[Malware analysis] 탈북민 인터뷰 내용으로 위장한 APT 공격

[Malware analysis] 탈북민 인터뷰 내용으로 위장한 APT 공격

참조
- 김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용
 > https://blog.alyac.co.kr/3052?category=957259

(그림 1) VBA 매크로를 이용한 악성 MS 워드 문서파일이다.

(그림 1)

악성 워드 문서가 실행되면 (그림 2)와 같이 나오면 VBA 내부에 포함되는 악성 매크로를 사용하게 유도하는 콘텐츠 사용 보안 경고를 확인할 수 있다.

(그림 2)

VBA 매크로 확인 시 Project 암호가 걸려있는 걸 확인할 수 있다. DPB > DPx 변경하는 방법도 있다고 하지만 잘안되서 기존 방법을 사용했다.

(그림 3)

vbaProject.bin 확인을 통해 여러 VBA 모듈을 확인할 수 있다. (OfficeMalScanner)

(그림 4)

워드 문서의 악성 VBA 매크로 함수를 살펴보면 인코딩 되어 있는걸 알 수 있다.

(그림 5)

위 (그림 5)를 디코딩 루틴을 통하여 디코딩 시 (그림6, 7)와 같이 나오는 걸 확인 할 수 있으며, Anti-VM 관련된걸 알 수 있다.

(그림 6)

(그림 7)

HNYMJUFFFCDEXSW 을 보게되면 srt(*) 바이너리 부분을 볼 수 있으며, 디버깅 진행시 (그림 9)와 같이 winload.exe 파일을 생성하는 걸 알 수 있다.

(그림 8)

위 (그림 8) 디버깅 시 아래와 같은 경로에 winload.exe 파일을 생성하는 걸 확인할 수 있다. 해당 파일은 UPX로 실행압축되어 있는 걸 추가로 확인할 수 있다.

(그림 9)

winload.exe 디버깅을 진행하면, (그림 10)와 같이 아래 경로에 NTUSERS.LOG 파일을 생성하는 걸 알 수 있다. 

(그림 10)

위 (그림 10) 파일내용은 (그림 11, 12)와 같으면 XOR 연산을 통하여 인코딩 후 저장되는 걸 확인할 수 있다.

(그림 11)

(그림 12)

해당 exe 파일의 내부에 API 함수 호출 시 아래와 같이 문자열이 인코딩 되어 있어 디코딩 과정을 거쳐 API 호출하는 것을 알 수 있다.

즉, 인자 JoufsofuDpoofduB 값은 InternetConnectA() API를 가리키며, 얻은 후 call eax에서 해당 API를 호출하는 것을 알 수 있다.

계속 진행 시 디코딩된 hxxp://wave.posadadesantiago.com C&C 주소를 확인할 수 있으며, 이후 Get 메소드를 이용하여 /home/dwn.php?van=[다수 값] 10860, 102, 101 다수 변경되어 통신 시도하는 것을 확인할 수 있다.

(그림 13)