작년 말 화이트해커의 밤 행사에 참여했었는데, 그때 한참 윤석열 전 대통령의 계엄령 선포로 시끌시끌하고 뒤숭숭하던 시기였다.(아직도 그렇지만 말이다) 거기서 재밌는 이야기를 들었다. 대한민국에 아주 많은 관심을 가지고 있는 누군가가 이 이슈를 사용해 곧바로 악성파일을 유포하기 시작했다는 것이다. 유포 방법은 피싱 메일이다. 피싱메일에 악성파일 첨부하고 사용자의 실행을 유도하는 방식을 사용했다. 해당 포스팅에서는 이 악성파일을 한번 분석해보겠다.
1. 악성파일 살펴보기
- 파일 이름 : [한글] 계엄사-합수본부 운영 참고자료[원본].hwp.cpl
- 파일 해시 : 64A77EDC15AAD8BFC6829363926DD7F3020751C821A04015B43BF06AAE27A956
해시 확인 결과 바이러스 토탈에는 아직 올라와있지 않다.
2. 악성파일 초기 분석
악성 파일 초기 분석방법들을 소개한다. 우선은 자동화된 방법부터다.
2-1. 자동화된 분석 방법
- 시그니쳐 검색 : 파일의 해시로 이미 분석된 결과가 있는지 검색한다
- 샌드박스 테스트 : 샌드박스 플랫폼을 이용해 해당 파일이 악성 파일인지 탐지해본다.
- 백신 검사 : 백신을 이용해서 해당 파일이 악성인지 검사해본다
자 우리는 위 세개 방법은 생략하고 아래 직접 분석 방법으로 넘어가보도록 하겠다.
2-2. 직접 분석 방법
- 파일 시그니쳐 탐색 : 헥스에디터로 파일을 열어 파일의 시그니쳐를 확인해본다.
- 파일 구조 탐색 : 파일의 섹션 정보와 패킹 유무를 확인해본다.
파일의 첫 2바이트가 너무나도 친숙한 4D 5A로 시작한다. 바로 windows 시스템에서 executable 한 파일 인 MZ 시그니쳐를 의미한다. 이제 우리는 합리적 의심을 해볼 수 있다. 너무나도 수상하기 때문이다.
일단은 hwp.cpl 2중 확장자를 사용했고, 시그니쳐를 까보니 실행가능한 파일이다. 그렇다면 이제 실제 분석 도구를 사용해서 좀더 자세하게 확인해 보아야겠다.
필자는 위 사진에 보이는 CFF Explorer와 Exeinfo PE 두개 프로그램을 참 애용한다. 몇 가지 정보를 확인할 수 있는데, 보면 프로그램에 대한 인증서가 존재하지 않는다. 또 MSVC++ 7.10 버전으로 컴파일 되었고 패킹이 되어있지 않다. 즉. 별다른 과정 없이 해당 실행파일을 뜯어볼 수 있다는 의미다.
자 그럼 이 실행파일이 어떤 동작을 하는지 추정해보기 위해서 곧바로 리버싱을 해 볼수도 있겠지만, import 하는 dll 을 살펴봄으로써 기능을 추정해볼 수 있다.
WINHTTP.dll 을 import 한다. 해당 dll 파일에는 http 통신을 위한 기능들이 구현되어 있다. 즉 해당파일을 실행하면 C2(C&C) 서버와 통신 후 그 다음 어떤 행위들을 할 것이라 추정해볼 수 있다.
해당 C2주소는 프로그램 안에 무조건 내장되어 있겠지만, 평문으로 그대로 입력하면 너무 쉽게 확인되기 때문에 공격자들은 보통 난독화를 수행한다. 그래도 혹시나 하니 한번 문자열을 추출해보자.
뭔가 알수없는 인코딩된듯한 문자열과 \GoogleUpdater\Updater.exe 라는 파일명 그리고 Http 통신 연결과정에서 분기처리를 위한 문자열들이 확인된다. 즉 이 실행 파일은 어떤 인코딩된 IP주소 또는 URL에 대해 통신하는 기능을 가진 것으로 추정할 수 있고 Updater.exe 라는 파일도 뭔가 관련이 있을것이라 생각해볼 수 있다.
이제 더 깊은 분석을 위해서는 샌드박스 분석 또는 리버싱을 진행해야한다. 필자는 현재 구축해놓은 샌드박스 시스템이 없으므로 리버싱으로 진행해보겠다.
3. 악성 파일 상세 분석
3-1. 악성 파일 분석 접근 방법
리버싱은 분석가별로 저마다의 노하우가 있다. 필자의 방법이 정답은 아니다. 참고만 하기 바란다.
필자는 다음 방법을 주로 사용한다.
- 문자열 탐색 후 해당 의심되는 문자열 근처의 문맥 파악
- Import table에서 임의 코드실행이나 파일 접근 또는 웹 통신 기능의 레퍼런스들을 따라 우선 분석
보통 악성파일들은 위 세가지 범주에서 크게 벗어나지 않기 때문에 핵심적인 기능을 우선적으로 파악이 가능하다. 그럼 다음으로 진행해보자.
3-2. 악성 파일 분석하기
문자열을 확인해보자.
필자는 이 부분이 굉장히 의심스럽다. 따라서 위 문자열이 사용되거나 참조된 부분을 추적해볼 것이다.
인코딩된 문자열을 바이트코드로 변환하고 있다.
web request의 user agent 부분이 하드코딩 되어있고, 특정 github 경로로 접근하고 있다.
ProgramData 경로에 GoogleUpdater라는 디렉토리를 생성하는것으로 추정된다.
특정 깃헙 주소에서 악성 파일을 다운로드 한다.
이후 다운로드한 악성파일로 프로세스를 생성한다.
위에서 바이트코드화 했던 문자열로 어떤 디코딩 작업을 수행하는 것으로 추정된다. sub_10001450 함수가 바로 그것이다. 디코딩 된 키가 어디에 사용되는지 까지는 분석을 진행하지 않았다.
또 import 테이블을 보면 필자가 얘기했던 코드 실행이나 웹 통신기능을 수행하는 함수들을 발견할 수 있다. 다만 위에서 이미 기능들이 충분히 확인 가능하기 때문에 이 함수들의 레퍼런스를 따라가는 작업은 굳이 필요하지 않을 것 같다.
만약 저런 Windows API 의 호출 레퍼런스를 따라 분석하려면 해당 함수의 기능과 전달인자를 위 사진처럼 MDSN에서 확인할 수 있다. 이를 참고하며 분석을 진행하면 된다.
3-3. 추가 분석
현재는 닫혀있지만, 해당 깃헙 페이지가 오픈되어 있을때 공격에 사용된 추가적인 악성 파일들이 존재했다.
이런 디코이 문서와
반디집 업데이터를 사용한 DLL Hijacking 공격을 수행하는것으로 추정되는데, 업데이터 파일 자체는 정상이나 version.dll 파일이 악성 dll 로 확인된다.
4. 공격자가 사용한 공격 기법
- (T1566) Phishing
우선 공격자는 실시간으로 사회적 이슈를 캐치, 우리의 관심을 끌어낼 수 있는 아주 매력적인 토픽으로 파일 이름을 작성했다. 그리곤 악성파일이 첨부된 피싱 메일을 발송했다. 이것이 바로 공격자의 첫 번째 사회공학적 공격 기법이다.
https://attack.mitre.org/techniques/T1566/ - (T1036.007) Masquerading: Double File Extension
또 파일에 이중확장자를 사용했다. 예전에 필자가 lnk 악성파일 글을 포스팅 하면서 이중확장자의 위험성과 확장자 표시에 대한 중요성을 굉장히 강조한적이 있다.
https://attack.mitre.org/techniques/T1036/007/ - (T1036.008) Masquerading: Masquerade File Type
우리는 파일 시그니쳐를 확인했다. 파일 시그니쳐는 executable 한 4D 5A 였지만, 공격자는 .hwp.cpl 확장자를 사용했다. 즉 파일 유형을 위장한것이다. 공격자는 우리가 해당 파일을 한글 워드프로세서 파일인 hwp 파일로 착각하기를 기대했을 것이다. 이것이 바로 두 번 째 사회공학적 공격 기법이다.
https://attack.mitre.org/techniques/T1036/008/ - 파일을 실행하면 새로운 악성 파일을 다운로드한다. 즉 파일 다운로더로써 동작한다.
- LOTS(Leaving off the Trusted Site) 공격. github이라는 오픈소스 관리 플랫폼을 악성파일 유포지로 사용했다.
5. 대응 방안
5-1. 확장자 표시
이전 포스팅의 대응 방안에서도 얘기했지만 확장자 표시 기능을 꼭 활성화 하자. 우리가 한번 더 이상함을 느끼고 실행을 방지하도록 도와준다.
참고(대응방안 부분 참고)
https://darkest.tistory.com/75
[windows] 윈도우 해킹(2), lnk 파일 악성코드
WMIC 글을 작성하고 보니 다른 여러가지 케이스들도 정리해보면 어떨까 하는 생각이들었다. 윈도우 시스템에서 악용될 수 있는 RCE 수단은 정말 다양하다. 그 중에 최근 북한 APT 그룹이 많이 사용
darkest.tistory.com
5-2. 피싱 메일 주의
이런 사람의 심리를 파고드는 사회공학적 공격 기법은 간단하지만 굉장히 강력하다. 우리는 메일 첨부파일을 보면 실행해도 괜찮은지 한 번 더 생각해볼 필요가 있다. 특히 랜섬웨어 공격이 이런 방식으로 굉장히 많이 사용되었다. 그리고 이는 아마 현재 진행형일 것이다.
6. 참조
관련 보안뉴스 기사
https://m.boannews.com/html/detail.html?tab_type=1&idx=135093
[긴급] ‘방첩사 작성한 계엄문건 공개’ 메일, 열어보면 털린다
12월 11일 오후부터 ‘계엄’ 관련 정보 공유로 위장한 해킹 메일이 대규모로 유포되고 있는 것이 파악돼 국민과 기업, 기관 관계자 등 메일 사용자들의 각별한 주의가 필요하다. 해당 메일은 ‘
m.boannews.com
S2W에서 분석한 글도 확인된다
https://s2w.inc/ko/resource/detail/730
'콤푸타 > 해킹&보안' 카테고리의 다른 글
| [windows] 윈도우 이벤트 분석 (2) - RDP(원격 연결) & 로그온 기록 분석 (0) | 2025.01.18 |
|---|---|
| [windows] 윈도우 로컬 환경 로그온 과정 상세 분석 (0) | 2024.12.06 |
| [windows] 계정과 권한 그리고 UAC(User Account Control) (0) | 2024.12.02 |
| [windows] 윈도우 해킹(2), lnk 파일 악성코드 (0) | 2024.11.30 |
| [windows] 윈도우 해킹(1), WMIC (0) | 2024.11.29 |