lazarusholic

Everyday is lazarus.dayβ

MS-Office 수식 편집기 취약점을 이용해 설치되는 키로거 (Kimsuky)

2024-05-29, Ahnlab
https://asec.ahnlab.com/ko/66135/
#Kimsuky #CVE-2017-11882

Contents

AhnLab SEcurity intelligence Center(ASEC) 에서는 Kimsuky 공격 그룹이 최근 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)을 악용해 키로거 악성코드를 유포한 내용을 확인했다. 공격자는 취약점을 사용해 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 키로거 악성코드를 유포했다.
mshta로 접속하는 페이지는 실제 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 로 “error.php” 파일명을 사용한다. 사용자는 [그림 2]처럼 “Not Found”라는 문구를 통해 접속 되지 않는 것 처럼 보이지만, 악성 스크립트는 실행된다.
[그림 3]은 error.php의 내용이다. 주요 행위로는 파워쉘 명령어로 C2(Query=50) 에서 추가 악성코드를 받아와 실행하고, Users\Public\Pictures 경로 하위에 desktop.ini.bak 파일을 생성하며, 재실행을 위해 HKLM 하위 Run키에 “Clear Web History”이름으로 desktop.ini.bak 파일을 등록한다. Powershell을 통한 추가 악성코드를 받아와 실행되었지만, 공격자는 wscript를 실행하는 부분의 잘못된 코딩으로 Run키 등록과 파일 생성을 실패했다. 재현을 위해 스크립트를 수정해 정상적으로 실행하면 파일이 생성되며, [그림 4]처럼 재실행을 위한 레지스트리 키 등록을 정상적으로 수행한다.
첫 번째로 받아오는 악성코드는 파워쉘 스크립트로 [그림 5]와 같다. 시스템 정보, IP등의 정보를 수집하여 C2(Query=97)로 전송하며, 키로거 악성코드를 C2(Query=107)로 부터 받아와 실행하는 기능이 있다.
[그림 6]은 키로거 …

IoC

279c86f3796d14d2a4d89049c2b3fa2d
5bfeef520eb1e62ea2ef313bb979aeae
d404ab9c8722fc97cceb95f258a2e70d