작동시 정상적으로 보여지는 문서 내용



PDF 파일 실행 후에는 배치파일과 함께 악성 DLL 파일이 실행됩니다. 


리소스 영역에 있던 파일은 아래 [그림 3]과 같이 악성 DLL파일(hero.dll)과 배치 파일을 사용자 몰래 실행시킵니다. 



[그림 3] 리소스 영역에 들어있는 악성 코드



오성사 MC2-500 외형도 P1307033 Model_수정.pdf (빈공백 다수 포함) .exe

ㄴ C:\Windows\System32\regsvr32.exe /s /n /i:

89a8c72a2c515425954cfd9929ffe236e13d8ed4c2bcc7aa5e62ef0f0bba3d7cd8298bc09ee1d0866a08907a

 Hero.dll

ㄴ C:\Users\<사용자계정>\AppData\Local\Temp\rns.bat



그리고 'rns.bat' 배치 파일을 통해 숙주 파일을 자가 삭제 합니다. 이때 사용된 'rns.bat' 파일의 이름은 지난 '페이크 캡슐' 오퍼레이션과 ‘블루 에스티메이트’ 오퍼레이션과 일치합니다.



:Repeat1
del "C:\Users\<사용자계정>\Desktop\오성사 MC2-500 외형도 P1307033 Model_수정.pdf"
if exist "C:\Users\<사용자계정>\Desktop\오성사 MC2-500 외형도 P1307033 Model_수정.pdf" goto Repeat1
del "C:\Users\<사용자계정>\AppData\Local\Temp\rns.bat"


이번에 발견된 악성 파일에는 다음과 같은 PDB 정보를 포함하고 있으며, 이는 블루 에스티메이트 오퍼레이션에서 사용된 공격자의 정보와 동일합니다.



E:\pc\makeHwp\Bin\makeHwp.pdb



Hero.dll



C:\ProgramData\ 경로 아래에 드롭된 'Hero.dll' 파일은 64비트 DLL 형식이며, 2020년 01월 07일에 제작되었으며 아래의 PDB경로를 가집니다.



E:\works\utopia\Utopia_v0.2\bin\AppleSeed64.pdb



아래는 중복 실행을 방지 하기 위해 현재 프로세스가 explorer.exe일 경우 “HelloSidney” 라는 이름으로 뮤텍스를 생성하는 코드입니다. 



[그림 4] HelloSidney 뮤텍스 생성 화면



자동실행을 위해 먼저 ‘%appdata%\Microsoft\Internet Explorer\AutoUpdate\update.dll’에 자가 복제를 하고 부팅시 자동실행하도록 레지스트리에 등록합니다. 



[그림 5] 레지스트리에 등록한 화면



[그림 6] 자동 실행 항목에 등록하는 코드



또한 해당 파일을 temp 경로 아래에 임의의 파일 이름 [영문숫자 4자리.tmp] 으로 한번 더 복사한 후 explorer.exe에 인젝션 하고 실행 합니다. 


다음은 explorer.exe 프로세스를 검색 한 후 인젝션 하는 코드입니다.  



[그림 7] explorer.exe 에 인젝션 하는 코드



임시폴더(%TEMP%)에 ‘C&C에 정보 전송하는 스크립트 파일’을 드롭하고 실행하여 C&C와 통신합니다.



[그림 8] 드롭된 스크립트 화



C&C에 감염 PC정보를 전송하고 추가 파일 다운로드를 시도하며, 공격자는 서버에 다양한 폴더를 구성하고 있습니다.



[그림 9] C&C 접근 화면



결론



이처럼 APT 공격조직들은 정부부처 및 주요기관을 타깃으로 한 사이버공격을 지속적으로 시도하고 있는 만큼 첨부파일이나 하이퍼링크는 무조건 열어보거나 클릭하지 말고, 면밀히 체크하는 등 각별한 주의가 필요합니다.


ESRC에서는 이들이 전방위적인 공격을 수행하고 있음을 잘 알고 있으며, 각종 사이버 보안 위협이 국가 사이버안보로 이어질 수 있다는 점을 중요하게 생각하고 있습니다. 또한 이와 유사한 보안 위협에 대해 추가 조사와 꾸준한 모니터링을 진행 중에 있습니다. 


공격에 사용된 IoC 데이터와 추가 분석데이터는 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정입니다.




티스토리 방명록 작성
name password homepage