PostScript를 이용한 한글 악성코드

malwares.com 코드분석팀 분석 자료

<부제 : 요즘 대세는 PostScript/GhostScript >

1. 개요

 

최근 북한의 사이버 공격 그룹이 세금관련 한글문서를 이용해 국내 가상화폐 기업을 공격한 사례가 보도된 바 있다. 해당 북한 공격그룹은 TEMP.Hermit로 다음의 문서 파일을 통해 PEACHPIT 악성코드를 유포했다. 

• 세무조사준비서류.hwp 
• 법인(개인)협의거래보고내역.hwp
• 납세담보변경요구서.hwp
• 환전_해외송금_한도_및_제출서류.hwp
• 2017년5월까지감지된유사수신행위와법률적조치.hwp
• 국내가상화폐의유형별현황및향후전망.hwp

이러한 악성 문서 파일들은 최근 유행하는 한글 파일내에 EPS (Encapsulated PostScript) 를 삽입해 동작시키는 형태이다. EPS는 Adobe 측에서 공개한 언어로 인터프리터인 GhostScript를 이용해 문서나 이미지를 화면에 출력한다. 그럼 PostScript 또는 GhostScript를 이용한 악성 한글 문서 내부를 살펴보자. 

관련기사 보러가기 : 북한 사이버 공격그룹, 세금 관련 한글문서 이용해 국내 가상화폐 기업 공격

2. 분석 정보 

(1) 국내가상화폐의유형별현황및향후전망.hwp

< 그림 1. 문서 파일내 삽입되어 있는 EPS 파일 >

• 경로 : BinData ▶ BIN0012.ps

최근 탐지되는 악성 문서 파일의 경우 [그림1]과 같이 EPS를 이용해 악성 동작을 수행한다. 

위의 악성 파일 또한 BinData 내에 EPS 파일이 삽입되어 있으며 해당 데이터를 추출해 압축을 해제하면 다음과 같은 EPS 코드를 확인할 수 있다. 

< 그림 2. EPS 파일 압축 해제 >

압축해제된 EPS 파일내에는 암호화된 데이터와 암호화된 데이터를 복호화하는 코드가 함께 들어 있으며 해당 샘플의 경우 다음과 같은 정보를 갖고 있다. 

• 복호화 방식 : XOR
• 복호화 키 : 0xB4 0x5C 0xD1 0x6C

따라서 암호화된 데이터를 추출해 확인된 복호화 방식과 키를 이용해 복호화를 수행하면 암호화된 데이터는 PE 파일임을 확인할 수 있다. 

< 그림 3. 복호화된 데이터 추출 >

따라서 해당 악성 파일은 다음의 순서로 실행된다. 

[HWP] 국내가상화폐의유형별현황및향후전망.hwp
└ [DLL] 5E73DDF02808F3D02AB65CB47C9EB0529F4A20D95C640020C4A6F81D59FF5FD6

(2) 납세담보변경요구서.hwp

< 그림 4. 문서 파일내에 삽입되어 있는 EPS 파일 >

• 경로 : BinData ▶ BIN0001.ps

위와 같이 BinData 내에 첨부되어 있으며 추출된 데이터는 압축되어 있으므로 압축을 해제하면 다음과 같은 데이터를 얻을 수 있다. 

< 그림 5. 압축해제한 EPS 파일 >

압축해제한 EPS 파일의 경우 실행파일이 삽입되어 있으며 다음의 경로에 파일을 생성하도록 되어 있다. 

• 생성 파일명 : //..//..//Roaming//Microsoft//Windows//Start Menu//Programs//Startup//SMHost.exe
• 실행 방법 : 시작 메뉴 등록 

따라서 해당 악성 파일은 다음의 순서로 실행된다. 

[HWP] 납세담보변경요구서.hwp

└ [EXE] 7BCBDAFDFFD4BFD408EA53C53DA7ADB82345870E0F14B10A63E065D995062244

3. IoC

< 그림 6. 연관 파일간의 관계도 >

•  Hash

•   541AFA9B9CDFF833F0A6E0B60528636BE33FD8827E143EB3184EEFE2BB234ED9

•   C9E44073DF7CFA6321B08ACC8C3B7B80FD973D612C9D4274409F8FBCF0BF8D1D

•   E4F19FDC2EF890209082E02906C4FAB4D3095540484DF5E8BE5313154D6CD7A5

•   B7E5F9391B12475FDAE20C8AFD6C2A7AB8E8A4072618E3E1543549F098FFED5F

•   126DD2187A4A86752F5D1375084C60727370CF81014A4636CD55A765C2304D2A

•   16A5126924E876B78449FF7ECA701FEE13105DFA9646DE92B4D13142C6F40735

•   58FEBBF2E2F3F2ADD32A81D91A94ED94C7CE4E37B91E6EA5679617E7D899B8B3

•   E5ADBA30F177431F91EF71D322091F6F26298CAC36BFBCCA9E6A1DCEE0BEFF94

•   851723D38C11654D881CB0528AC82F38B43D30CAC9ED12C12364D8B2A47697CC
  
  

•  C2 Server

•   [HK] 59.188.15.196:443 

•   [TW] 203.68.250.10:443

•   [HK] 203.124.12.88:443

•   [US] 107.151.199.160:443

•   [CN] 211.161.153.131:443

•   [CN] 211.149.170.108:443