본문 바로가기

Analysis

28. Lazarus's 한국국가정보학회 학회장 선거공고.hwp

지난 11월, 한국국가정보학회 학회장 선거공고를 사칭해 한글 문서 악성코드가 유포되었다.

 

이번 글에서는 해당 한글 문서 악성코드를 분석한다.(상세히 악성 행위까지 분석하지는 못했다.)

 

한글 문서의 기본적인 속성은 다음과 같다.

타임 스탬프 : 2002년 1월 10일 오후 7:31:30

생성시간 : 2002-01-10 10:31:30(UTC)

최종 수정시간 : 2019-10-28 11:26:39(UTC)

문서 속성

 

해당 문서의 EPS 부분을 살펴보면 아래와 같은 코드들을 확인할 수 있다. 해당 코드들 내부에는 BASE64로 인코딩 된 쉘코드가 존재하며 해당 쉘코드가 실제 드로퍼 역할을 한다.

EPS

 

아래 그림 중 드래그 된 부분이 BASE64 인코딩 된 부분이다.

BASE64 인코딩 된 핵심 코드

 

BASE64 인코딩 된 부분을 디코딩 시켜주면 아래와 같은 코드가 등장한다. 해당 코드는 VBS 코드이며 VBS 코드를 이용해 공격자의 서버로부터 추가로 악성행위를 수행하는 파일을 다운로드한다.

BASE64 디코딩 결과

 

악성코드의 다운로드는 파워쉘을 이용해서 이루어지며 악성코드를 다운로드하는 URL은 다음과 같다.

연결 URL : https://bit[.]ly/2WixVXm

다운로드 URL

 

해당 URL로부터 아래와 같은 파일을 다운로드 받아온다.

다운로드 되는 파일

 

해당 파일 안에서는 실제 악성행위를 수행하는 파일을 복호화하는 XOR 연산이 진행된다. 하지만, 어떤 이유에선지 제대로 복호화 되지 않아 상세 분석까지 진행하지 못했다.

악성행위 파일 복호화를 위한 XOR 연산

 

복잡한 연산을 기다리지 않기 위해 간단한 코드를 통해 복호화를 수행했다.

복호화 코드

 

복호화하게되면 다음과 같이 실행 파일이 복호화 된다.

복호화 된 파일

 

또한 분석에서 다음과 같은 IoC 특징들이 발견되기도 하였다.

악성코드 다운로드 드라이브 주소 : https://drive[.]google.com/uc?export[=]download&id=1l5XA3PcMo4l_ISsryC5yzNdqkxRjVR24

계정 정보 : godlemessy@gmail[.]com

 

- Reference

https://asec.ahnlab.com/1267

반응형

'Analysis' 카테고리의 다른 글

30. Lazarus's Dtrack  (0) 2020.01.01
29. Konni's 답변서.hwp  (0) 2019.12.17
27. Monero coin stealer  (0) 2019.11.26
26. Sodinikibi(Specialist)  (0) 2019.11.21
25. Rich Header  (0) 2019.10.30