안랩 ASEC 분석팀, CVE-2017-8291 취약점 악용한 악성문서 공개
[보안뉴스 원병철 기자] 최근 ‘북한의 회색지대 전략과 대응방안’이란 이름의 악성코드가 담긴 한글 문서가 유포 중인 것이 확인돼 관련자들의 주의가 요구된다. 안랩 ASEC 분석팀은 이 한글문서가 2019년 10월 21일에 작성됐으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정되고, 해당 문서를 저장한 사람은 Venus.H로 확인됐다고 밝혔다.
▲악성코드가 담긴 ‘북한의 회색지대 전략과 대응방안’ 한글문서[자료=안랩]
이 한글문서의 문서정보를 확인하면, 내용 작성 날짜와 마지막 저장한 날짜, 마지막 저장한 사람을 확인할 수 있다.
▲악성문서의 문서 정보[자료=안랩]
한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작해 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.
▲악성 EPS 파일[자료=안랩]
EPS 파일은 gbb.exe에 의해 실행되며, 취약점에 의해 EPS 내부의 셸코드가 실행된다. 이 셸코드는 먼저 정상 프로세스인 HimTray.exe 또는 HncCommTCP.exe에 인젝션(Injection)을 시도하며, 없을 시에는 cmd.exe를 실행시키고 인젝션을 수행한다. 해당 프로세스에 인젝션된 셸코드는 다시 userinit.exe를 실행하고 실제 악성코드를 인젝션한다.
악성코드는 최종적으로 userinit.exe의 메모리에서 동작하며 정보유출 기능을 수행한다. 실행 시 먼저 현재 환경이 가상 머신인지 여부를 검사하는 Anti VM 루틴을 지나서, %TEMP% 경로에 정보 수집 명령을 담당하는 Batch 파일(a_[랜덤].bat)을 생성하고 실행시킨다. 테스트 환경에서는 a_4aff.bat 이름으로 생성됐다.
▲정보 수집 명령이 들어 있는 Batch 파일[자료=안랩]
이 명령을 통해 AppData\Roaming\Microsoft\Network 경로의 xyz 파일에 위의 명령 결과값 즉 사용자의 여러 정보들이 모아진다.
-최근 사용 파일
-설치된 프로그램 목록
-시스템 정보
-현재 실행 중인 프로세스들 및 모듈들
이렇게 수집된 정보는 C&C 서버에 업로드된다. 업로드 이후에는 동일 경로에 xyz.dll을 다운로드 받고 로드하는 루틴도 존재하지만, 현재 다운로드가 되지 않아 확인할 수 없다.
▲다운로드된 xyz.dll을 로드하는 루틴[자료=안랩]
이 악성코드에서 사용된 C&C 주소는 아래와 같다.
http://lovelovelove.atwebpages[.]com/home/jpg/post.php
http://lovelovelove.atwebpages[.]com/home/jpg/download.php?filename=lover01
이처럼 악성 한글문서는 특정 조직을 타깃으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 사용자들의 각별한 주의가 필요하다고 안랩은 당부했다. 한편, 현재 V3 제품은 해당 악성코드를 ‘Exploit/HWP.Generic’ 등의 진단명으로 차단하고 있다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 최근 ‘북한의 회색지대 전략과 대응방안’이란 이름의 악성코드가 담긴 한글 문서가 유포 중인 것이 확인돼 관련자들의 주의가 요구된다. 안랩 ASEC 분석팀은 이 한글문서가 2019년 10월 21일에 작성됐으며, 2020년 6월 23일에 공격자에 의해 수정된 것으로 추정되고, 해당 문서를 저장한 사람은 Venus.H로 확인됐다고 밝혔다.
▲악성코드가 담긴 ‘북한의 회색지대 전략과 대응방안’ 한글문서[자료=안랩]
이 한글문서의 문서정보를 확인하면, 내용 작성 날짜와 마지막 저장한 날짜, 마지막 저장한 사람을 확인할 수 있다.
▲악성문서의 문서 정보[자료=안랩]
한글 문서 파일을 열면 취약한 내부에 있는 악성 포스트스크립트(EPS)가 동작해 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다.
▲악성 EPS 파일[자료=안랩]
EPS 파일은 gbb.exe에 의해 실행되며, 취약점에 의해 EPS 내부의 셸코드가 실행된다. 이 셸코드는 먼저 정상 프로세스인 HimTray.exe 또는 HncCommTCP.exe에 인젝션(Injection)을 시도하며, 없을 시에는 cmd.exe를 실행시키고 인젝션을 수행한다. 해당 프로세스에 인젝션된 셸코드는 다시 userinit.exe를 실행하고 실제 악성코드를 인젝션한다.
악성코드는 최종적으로 userinit.exe의 메모리에서 동작하며 정보유출 기능을 수행한다. 실행 시 먼저 현재 환경이 가상 머신인지 여부를 검사하는 Anti VM 루틴을 지나서, %TEMP% 경로에 정보 수집 명령을 담당하는 Batch 파일(a_[랜덤].bat)을 생성하고 실행시킨다. 테스트 환경에서는 a_4aff.bat 이름으로 생성됐다.
▲정보 수집 명령이 들어 있는 Batch 파일[자료=안랩]
이 명령을 통해 AppData\Roaming\Microsoft\Network 경로의 xyz 파일에 위의 명령 결과값 즉 사용자의 여러 정보들이 모아진다.
-최근 사용 파일
-설치된 프로그램 목록
-시스템 정보
-현재 실행 중인 프로세스들 및 모듈들
이렇게 수집된 정보는 C&C 서버에 업로드된다. 업로드 이후에는 동일 경로에 xyz.dll을 다운로드 받고 로드하는 루틴도 존재하지만, 현재 다운로드가 되지 않아 확인할 수 없다.
▲다운로드된 xyz.dll을 로드하는 루틴[자료=안랩]
이 악성코드에서 사용된 C&C 주소는 아래와 같다.
http://lovelovelove.atwebpages[.]com/home/jpg/post.php
http://lovelovelove.atwebpages[.]com/home/jpg/download.php?filename=lover01
이처럼 악성 한글문서는 특정 조직을 타깃으로 공격을 수행하기 때문에 출처가 불분명한 메일 및 첨부파일은 열람하지 않도록 사용자들의 각별한 주의가 필요하다고 안랩은 당부했다. 한편, 현재 V3 제품은 해당 악성코드를 ‘Exploit/HWP.Generic’ 등의 진단명으로 차단하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
