티스토리 뷰

[Malware analysis] 4.[아태연구]논문투고규정.docx


참조

https://www.boannews.com/media/view.asp?idx=90918

https://blog.alyac.co.kr/3228?category=957259


개성공단 근무 경험자 관련 문서와 아태 지역의 학술 연구논문 투고문서 등을 사칭한 "탈륨(Thallium)"

사용자의 시스템 정보 수집 및 추가 악성코드를 다운로드 시도하는 악성코드이다.


보안뉴스 이슈 확인에 따른 분석으로 (그림 1)을 보면 워드문서를 사칭한 실행파일을 확인할 수 있다.

리소스데이터를 살펴보면 데이터를 숨겨둔 것을 확인할 수 있다.

(그림 1)


JUYFON 리소스를 불러오는 것을 확인할 수 있다.

(그림 2)


이후 임시 디렉토리에 " 4.[아태연구]논문투고규정.docx" 파일을 생성하는 것을 확인할 수 있다.

(그림 3)


파일 생성 후 파일에 데이터를 쓰는데 이후 확인 시 다른 행위는 없어 정상파일로 확인할 수 있었다.

(그림 4)


ShellExecute()을 이용하여 해당 파일을 실행하는데, 즉 워드파일로 위장한 .exe를 실행 시 실제로 워드파일이 실행하는 것이다.

(그림 5)


시스템의 정보를 수집하여 환경변수 "%appdata%Micoresoft\HNC" 디렉토리 아래 wct 파일로 저장하는 것을 확인할 수 있다.

(그림 6)


desktop filelist, 실행 중인 프로세스, 시스템 정보(OS ver, ip, Hostname 등)을 저장하는 것을 확인할 수 있다.

수집한 정보는 C2 서버로 전송하는 것을 확인할 수 있다.

URL : portable.epizy.com/img/png/post.php

IP : 185.27.134.213[GB]

(그림 7)


댓글
댓글쓰기 폼
공지사항
«   2020/09   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      
Total
156,825
Today
19