NOTICE



1. 소 개


 2016년 11월 03일 ‘최순실 게이트’와 관련된 문서 악성코드가 발견되었습니다. 해당 악성코드는 모 북한관련 단체의 대표자 명의를 가장해서 E-mail로 유포되었습니다. 자유민주연구원 측에서는 이를 북한 사이버테러 해커 조직이 사용했던 ‘Kimsuky’ 계열로 추정하고 있습니다.



 오늘은 악성코드 감염에 사용된 ‘우려되는 대한민국.hwp’에 대해서 살펴보겠습니다.


[‘우려되는 대한민국.hwp’ 문서 실행 화면]


 ‘우려되는 대한민국.hwp’ 문서 파일 분석 환경입니다. 세부적인 취약 버전에 대한 정보는 추가적으로 확인이 필요합니다.

 

[한컴오피스 버전 정보]





2. 우려되는 대한민국.hwp


 .hwp 문서 파일에는 악성행위를 수행하는 ShellCode가 포함되어 있습니다.

 

[‘우려되는 대한민국.hwp’ 파일에 포함되어 있는 악성 ShellCode]


 실행시킬 경우 취약점으로 인해 악성 ShellCode로 구성된 ‘EMB000009f866c6.eps’ 파일과 함께 ‘gsaXXX.tmp’, ‘gsbXXX.tmp’, ‘gstXXX.tmp’ 파일이 특정 경로에 Drop 됩니다. 

 

[File Drop 확인]

 

[‘EMB000009f866c6.eps’ 파일 데이터]




3. EMB000009f866c6.eps


 ‘우려되는 대한민국.hwp’는 악성 ShellCode를 실행시키기 위해서 ‘Ghost Script’를 사용합니다.

 

[‘Ghost Script’ 프로세스 실행]


[‘Ghost Script’ 프로세스 실행 시 전달되는 명령줄]


 ‘Ghost Script’ 프로세스가 동작하는데 필요한 명령어 정보는 ‘gsaB634.tmp’가 가지고 있습니다. 해당 파일을 열어보면 ‘EMB000009f866c6.eps’를 실행시키는 것을 알 수 있습니다. 다시 말해 ‘EMB000009f866c6.eps’ 파일에 기록되어 있는 악성 ShellCode가 동작하게 되는 것입니다.

 

[‘gsaB634.tmp’ 파일 데이터]


 악성 ShellCode는 정상 ‘sort.exe’를 하위 프로세스로 생성하고 그곳에 악의적인 코드를 인젝션시킵니다.

 

[정상 ‘sort.exe’ 프로세스 생성]

 

[정상 ‘sort.exe’ 프로세스에 악의적인 코드 인젝션]


 다음은 정상 ‘sort.exe’에 삽입되는 악의적인 코드입니다.

 

[악의적인 코드 데이터]




4. 악성 sort.exe


 악성 ‘sort.exe’의 기능에 대해서 알아보겠습니다.

 

[악성 ‘sort.exe’ 동작 확인]


 악성 ‘sort.exe’는 추가적으로 악성코드를 다운로드 받아서 실행시킵니다. 이때 Internet 관련 API를 사용합니다.

 

[InternetOpenUrlA( ) 호출]


파일 다운로드 주소: http://www.ethanpublishing.com/****/***/templates/default/member/account_manage/teacup.jpg


 2016년 11월 17일 현재 해당 서버는 닫혀있기 때문에 더 이상의 분석은 불가능합니다.

 

[외부 접속 시도]


 그러나 ‘제로서트’에서 제공하는 Oline URL Scanner를 사용해보면 2016년 08월 18일에 동일한 주소에서 악성코드가 유포된 이력이 있었음을 알 수 있습니다.

 

[Oline URL Scanner Report]


 이상으로 '[hwp] 최순실 게이트 관련 내용을 담고 있는 문서 악성코드 정보'에 대한 포스팅을 마치겠습니다.


  1. no picture eternalklaus 2016.11.17 22:55

    좋은 분석 보고서 감사합니다. ^^
    혹시 악성 한글파일에 사용된 익스플로잇의 CVE넘버좀 알 수 있을까요?

    • no picture BlogIcon 이슝 itseeyou 2016.11.18 09:52 신고

      안녕하세요.
      저도 CVE 번호를 알아내려고 했지만 확인하지 못했습니다.
      한글 파일이라 어려움이 있지 않나 싶습니다.
      추후에 알게 되면 바로 알려드리겠습니다.
      감사합니다.

      (혹시 CVE 번호를 알 수 있는 좋은 방법애 대해서 도움을 주신다면 확인해보겠습니다. )

  2. no picture vincent 2016.11.24 10:54

    http://www.vxsecurity.sg/2016/11/22/technical-teardown-exploit-malware-in-hwp-files/

    위 링크에 따르면 cve-2013-0808 라고 합니다.

    cve-2013-0808에 대한 링크는 아래 :
    https://www.coresecurity.com/advisories/eps-viewer-buffer-overflow-vulnerability

  3. no picture 2016.11.28 20:21

    비밀댓글입니다

  4. no picture 2017.02.14 21:50

    비밀댓글입니다