악성코드 분석("[조회]비트코인 투자 카페 강퇴&활동정지" 악성 한글문서)

[개요]
[1][2] 이전 게시물에서 분석한 내용과 유사한 공격이 지속적으로 발생하고 있습니다. 이번 공격에는 "[조회]비트코인 투자 카페 강퇴&활동정지"라는 내용의 한글문서가 유포됐습니다. (Figure 1) 비트코인 가격이 최근 상승[3]하는 것으로 보아 비트코인 관련 미끼 문서로 스피어피싱 공격이 이루어지는 것으로 추정되어 관계자 및 개인들의 주의가 필요할 것으로 보입니다.

(Figure 1) 최근 상승하는 비트코인 차트

(Figure 2) Virustotal에서 해쉬값을 조회한 결과 3개의 국내 백신(V3, Alyac, Virobot)에서 탐지한 것으로 확인됐습니다.  

(Figure 2) 탐지된 Virustotal

유포된 한글문서의 내용(Figure 3)에는 비트코인 투자카페 신고관련 내용이 존재합니다. 해당 카페가 존재하는지 확인한 결과 (Figure 4) 실제로 운영되는 카페인 것으로 확인됐습니다. 카페에는 암호화폐 투자에 대한 커뮤니티로 4.29 기준 153,403명의 회원이 있을 정도로 회원들에게 스피어피싱 메일을 보냈을 것으로 추정됩니다.

(Figure 3) 유포된 한글문서 내용

(Figure 4) 실제 운영되는 네이버 카페(비트코인투자카페)

[Hash값 채증]
(Figure 5)는 순서대로 유포된 악성 한글 문서, PostScript, 은닉된 shellcode 순으로 이루어집니다.

(Figure 5) 채증된 해시값

[악성 문서파일(HWP) 및 쉘코드 분석]
(Figure 6) 한글 속성정보를 확인한 결과, 마지막 작성된 시각은 2020년 4월 29일 1시 28분경에 작성된 것으로 확인됩니다.

(Figure 6) 한글문서 속성정보

(Figure 7) 이전 게시물[1][2]과 동일한 패턴의 취약점(CVE-2017-8291)을 사용했으며, 변수명만 다른 것으로 확인됐습니다. 또한, VBScript를 동일하게 쉘코드 내부에서 실행하며, 몇 가지 부분만 달라졌습니다. VBScript 코드 차이점은 아래에서 확인해보도록 하겠습니다.

(Figure 7) 한글문서 내 PostScript 및 쉘코드 텍스트 변환

(Figure 8) 쉘코드도 아래와 같은 방식으로 이전과 100% 동일합니다. (이전 게시물과 중복)
1. GetProcAddress를 이용해 LoadLibrary API 함수 호출 
2. msvcrt.dll 호출 
3. GetProcAddress를 이용해 system API 함수 호출 
4. system API 호출을 통해 VBScript 코드 호출

(Figure 8) 쉘코드 분석 내용

(Figure 9) ~ (Figure 10)는 이전 공격[1][2]과 현재 공격을 비교하여 재표현한 코드입니다.
(Figure 9)에서는 Base64Decode, BinaryToString 함수가 기존과 동일하며, 처음 진입할 때 temp 경로가 아닌 Internet Explorer 경로라는 것이 다릅니다. 

(Figure 9) 이전 공격과 VBScript 비교(1)

(Figure 10)에서 수행하는 공격을 요약하면 아래와 같습니다. (이전 게시물과 내용이 일부 동일)
1. 인터넷 연결을 위한 Microsoft.XMLHTTP, 윈도우 기능을 사용하기 위한 WScript.Shell 객체를 생성
2. OS 환경을 체크하고 64비트가 아니면 종료
3. xURLS 변수에 아래 C2 정보에 GET 메소드를 통해 리소스를 요청 시도 (category.php 파일의 파라미터 uid 값이 0이면 32bit, 1이면 64bit로 동작됨)
(C2-1) https://matteoragazzini[.]it/wp-content/uploads/2017/06/category.php?uid=0&udx=cbedf01fa62a94219e70dae13d3dc984 (단절은 아니지만 파일이 비어있음, MD5로 추정되는 값은 VT에 업로드되지는 않음)
(C2-2) https://matteoragazzini[.]it/wp-content/uploads/2017/06/category.php?uid=1&udx=cbedf01fa62a94219e70dae13d3dc984 (상동)
4. 3번에서 리소스를 받아왔다면, Base64Decode 함수에 받은 HEX 데이터를 BinaryToString 함수로 String 형태로 변환한 뒤 Base64 디코딩 수행 (여기서 알 수 있는 점은 받는 리소스는 Base64 인코딩된 HEX형 데이터일 가능성 농후)
5. 디코딩된 데이터를 %appdata%\Microsoft\Internet Explorer 경로의 ieframe.html 파일명으로 저장 후 "regsvr32 /s ieframe.html" 명령어 실행 (regsvr32는 DLL 및 ActiveX 컨트롤을 등록하기위한 파일입니다)

(Figure 10) 이전 공격과 VBScript 비교(2)

[결론]
본 게시물에서는 비트코인 투자 카페 관련 내용을 미끼문서로 만든 악성 한글문서를 분석했습니다. 추가 유포파일을 채증하지 못해 추가적인 분석은 수행하지 못했지만, 해당 게시물에서 알 수 있는 점은 한글 취약점(CVE-2017-8291)을 이용했고, 최종적으로는 쉘코드 내부 VBScript를 이용해 C2 주소에서 추가 유포파일을 다운로드 시도하는 다운로더(Downloader)였습니다. 또한, 이전 게시물[1][2]과 다운로드 시도하는 과정까지의 TTP가 매우 유사했습니다. PostScript 취약점을 이용한 방법은 과거부터 지속적으로 사용되는 공격자들의 기법으로, 앞으로도 이를 이용한 공격이 언제까지 지속될지 궁금합니다.

추가적으로, 작성한 글[1][2]의 분석 내용과 유사한 점은 아래와 같습니다.
※ TTP가 유사
→ 스피어피싱을 이용해 한글문서를 유포 및 2차 악성코드 다운로드 시도
→ 유포지로 사용한 C2 주소를 취약한 워드프레스 사이트로 사용
→ PostScript, 쉘코드, VBScript 코드 내용이 매우 유사
→ 유포파일을 %temp% 경로에 svchost.exe를 다운로드 후 실행

※ 달라진 점
→ [1]이전에는 Powershell을 이용해 C2에 접속했지만, 이번 공격은 VBScript만을 이용
→ VBScript 코드에서 유포파일을 %temp% 경로가 아닌 %appdata%\Microsoft\Internet Explorer 경로에 html 형태의 파일로 저장 후 regsvr32로 등록 ([1][2]이전에는 svchost.exe로 다운로드하고 실행)

[IOC]
- http://newtocanada.com/wp-content/uploads/mk_logs/bulletin-deliever/mailchimp.php?uid=0&udx=b4244415055b89e24abf61f29672235b
- http://newtocanada.com/wp-content/uploads/mk_logs/bulletin-deliever/mailchimp.php?uid=1&udx=b4244415055b89e24abf61f29672235b
- b746127fa6e7a2d75bf46ce5a31b50e7f82b665b87e4668ebfc79a65bc7029c5
- b0da0630abcd4c5173f8a5da52f13f61969b6c94931d9653b7cb7a7050bdf4ba
- 113d0da9e29dee7ec23d478b73d336e0082212d5c31a4e8af71955f116f5ce02
- 2800978c413eea8b05a58462bf8babcb99c75ab6ee2abc24fd054e7f22c73222

[Reference]
[1] https://suspected.tistory.com/269
[2] https://suspected.tistory.com/273
[3] https://upbit.com/exchange?code=CRIX.UPBIT.KRW-BTC