북한 김수키(Kimsuky) VBScript 제작된 악성코드-1.vba

오늘도 북한 정찰총국 산하의 해킹 조직인 북한 에서VBScript 제작된 악성코드인 1.vba(가칭)에 대해 알아보겠습니다.
파일명:1.vba
사이즈:1 MB
MD5:10238c4bac6d327b96bd2abd8808161e
SHA-1:c0285cc616c019ad8361cc4d844362c0b2a5d09e
SHA-256:cfb38fa1d12f9cc1e129fc952739a2b1a831ff17cfd752ec57d7fee53a380866
해당 악성코드 난독화 단순한 Caesar Shift(문자 쉬프트)를 사용을 하는 것이 특징입니다.
해당 방식 기본적으로 문자열을 한 글자씩 처리->Asc()로 ASCII 값 추출->5를 빼서 원래 문자 복원->최종적으로 Execute를 사용해서 복호화된 코드 즉시 실행
이런 방식은 고전적인 수법이지만 여전히 안티 바이러스 시그니처를 피하고자 자주 사용
It's the oldest play in the books 같은 느낌
Option Explicit 를 사용을 하고 있으며 정상적인 VBScript 코드인 것을 알 수가 있습니다.
COM 객체 생성
WScript.)Shell
Scripting.)FileSystemObject
MSXML2.)XMLHTTP
ADODB.)Stream

VBS 에 난독화 된 악성코드

악성코드 분석

1.난독화
긴 문자열에서 한 글자씩 뽑아(Mid)
ASCII 코드로 바꾼 뒤(Asc)
5를 빼서(- 5) 원래 문자를 복원하고(Chr)
dsbW 에 이어붙인 다음 마지막에 Execute dsbW 로 복원된 VBScript를 바로 실행
안티 바이러스(백신 프로그램) 시그니처를 탐지하기 위한 것이 목적
2.복호화 결과
-5 복호화 시도하며 되고
Option Explicit
Dim…. 로 시작합니다. (예:Tuynts->Option, J}uqnhny->Explicit)

파이썬 으로 난독화 해제

3.악성 실행 후
다운로드 URL들을 변수 정의
AWS S3가 보일 것입니다.
hxxps://proradead(.)s3(.)sa-east-1(.)amazonaws(.)com/new(.)exe
hxxps://proradead(.)s3(.)sa-east-1.amazonaws(.)com/new(.)exe(.)config
hxxps://proradead(.)s3(.)sa-east-1(.)amazonaws(.)com/new(.)txt
hxxp://152(.)42(.)42(.0226.161/
저장 경로정의
저장 위치 C:\Users\Public\Music 복원
C:\Users\Public\Music\musicx.exe
C:\Users\Public\Music\musicx.exe.config
C:\Users\Public\Music\music.txt

pestudio 로 본 결과

미끼 파일도 다운로드
C:\Users\Public\Music\proton.mp4
저~mp4는 어떤 동영상인지 확인이 안 되어서 모르겠음
3.파일 존재 여부 확인 후 다운로드
If Not FSO.FileExists(path) Then DownloadFile(url, path) End If
이미 파일이 있으면 다시 다운로드 하지 않음 없으면 다운로드
4.다운로드 함수 구현
MSXML2.XMLHTTP로 GET
Status == 200이면
ADODB.Stream 열어서 ResponseBody를 바이너리로 쓰고
SaveToFile path, adSaveCreateOverWrite->덮어쓰기 저장
닫기
5.실행
마지막 부분에 WScript.Shell.Run 으로 실행하는 것을 볼 수가 있습니다.
musicx.exe 실행
proton.mp4 실행
Run <path>, 1, False 형태로
창 표시(1)
대기 하지 않음(False)
악성 실행 후 스크립트는 바로 종료 대거나 다음 단계로 넘어감
Avast:VBS:Kimsuky-Y [Trj] 등을 진단하고 있으니 백신 프로그램(안티바이러스) 프로그램은 반드시 사용을 하시는 것을 권장 드립니다. 물론 기본설정 값으로 사용해도 되지만 설정을 변경해서 사용하는 것을 개인적으로 추천합니다.