Lazarus 그룹이 제작한 것으로 추정되는 xls 악성코드가 유포되었다.
실제 샘플 파일의 정보를 살펴보면, xls 파일이 작성된 날짜 자체는 2018년 03월 21일이다. 이전에도 이런 비슷한 악성코드가 유포된 적이 있는데, 그 당시 사용했던 악성코드를 다시 재활용한 것으로 보인다.
xls 문서를 실행하게 되면 아래와 같은 화면을 볼 수 있다. 클릭 부분이 존재하고, "진실하게 답해야 해" 라는 문구가 보인다. 하지만 이 화면에서는 특별할 것이 없고, 파일을 열고 매크로 사용을 클릭한 순간 환경 백그라운드에서는 악성 매크로가 동작하면서 파워쉘 파일을 드롭한다.
실제로 xls 파일의 매크로는 이렇게 이루어져있다. 먼저, 실행중인 환경이 Mac 환경인지를 체크한다. Mac 환경이면 특정 URL로 연결하고, 윈도우 환경의 경우에는 다른 방식의 행위를 수행한다.
윈도우 환경의 경우 아래 코드를 수행한다. 파워쉘 파일인 ps 파일을 실행 환경의 %TEMP% 폴더 아래에 랜덤한 이름을 갖고 드롭한다. 이후, 파워쉘을 실행 정책과 관계없이(우회해서) 실행시켜 드롭한 파워쉘 파일을 실행시킨다.
드롭한 파워쉘 파일의 주요 행위는 아래와 같다. 먼저 세 개의 URL에 연결을 시도하며, 연결을 위해서 헤더를 구성한다. 현재까지는 세 개의 C2 서버로부터 추가적으로 악성코드를 다운로드 받는 등의 행위는 확인되지 않았다.
|
연결하는 C2 서버 목록 - https://crabbedly[.]club/board[.]php - https://craypot[.]live/board[.]php - https://indagator[.]club/board[.]php |
그 다음으로는 cmd를 hidden 옵션을 줘서 콘솔창이 나타나지 않도록 실행시킨다. 확인된 바로는 splwow64.exe 프로세스를 실행시키는 것으로 확인됐는데, 신뢰받는 파일이기 때문에 악성코드를 실행시키는 것에 있어서 우회 목적으로 사용하는 것으로 보인다.
'Analysis' 카테고리의 다른 글
| 25. Rich Header (0) | 2019.10.30 |
|---|---|
| 24. Lazarus's HWP(CES 참관단) (0) | 2019.10.25 |
| 22. Kimsuky's HWP malware (6) | 2019.10.21 |
| 21. MageCart(Cobalt?)'s skimmer (0) | 2019.10.15 |
| 20. DGA(Domain Generation Algorithm) (0) | 2019.10.05 |
