[Malware analysis] 북한의 회색지대 전략과 대응방안.hwp

[Malware analysis] 북한의 회색지대 전략과 대응방안.hwp

참조
- '북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중
 > https://asec.ahnlab.com/1347

본 블로그에서 ESP 관련 내용을 확인할 수 있다. KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp

(그림 1)을 보게되면 샘플 파일을 확보한 것을 확인할 수 있다.

(그림 1)

(그림 2)을 보게되면 본문 내용과 함께 해당 파일의 정보를 확인할 수 있으며, 2019년 작성 되어 2020년 6월 23일에 수정된 정보와 작성자는 Venus.H로 확인할 수 있다. 

(그림 2)

한글 파일 구조 확인 시 BinData는 PNG, OLE, EPS로 구성되어 있으며 EPS 코드 용량이 한글 문서 용량의 절반을 차지하는 것을 확인할 수 있다. EPS 파일 공격 방식은 대부분 CVE-2017-8291 취약점으로 해당 파일 역시 동일한 것을 확인할 수 있다.

(그림 3)

EPS 파일을 unpack 후 살펴보면 xor 연산 확인 및 연산 후 쉘코드를 확인할 수 있다.

(그림 4)

프로세스 확인 시 Hwp.exe > HimTrayicon.exe (suspend) > gbb.exe > gswin32c.exe 순서를 확인할 수 있었는데 취약점 발생을 확인하기 위해서는 고스트스크립트 기능이 구현된 gsdll32.dll을 디버깅이 필요하며, gsdll32.dll 로드를 통해 gbb.exe 동작하는 것을 알 수 있다. 그렇기 때문에 gbb.exe 이용하는 것을 알 수 있으며 추후 gsdll32.dll 디버깅을 작성하겠다.

(그림 5)

HimTratIcon.exe 스트링 확인 시 C&C 확인 및 쉘코드가 정상 프로세스에 인젝션 되는 것을 알 수 있다.

(그림 6)

이후 userinit.exe 실행하여 SYSTEM\CurrentControlSet\Control\SystemInformationSyste mProduc 경로를 얻은 후 SytemProductName 확인 시 Anti-VM을 확인하고 이후 스레드(cmd)를 통해 .bat 파일(a_[랜덤].bat)을 실행시키는 것을 확인할 수 있다.

(그림 7)

C:\Users\JEONG\AppData\Roaming\Microsoft\Network 해당 경로에 수집한 정보를 xyz파일로 저장한 후 POST 메소드를 통하여 C&C 업로드 후 삭제하는 것을 확인할 수 있다. 이후 C&C에서 추가 악성 파일 zyx.dll을 다운로드 시도하지만 403 으로 다운로드가 되지 않는것을 알 수 있다.

(그림 8)