티스토리 뷰

728x90
반응형

[Malware analysis] 미국 대선 예측 문서로 위장한 악성코드


참조

> https://twitter.com/cyberwar_15/status/1323684824926818307

https://www.virustotal.com/gui/file/ca1b8c75357bf0f3c55de02c1c4ce8289e6cdd2338c9a4bec0cc8fdea379f1b5/detection


미국 대선 예측에 대한 문서로 위장한 악성 한글 문서인 걸 확인할 수 있다. 즉, 오늘 있는 2020 미국 선거를 악용한 파일이다. 


아래와 같이 영문, 한글로 작성된 내용을 확인할 수 있다.


해당 HWP 파일 내 악성 BIN0001.OLE 데이터가 있는 것을 확인할 수 있다. 과거 작성한 HWP 문서 글을 보게되면 포스트 스크립트 취약점을 이용한 악성 문서를 분석한 경험이 있는데 .eps와 비슷한 걸 알 수 있다.

디코딩 시 아래와 같이 보여지는 것을 확인할 수 있다. 


해당 OLE 개체를 확인하게 되면 아래와 같이 숨겨져 있는것을 알 수 있으며, 패키지 내용을 열기 팝업창에서 확인을 누르게 되면 wscript을 실행하는 것을 확인할 수 있다.


하이퍼링크를 살펴보면 아래와 같으면 .vbs가 없을 경우에는 아래와 같은 팝업창이 함께 뜨는 것을 확인할 수 있다.


temp 경로에 아래와 같이 .VBS 파일을 생성하는 것을 확인할 수 있으며, 아래와 같은 도메인으로 질의를 하는 것을 확인할 수 있다.


이후 연결이 되지않아 추가 분석은 진행하지 못하였다. 그 다음이 중요한것 같은데 아쉽다.


728x90
반응형
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today