티스토리 뷰
새로운 HWP 악성코드가 발견되었다. HWP 파일은 "국가안보실 정책자문위원회 전체 회의 계획"이라는 내용을 담고있다.
A new HWP malware has been detected. The HWP file contains "National Security Council Policy Advisory Committee Plenary Meeting".
hwp 파일의 최종 저장자는 cha0520 이며 마지막 저장시간이 2018년 109월 04일 로 되어있는걸로 보아 이미 공격에 사용되었고 이후에 공개된 것으로 추정된다.
The final repository for the hwp file is cha0520, and the last storage time is October 04, 2018. It has already been used in attacks and is supposed to be released later.
hwp 내부에는 EPS 파일이 존재하며 이 파일 내부에는 취약점 실행 코드와 쉘코드가 존재한다.
There is an EPS file inside hwp, and there are vulnerability executable code and shell code in this file.
쉘코드가 실행되면 파일의 특정 영역을 복호화 한다. 복호화는 파일 특정 위치에 존재하는 값과 0x90 을 이용해 복호화 한다.
When the shellcode is executed, it decodes a specific area of the file. The decryption is performed using the value present at the file specific location and 0x90.
복호화된 쉘코드는 iexplorer.exe을 Suspend모드로 실행한 뒤 추가적으로 복호화된 쉘코드를 인젝션한다.
The decrypted shellcode runs iexplorer.exe in Suspend mode and injects additional decrypted shellcode.
인젝션된 쉘코드는 쉘코드 마지막 부분에 인코딩되어 존재하는 데이터를 복호화한 뒤 파일을 다운받아 실행한다. (현재 실행되지 않는다.)
유사 샘플은 아래에서 확인가능하다.
Similar samples can be found below.
https://twitter.com/savNi4413/status/1066296138498629637
IoC
MD5 : 281160972ef8f657139d3801139e6783
SHA-1 : d29c6116691f6124e7c5b6b1ed05589c730a2eb7
SHA-256 : 0a7f9204e62041f86464e44c8ab902c1bb48c23cdfb3f335b4c63d5313773d66
FirstSubmission : 2018-11-24 08:14:48 UTC
Author / Last Saved by : yoonjh337 / cha0520
c2 : hxxp://padosori[.]co[.]kr/_controller/admin/upload_sec/down[.]php