자바스크립트로 실행되는 Appleseed v2.1
Contents
개요
최근 정상 문서로 위장한 자바스크립트를 통해 Appleseed 악성코드 감염을 시도하는 공격이 꾸준히 발견되고 있고 이를 추적하던 과정에서 일부 기능이 변경된 Appleseed 악성코드를 확인했다. 발견한 Appleseed 악성코드의 전체적인 흐름은 기존과 거의 동일하지만, 문자열 암복호화 로직이 달라졌고, 시스템 정보 탈취 기능이 추가되었다.
1. Javascript Loader
공격자는 악성코드를 실행시키기 위해 자바스크립트로 개발된 로더를 사용한다. 로더 내부에는 이중 Base64로 인코딩된 미끼파일과 악성코드, 그리고 악성행위를 수행할 자바스크립트 코드로 구성되어있다.
[그림 1] Javascript 악성코드 구성
공격에 사용된 일부 로더에서는 악성코드 다량으로 첨부하는 방식으로 스크립트 크기를 늘려 보안제품 탐지우회를 시도했다.
[그림 2] 스크립트 내부에 존재하는 32개의 악성코드
1.1. 미끼문서
javascript내에는 Base64를 통해 이중으로 인코딩된 미끼파일과 악성코드가 존재하며 파일이 실행되면 미끼파일과 악성코드를 드랍해 실행한다. 미끼문서들은 주로 군이나 안보, 관련된 내용이며 문서내부에 실존하는 회사명, 또는 담당자 이름 등이 포함되어 있다.
[그림 3] 공격에 사용된 미끼문서
1.2. 악성행위
로더가 악성행위에 사용하는 문자열들은 탐지를 피하기 위해 문자열을 분리하는 간단한 난독화가 적용되어 있다. 스크립트의 주요 행위는 다음과 같다.
ProgramData 폴더 내 미끼 파일 드롭 후 실행
ProgramData 내 인코딩된 Appleseed 악성코드를 드랍한 뒤 certutil …
최근 정상 문서로 위장한 자바스크립트를 통해 Appleseed 악성코드 감염을 시도하는 공격이 꾸준히 발견되고 있고 이를 추적하던 과정에서 일부 기능이 변경된 Appleseed 악성코드를 확인했다. 발견한 Appleseed 악성코드의 전체적인 흐름은 기존과 거의 동일하지만, 문자열 암복호화 로직이 달라졌고, 시스템 정보 탈취 기능이 추가되었다.
1. Javascript Loader
공격자는 악성코드를 실행시키기 위해 자바스크립트로 개발된 로더를 사용한다. 로더 내부에는 이중 Base64로 인코딩된 미끼파일과 악성코드, 그리고 악성행위를 수행할 자바스크립트 코드로 구성되어있다.
[그림 1] Javascript 악성코드 구성
공격에 사용된 일부 로더에서는 악성코드 다량으로 첨부하는 방식으로 스크립트 크기를 늘려 보안제품 탐지우회를 시도했다.
[그림 2] 스크립트 내부에 존재하는 32개의 악성코드
1.1. 미끼문서
javascript내에는 Base64를 통해 이중으로 인코딩된 미끼파일과 악성코드가 존재하며 파일이 실행되면 미끼파일과 악성코드를 드랍해 실행한다. 미끼문서들은 주로 군이나 안보, 관련된 내용이며 문서내부에 실존하는 회사명, 또는 담당자 이름 등이 포함되어 있다.
[그림 3] 공격에 사용된 미끼문서
1.2. 악성행위
로더가 악성행위에 사용하는 문자열들은 탐지를 피하기 위해 문자열을 분리하는 간단한 난독화가 적용되어 있다. 스크립트의 주요 행위는 다음과 같다.
ProgramData 폴더 내 미끼 파일 드롭 후 실행
ProgramData 내 인코딩된 Appleseed 악성코드를 드랍한 뒤 certutil …
IoC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.atwebpages.com
update.hannarng.kro.kr
update.modernmap.n-e.kr
8ab2d48467440eb17fd971386f845a1fa6231c3452cb1c8a2a6a8e7abdfeb808
4bb78bd5f07638b334e135623c44d1211372a66606036fc1b903ffde87894d4e
0de3202c4808cbb6213fc0d316039b89975b942922db9df18cce39399d415932
69059dd931f3b5d44a722c6d1e3b60aa6cba8c6077c71c8018434cd8d17878e2
bce769212f906ff3edecee4eea8de515e20afeaeca8ad4a39a9d40e92eb9c3b6
f18c89a434215a99b4949768ace67ea25a5bba13cef74fe8e1fe38cfc905d137
e7e2b29e310bb693139e13cfaad732acb1df6d0512e1cec7f090261c34e9664c
netra.atwebpages.com
update.hannarng.kro.kr
update.modernmap.n-e.kr