WSF 파일 형태로 유포되는 APT 공격 주의
Contents
지난 1월18일 안랩은 고객사로부터 APT 공격 형태와 유사한 WSF(Windows Script File) 악성코드를 접수받았다.
WSF(Windows Script File)파일은 윈도우에서 실행되는 스크립트 파일의 확장자로 사용되며 자바스크립트, VB 스크립트 등 다양한 언어를 지원한다. 출처가 불분명한 수신 메일에 WSF 확장자, JS 확장자 등 스크립트 파일이 첨부되어 있다면, APT 악성코드 이외에도 랜섬웨어 등 다양한 악성코드에 노출될 수 있으므로 사용자의 각별한 주의가 필요하다.
첨부된 WSF 악성코드 파일의 전체적인 APT 동작 과정은 [그림 1]과 같다.
[그림 1] 악성코드의 전체적인 동작 과정
첨부된 WSF 파일을 실행하면 사용자에게 정상 한글 문서를 화면에 보여주고, 백그라운드에서는 악성코드 유포 서버로부터 악성 DLL을 다운받아 실행한다. 실행된 악성 DLL에는 시스템 정보를 유출하는 기능과 추가 악성코드를 다운로드 하는 기능이 존재한다.
1) “정보보고.WSF” 파일의 동작 과정
“정보보고.WSF”는 내부에 정상 HWP 파일을 포함하고 악성 DLL을 다운로드 및 regsvr32.exe에 악성 DLL을 적재하는 기능을 갖고 있다.
특이한 점은 이후 설명할 ㄱ)~ㅂ) 까지의 악성 행위를 수행하는 동안에 각 단계마다 특정 사이트에 접속을 시도한다. 이는 악성코드 제작자가 자신이 유포한 WSF 파일을 통해 공격이 어디까지 수행되었고, 파급력은 어느 정도인지 확인하기 …
WSF(Windows Script File)파일은 윈도우에서 실행되는 스크립트 파일의 확장자로 사용되며 자바스크립트, VB 스크립트 등 다양한 언어를 지원한다. 출처가 불분명한 수신 메일에 WSF 확장자, JS 확장자 등 스크립트 파일이 첨부되어 있다면, APT 악성코드 이외에도 랜섬웨어 등 다양한 악성코드에 노출될 수 있으므로 사용자의 각별한 주의가 필요하다.
첨부된 WSF 악성코드 파일의 전체적인 APT 동작 과정은 [그림 1]과 같다.
[그림 1] 악성코드의 전체적인 동작 과정
첨부된 WSF 파일을 실행하면 사용자에게 정상 한글 문서를 화면에 보여주고, 백그라운드에서는 악성코드 유포 서버로부터 악성 DLL을 다운받아 실행한다. 실행된 악성 DLL에는 시스템 정보를 유출하는 기능과 추가 악성코드를 다운로드 하는 기능이 존재한다.
1) “정보보고.WSF” 파일의 동작 과정
“정보보고.WSF”는 내부에 정상 HWP 파일을 포함하고 악성 DLL을 다운로드 및 regsvr32.exe에 악성 DLL을 적재하는 기능을 갖고 있다.
특이한 점은 이후 설명할 ㄱ)~ㅂ) 까지의 악성 행위를 수행하는 동안에 각 단계마다 특정 사이트에 접속을 시도한다. 이는 악성코드 제작자가 자신이 유포한 WSF 파일을 통해 공격이 어디까지 수행되었고, 파급력은 어느 정도인지 확인하기 …