주문 확인으로 위장한 악성코드-주문 확인.doc(2024.1.25)

오늘은 주문 확인으로 위장한 악성코드인 주문 확인.doc(2024.1.25)에 대해 글을 적어보겠습니다.
해당 악성코드는 cve-2017-11882,CVE-2018-0802 취약점을 악용을 하는 악성코드이며 RTF 형식으로 된 문서 악성코드입니다. 해당 악성코드는 EQNEDT32.EXE 즉 문서에 방정식을 삽입하거나 편집할 때 사용하는 수식편집기를 악용해서 작동하는 취약점으로 그냥 윈도우 업데이트를 통해서 마이크로소프트 오피스 프로그램을 업데이트를 하면 해결되는 취약점이며 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:주문 확인.doc
사이즈:96.6 KB
MD5:f57fa515afb84f034b5025cf597c2ab4
SHA-1:581858440b05d422a386cf7f36e974f82ab3e3e7
SHA-256:7be919a057b537a06951bf7af90a0dd96522890903f9644cc6123e8667640e66
rtfdump.py도구를 이용해 rtf파일의 정보 확인을 해 보면 objectclass Equation.3임을 확인할 수 있습니다.
C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE
"C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding 이렇게 해서 실행이 되어서 다음 사이트에서 exe 파일을 다운로드 합니다.

주문 확인 악성코드 실행 화면

hxxps://amassmodel(.)top/_errorpages/plugmanzx(.)exe

rtfdump.py 로 확인

2024-01-29 01:59:01 UTC 기준 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:Trojan/DOC.Agent
Avast:RTF:Obfuscated-gen [Trj]
AVG:RTF:Obfuscated-gen [Trj]
Avira (no cloud):TR/AVI.Rat.kottg
Cynet:Malicious (score: 99)
DrWeb:Exploit.CVE-2018-0798.4
Fortinet:RTF/TROJ_GEN.F04IE00E222!tr
GData:Script.Trojan.Agent.M39C1V
Google:Detected
Ikarus:Exploit.CVE-2017-11882
Kaspersky:HEUR:Exploit.MSOffice.CVE-2018-0802.gen
Lionic:Trojan.MSOffice.CVE-2018-0802.3!c
McAfee:RTFObfustream.c!F57FA515AFB8
Microsoft:Exploit:Win32/CVE-2017-11882!ml
NANO-Antivirus:Exploit.Rtf.Heuristic-rtf.dinbqn
QuickHeal:Exp.RTF.Obfus.Gen
Rising:Exploit.Generic!1.EB5C (CLASSIC)
Sangfor Engine Zero:Malware.Generic-RTF.Save.ecfa366c
Sophos:Troj/RTFDl-CKM
Symantec:Exp.CVE-2017-11882!g6
Tencent:Office.Exploit.Cve-2018-0802.Ytjl
TrendMicro:HEUR_RTFMALFORM
Varist:RTF/CVE-2017-11882.U.gen!Camelot
WithSecure:Trojan.TR/AVI.Rat.kottg
ZoneAlarm by Check Point:HEUR:Exploit.MSOffice.CVE-2018-0802.gen
즉 백신 프로그램도 사용하는 것도 중요 하지만 기본적으로 마이크로소프트 오피스를 반드시 최신 버전으로 업데이트 해서 사용을 하는 것을 권장합니다.