티스토리 뷰
exe malware including hwp, disguised as a Vietnamese event estimate.
분석가E 2019. 12. 3. 22:59exe파일 내부에 hwp 파일이 존재하는 악성코드가 헌팅되었다.
퇴근을 해야하니 빠르고 간략하게 분석하고 치우자.
Stage 1. Dropper (베트남 녹지원 상춘재 행사 견적서.hwp .exe )
exe파일이 헌팅되었고 리소스 영역에는 추가 악성코드와 hwp파일이 존재한다. 또한 문자열 테이블에는 "베트남 녹지원 상춘재 행사 견적서.hwp" 라는 문자열이 존재한다. 이 문자열은 드랍하는 hwp파일의 이름이다.
악성코드가 실행하면 HWP파일과 DLL 파일을 드랍하고 실행한다. DLL파일은 NewAct.dat라는 이름의 dll이며 regsvr32.exe를 통해 DllInstall 함수를 실행하게 된다.
Stage 2. Dropped Malware (NewACt.dat)
드롭된 dll파일의 DllInstall함수가 실행되면 같은 폴더 내에있는 *.wsf파일을 삭제한다. (이 공격에서 wsf파일은 사용되지 않았다. 아마 과거 코드의 흔적이 남아있는것으로 추정된다.) 이후 checkdrive라는 export함수를 실행한다.
checkdrive 함수가 시작되면 OS버전이 64비트인지 확인한 후 64비트인경우 서버로 부터 추가 악성코드를 다운받고 실행한다. (lyric64)
64비트가 아닌경우 악성코드 자신을 explorer.exe 프로세스에 DLL 인젝션을 수행한다.
Stage 3. DllMain(injected explorer.exe)
인젝션된 DLL파일은 DllMain을 실행한다. DLL메인은 프로세스 명을 확인하고 explorer.exe인 경우 뮤텍스 생성, 악성행위를 위한 쓰레드 생성 등의 행위를 수행한다. 프로세스이름이 explorer.exe가 아니면서 rundll32.exe도 아닌경우 rundll32.exe를 통해 checkdrive함수를 다시 실행한다. notpad.exe인 경우엔 종료된다.(?!)
mutex name : Papua gloria
이후 C2와 통신해 현재시간등을 로그로 남기고 추가 파일을 다운로드 시도하나 파일이 존재하지 않아 다운로드 되지 않는다. 코드를 제대로 분석하지 않아 확실치 않지만 대략 이런기능을 하는거같다.
kl : 셀프삭제 및 종료
dl : sway 모듈 unload & 삭제 (sway 뭔지 모름 )
dn : sway 모듈 unload & 재 다운로드 후 실행
0010 : 서버로부터 자기자신 재 다운로드 후 실행
기타정보들
다운로드되는 파일들은 순환xor연산을 통해 복호화 한다.
key : 귀찮으니까 복붙....
v14 = 0x52C81B05;
v15 = 0x4B1E4DED;
v16 = 0xD63040D4;
v17 = 0xD08731BF;
v18 = 0x63BEC156;
v19 = 0xB0087D94;
v20 = 0xE8F2E00F;
v21 = 0x82ABC84B;
hwp파일은 "베트남 녹지원/상춘재 행사 견적서"로 위장하고 있다.
결론
올해 초에 나왔단 공격 샘플에서 일부만 수정된걸로 보인다.
(요샘플과 관련있으니 같이 읽어보면 좋다. https://blog.alyac.co.kr/2066)
대충 분석해서 확신이 안서는 부분이 많다. 피드백을 주시면 감사히 듣고 수정하겠습니다.
IOC
베트남 녹지원 상춘재 행사 견적서.hwp.exe
35d60d2723c649c97b414b3cb701df1c
9944ce9354fb8961826339770ffc118000058271
6dfce07abc39e5d6aebd74a1850ad65cc6ce10a8540b551c4f6d441ec4cf48ab
resource_1.hwp
328ba7f982d3d775b7c51756daf14496
4db3f34d439e3d7a04df74e109012da671495c08
6fb5916d8c10589d23fbc7417c5f92476fb9718c702af9eefaac33af1348d4eb
resource_2.dll
e54b370d96ca0e2ecc083c2d42f05210
03c35e4c6a641373db665e7d58cea421188fbc82
1050935f6acee3afda3876478718632b968c986eb9c59fc2e27599c1515515f5
C2
http://antichrist.or[.]kr/data/cheditor/dir1/f.php