하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 일일 동향보고로 위장한 악성 한글 문서
등록일 :
2018.09.13

□ 개요

이번에 발견된 악성 한글 문서는 한국 부동산 개발 협회에서 작성한 일일 동향보고로 위장하고 있다. 해당 악성코드는 국내 부동산 시장에 대한 관심이 높아지고 있어 국내 사용자들을 대상으로 유포되고 있는 것으로 추정된다. 

 

□ 내용

북한의 사이버 공격 그룹으로 알려진 라자루스는 한글 문서 파일을 악용하여 지속적인 공격을 시도하고 있는 것으로 보인다. 라자루스 그룹은 3.20 사이버 테러, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹 등 주요 해킹 사건 때마다 등장하는 그룹으로 국내에 한글 문서 파일을 악용해 지속적으로 공격을 시도하고 있다. 이번에 발견된 '일일동향보고_180913.hwp' 악성 한글 문서도 라자루스 그룹이 제작한 한글 문서구조와 악성 코드가 유사하다.


[그림 1] 일일 동향 보고


한글 구조 내부 PS 파일에 쉘코드를 포함하고 있으며 16바이트 XOR 키로 쉘코드를 복호화한다.  

 

[그림 2] 한글 구조 내부에 포함된 PS 파일     

 

쉘코드가 실행되면 특정 주소에서 파일을 다운로드한다.

URL : hxxps://txxxx.exxxxx.xx/wp-content/uploads/2018/04/profile_1.gif (32bit)
        hxxps://txxxx.exxxxx.xx/wp-content/uploads/2018/04/profile_2.gif (64bit) 

 

[그림 3] 파일 다운로드   

 

다운로드 받은 profile_1.gif, profile_2.gif 파일을 XOR연산을 통해 0xAA로 디코딩한다. 

 

[그림 4] profile_1.gif 파일 (XOR 디코딩)


 

[그림 5] profile_2.gif 파일 (XOR 디코딩) 

 

XOR 연산하여 디코딩한 profile_1.gif 및 profile_2.gif 파일을 실행하면 다음과 같은 C&C 서버에 접속을 시도한다.

C&C 서버: hxxp://axxxxxxxxx.xx.xx/wp-includes/rest.php

              hxxp://51xxxxxxxxx.xxx/include/partview.php 

              hxxp://new.xxxxxxx.xx/wp-includes/common.php

 

□ 바이로봇 업데이트 내역
HWP.Exploit

BIN.Agent

Trojan.Win32.Agent

Trojan.Win64.Agent 


  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top