대북 관련 APT 악성코드
Contents
대북 관련 APT 악성코드
- 보안 정보/악성코드 관련 정보
- 2016. 11. 18. 14:21
malwares.com 코드분석팀 분석 자료
<부제 : 북한이 이걸 또.. >
1. 개요
malwares.com에서 한글 악성코드문서를 수집했다. 기존 매크로형태의 악성코드가 아닌, 한글프로그램의 취약점을 이용한 악성코드이므로 문서 파일을 실행해보는 것만으로도 동작한다. 악성코드가 실행될 경우, 추가적으로 악성코드를 내려받아서 실행시킨다. 현재는 추가적으로 다운로드되는 사이트가 닫혀있어 동작하지않지만 같은 취약점을 이용한 유사 악성코드가 유포되면 큰 파장이 예상된다. 한글 문서의 분석을 통해 악성코드의 동작을 살펴보자.
2. 악성코드 정보
- SHA-256 : 0D56C5F20B2DA3659F05D613D3FAEB41D9E82A45E9161C3B48805EBB7B2730B9
- 제목: 보위부는 탈북기자가 두려운가
- 파일 크기 : 20,992 bytes
- 최초 탐지 시점 : 2016-09-07 10:24:54
3. 분석
(1) 한글 악성코드
한글파일은 섹션별로 압축되어있어 압축을 풀어보면 아래와 같이 구조를 볼 수 있다.
< Figure1. 한글 악성코드 구조 >
한글 구조를 살펴보면 BinData 영역이 존재하는데 쉘코드 영역임을 알 수 있다. 특정한 한글프로그램 버전에서
BinData 영역이 실행될것으로 보인다.
< Figure2. 쉘코드 XOR 암호화 >
- 암호화 : XOR
- 키: 0xD5
쉘코드를 0xD5 로 XOR하는 연산이 보인다. 0xD5로 XOR을 연산시킬경우 복호화된 쉘코드를 얻을 수 있다.
< Figure3. 추가 악성코드 다운로드 >
- 추가 악성코드 …
- 보안 정보/악성코드 관련 정보
- 2016. 11. 18. 14:21
malwares.com 코드분석팀 분석 자료
<부제 : 북한이 이걸 또.. >
1. 개요
malwares.com에서 한글 악성코드문서를 수집했다. 기존 매크로형태의 악성코드가 아닌, 한글프로그램의 취약점을 이용한 악성코드이므로 문서 파일을 실행해보는 것만으로도 동작한다. 악성코드가 실행될 경우, 추가적으로 악성코드를 내려받아서 실행시킨다. 현재는 추가적으로 다운로드되는 사이트가 닫혀있어 동작하지않지만 같은 취약점을 이용한 유사 악성코드가 유포되면 큰 파장이 예상된다. 한글 문서의 분석을 통해 악성코드의 동작을 살펴보자.
2. 악성코드 정보
- SHA-256 : 0D56C5F20B2DA3659F05D613D3FAEB41D9E82A45E9161C3B48805EBB7B2730B9
- 제목: 보위부는 탈북기자가 두려운가
- 파일 크기 : 20,992 bytes
- 최초 탐지 시점 : 2016-09-07 10:24:54
3. 분석
(1) 한글 악성코드
한글파일은 섹션별로 압축되어있어 압축을 풀어보면 아래와 같이 구조를 볼 수 있다.
< Figure1. 한글 악성코드 구조 >
한글 구조를 살펴보면 BinData 영역이 존재하는데 쉘코드 영역임을 알 수 있다. 특정한 한글프로그램 버전에서
BinData 영역이 실행될것으로 보인다.
< Figure2. 쉘코드 XOR 암호화 >
- 암호화 : XOR
- 키: 0xD5
쉘코드를 0xD5 로 XOR하는 연산이 보인다. 0xD5로 XOR을 연산시킬경우 복호화된 쉘코드를 얻을 수 있다.
< Figure3. 추가 악성코드 다운로드 >
- 추가 악성코드 …
IoC
0D56C5F20B2DA3659F05D613D3FAEB41D9E82A45E9161C3B48805EBB7B2730B9
7875614ECD08474662A7AA2A1D8830B9EA7749A997B529C5501C35BE4DA9CCCD
CFE2C79A879D40BA95B4B69D955536B6FC5795612F7A4EB889D5FA3B3B1E76A1
7875614ECD08474662A7AA2A1D8830B9EA7749A997B529C5501C35BE4DA9CCCD
CFE2C79A879D40BA95B4B69D955536B6FC5795612F7A4EB889D5FA3B3B1E76A1