얼마전, VirusTotal을 모니터링 하던 중 "미국의군사변환과 바람직한한미동맹 방향.hwp" 파일을 발견하였다. 해당 파일을 분석해본다.
* sha256: 6a9b4eefc1f271faf1479d3f6802f0f6dd6c445c1e3930e221cb7af8aaedb150
해당 파일은 hwp 한글 파일이다. 작성된 날짜는 2024년 04월 29일로 보여진다.
* build date : 2024-04-29 11:04:54 (UTC)
내부 구성을 살펴보면 아래와 같다. 한글 파일을 위장하고 있기 때문에 위장 내용을 포함하고 있으며 실제 악성행위를 수행하는 자바스크립트를 함께 포함하고 있어 실행 시 해당 자바스크립트를 통해 악성행위를 수행한다.
악성행위를 수행하는 자바스크립트는 exe 파일을 생성하는 역할을 수행한다. BinaryFile 클래스를 통해 추가적인 exe 파일을 생성하는데, exe 파일의 기본적인 내용 (4D 5A와 같은 시그니쳐 값 등)은 url 인코딩 된 상태로 unescape 함수를 통해 가져온다. 이후 특정 부분의 값들을 특정 값으로 치환한다.
생성된 exe 파일의 내용은 아래와 같은 값들로 이루어진다.
생성되는 exe 파일의 주요 행위는 C2 서버의 또 다른 파일을 다운로드 하는 것이다.
* C2 : http://boxland[.]net/bbs/images/w_top5[.]gif
해당 서버에는 접속할 경우 아래와 같이 접근 권한이 없는 것으로 나타난다. 파일이 존재하는 것으로 보여지지만 해당 파일에 접근하는 특수한 방법이 있는 것으로 보여진다.
향후 실행을 추측해보자면 해당 파일을 다운로드 한 후 실행함으로써 피해자 PC에 RAT 악성코드 전염 등의 행위를 수행할 것이라 생각된다.
