문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
Contents
문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
며칠 전 국내 특정 기관에서 공지한 '북한 2018년 신년사 분석' 내용으로 사칭한 HWP 취약점 기반 악성파일이 발견되었습니다.
수년 전부터 유사한 형태의 스피어 피싱(Spear Phishing) 추정 공격이 지속적으로 발견되고 있으므로, 이용자분들의 각별한 주의가 요망됩니다.
[그림 1] 북한 2018년 신년사 분석으로 위장한 악성파일 실행 화면
해당 문서파일 포맷 내부에는 밀봉형 포스트스크립트(Encapsulated PostScript)인 'BIN0004.eps' 데이터가 포함되어 있습니다.
기본적으로 HWP 문서파일은 zlib 공개 압축 라이브러리를 사용하고 있는데, 압축된 부분을 해제하면 아래 비교화면과 같이 내부의 코드를 확인할 수 있습니다.
※ Hwp Documnet File Formats 5.0
[그림 2] 'BIN0004.eps' 데이터 zlib 압축 전후 비교 화면
압축을 해제한 EPS 코드를 분석해 보면 Shellcode 부분과 PostScript 명령이 조합된 것을 확인할 수 있습니다.
[그림 3] EPS 파일 내부에 포함되어 있는 Shellcode 화면
Shellcode 하단 부분에는 암호화되어 있던 C2 도메인 주소가 포함되어 있으며, 복호화가 완료되면 다음과 같은 한국의 특정 웹 사이트에 등록된 PNG 형식의 파일을 로드하게 됩니다.
접속 주소 : 60chicken.co.kr/wysiwyg/PEG_temp/logo1.png
[그림 4] Shellcode 내부에 은밀하게 숨겨져 있는 명령제어서버
실제 해당 서버로 접속해 보면 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
며칠 전 국내 특정 기관에서 공지한 '북한 2018년 신년사 분석' 내용으로 사칭한 HWP 취약점 기반 악성파일이 발견되었습니다.
수년 전부터 유사한 형태의 스피어 피싱(Spear Phishing) 추정 공격이 지속적으로 발견되고 있으므로, 이용자분들의 각별한 주의가 요망됩니다.
[그림 1] 북한 2018년 신년사 분석으로 위장한 악성파일 실행 화면
해당 문서파일 포맷 내부에는 밀봉형 포스트스크립트(Encapsulated PostScript)인 'BIN0004.eps' 데이터가 포함되어 있습니다.
기본적으로 HWP 문서파일은 zlib 공개 압축 라이브러리를 사용하고 있는데, 압축된 부분을 해제하면 아래 비교화면과 같이 내부의 코드를 확인할 수 있습니다.
※ Hwp Documnet File Formats 5.0
[그림 2] 'BIN0004.eps' 데이터 zlib 압축 전후 비교 화면
압축을 해제한 EPS 코드를 분석해 보면 Shellcode 부분과 PostScript 명령이 조합된 것을 확인할 수 있습니다.
[그림 3] EPS 파일 내부에 포함되어 있는 Shellcode 화면
Shellcode 하단 부분에는 암호화되어 있던 C2 도메인 주소가 포함되어 있으며, 복호화가 완료되면 다음과 같은 한국의 특정 웹 사이트에 등록된 PNG 형식의 파일을 로드하게 됩니다.
접속 주소 : 60chicken.co.kr/wysiwyg/PEG_temp/logo1.png
[그림 4] Shellcode 내부에 은밀하게 숨겨져 있는 명령제어서버
실제 해당 서버로 접속해 보면 …