티스토리 뷰
[개요]
gmail에 alienvault feed 메일이 전송되어 분석을 시작하기로 했다. alienvault는 해당 악성코드 Family를 Kimsuky라 지정했다. 최근 악성 한글 문서 유포 형태에서 워드+매크로, pdf.jse와 같이 확장자 변경+fileless 형태로 변경되는 것 같은 느낌이 든다.
[분석]
본 글(1편)은 세세한 분석보다는 파일이 드롭되는 과정, 드롭된 파일이 대충 어떤 기능을 하는지에 대해 설명한다. 2편에서는 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다.
2편 : https://suspected.tistory.com/280
* VT 정보
hash : 20eff877aeff0afaa8a5d29fe272bdd61e49779b9e308c4a202ad868a901a5cd
submitted name : 외교부 가판 2021-05-07.pdf.jse
First Submission : 2021-08-12 01:12:35
파일명은 외교부 가판 2021-05-07.pdf.jse로 외교부 사칭, jse파일을 pdf로 확장자로 눈속임하는 형태를 지닌다. 바쁘거나 관심이 없는 사람들은 해당 파일을 외교부 pdf 문서라고 착각하여 실행할 수 있으니 주의가 필요하다.
해당 파일 내부를 확인한 결과 javascript로 작성된 스크립트가 작성됐다. 요약하면 d6rdVIu1CNC 변수에는 PDF 미끼 파일, tbPaitkT4N4 변수에는 드롭되는 악성 바이너리가 base64 데이터로 저장된다. 다음으로 특정 경로에 드롭을 진행하여 powershell을 통해 base64 디코딩 및 실행한다.
해당 파일을 실행 시 정상적인 pdf 파일이라는 것을 인지하도록 PDF 미끼 파일이 먼저 실행되도록 설계됐으며, 백그라운드에서는 악성파일 또한 실행된다.
실행되는 미끼 pdf 파일은 외교부에서 작성한 "오늘의 주요뉴스" 내용이 담겨있다.
아래 Python 스크립트를 통해 jse 파일 내부 base64 인코딩된 데이터들을 디코딩 할 수 있다.
import base64
import sys
with open(sys.argv[1], 'r') as a:
b = a.read()
bdbytes = base64.b64decode(b)
with open(sys.argv[2], 'wb') as c:
c.write(bdbytes)
print('Done')
스크립트를 통해 악성 파일이 있는 base64 인코딩 데이터를 해제하면 아래 그림과 같이 1번 더 base64가 나오고 다시 풀면 64bit DLL 파일을 확인할 수 있다. 해당 파일은 UPX로 패킹되어 해제했다.
초반에는 API 리졸빙 기능을 수행해 API들을 동적으로 로딩하는 기능만 존재한다. (엄청 많다..)
18001B2F0->18001B330 순서로 특정 커스텀 인코딩된 문자열을 입력받아 디코딩을 수행하는 형태이다. 이 부분을 디코딩하는 스크립트는 2편에서 다룰 예정이다.
API 리졸빙 후 DLL Export 함수에 있는 DllRegisterServer 함수를 실행한다. 해당 함수에는 키로깅, 자동 실행 등록, 인터넷 통신, 인터넷 접속 기록 조회 등 주요 기능들이 다수 존재했다.
6개의 Thread를 실행한다.
확장자 검색, 수집, 로그 기록
키로깅 수행, 로그 기록
대충 분석해본 결과 C2 서버(texts[.]letterpaper[.]press/?m=a&p1=%s&p2=%s-%s-v%s.%d)에 수집된 데이터 전송 등 통신을 하는 정보유출형 백도어로 분석됐다.
디버깅 결과 : texts[.]letterpaper[.]press/?m=a&p1=[식별자]&p2=[윈도우 버전]-S_Regsvr32-v2.0.6.9
[참고]
[1] https://otx.alienvault.com/pulse/612752782146341e9654bcd9
[2] https://inquest.net/blog/2021/08/23/kimsuky-espionage-campaign
'리버싱 > 윈도우 악성코드 분석' 카테고리의 다른 글
| Windbg로 dll 분석 세팅하기 (0) | 2021.09.08 |
|---|---|
| jse dropper 악성코드 분석 (Kimsuky?) - 2편 (0) | 2021.09.08 |
| 악성코드 분석(암호화폐 거래소(플라이빗-Flybit) 타겟 스피어피싱 공격) (0) | 2020.04.29 |
| 악성코드 분석("[조회]비트코인 투자 카페 강퇴&활동정지" 악성 한글문서) (0) | 2020.04.29 |
| 악성코드 분석(2020 상반기 한국수력원자력 채용공고 사칭 악성 한글문서) (1) | 2020.04.28 |
- Total
- Today
- Yesterday
- .wll
- Kimsuky
- idapython
- CVE-2018-0798
- 비트코인
- 한글악성코드
- cuckoo-sandbox
- infostealer
- 악성코드
- 위협정보공유
- vuln
- VirusBulletin
- malware
- CVE-2018-9375
- Yara
- Flybits
- keylogger
- 스피어피싱
- Cisco Talos
- 출처 : Do it 안드로이드 프로그래밍
- 멋쟁이사자처럼 4기
- koodous
- Bisonal
- Static Analysis Engine
- us-cert
- AMSI
- Decoding
- 해킹메일
- MS-Office
- Servey
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |