악성 한글문서(.hwp) 주제별 연관성 분석
Contents
악성 한글문서(.hwp) 주제별 연관성 분석
ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해 자세히 설명한다.
악성 한글문서(.hwp) 유포 파일명 변화과정 추적
그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그..
주제1, 주제2, 주제3 연관성
이전 블로그에서 언급했던 주제1(코로나 관련), 주제2(부동산 관련), 주제3(조력/풍력/수력 관련) 이 세 주제의 대표 한글 파일의 유사성들이 확인되는데 주제2, 주제3의 경우 EPS(Encapsulated PostScript)가 동작하는 핵심 쉘코드 명령 패턴이 비슷하며 주제1, 주제3의 경우 EPS 초반의 데이터 저장 및 실행 방식이 비슷하다. 또한 주제1, 주제2의 경우에는 최종 다운로드 된 PE의 일부 데이터가 유사한 스트링이 사용되어 이 세가지 주제의 한글 파일들이 결국 동일한 공격자 그룹일 것으로 추정이 가능해진다. 아래 각 주제별 대표 한글 파일들의 예시를 통해 자세히 설명한다.
[그림1]과 같이 주제2, 주제3의 대표 파일은 위와 같은 EPS …
ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해 자세히 설명한다.
악성 한글문서(.hwp) 유포 파일명 변화과정 추적
그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그..
주제1, 주제2, 주제3 연관성
이전 블로그에서 언급했던 주제1(코로나 관련), 주제2(부동산 관련), 주제3(조력/풍력/수력 관련) 이 세 주제의 대표 한글 파일의 유사성들이 확인되는데 주제2, 주제3의 경우 EPS(Encapsulated PostScript)가 동작하는 핵심 쉘코드 명령 패턴이 비슷하며 주제1, 주제3의 경우 EPS 초반의 데이터 저장 및 실행 방식이 비슷하다. 또한 주제1, 주제2의 경우에는 최종 다운로드 된 PE의 일부 데이터가 유사한 스트링이 사용되어 이 세가지 주제의 한글 파일들이 결국 동일한 공격자 그룹일 것으로 추정이 가능해진다. 아래 각 주제별 대표 한글 파일들의 예시를 통해 자세히 설명한다.
[그림1]과 같이 주제2, 주제3의 대표 파일은 위와 같은 EPS …
IoC
https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php
http://www.kingsvc.cc/index.php
https://www.afuocolento.it/wp-includes/server_test.php
http://mbrainingevents.com/wp-admin/network/server_test.php
https://www.afuocolento.it/wp-includes/precess.php
http://www.sofa.rs/wp-admin/network/server_test.php
http://www.kingsvc.cc/index.php
https://www.afuocolento.it/wp-includes/server_test.php
http://mbrainingevents.com/wp-admin/network/server_test.php
https://www.afuocolento.it/wp-includes/precess.php
http://www.sofa.rs/wp-admin/network/server_test.php