PostScript를 이용한 한글 악성코드

malwares.com 코드분석팀 분석 자료


<부제 : 요즘 대세는 PostScript/GhostScript >


1. 개요

 
최근 북한의 사이버 공격 그룹이 세금관련 한글문서를 이용해 국내 가상화폐 기업을 공격한 사례가 보도된 바 있다. 해당 북한 공격그룹은 TEMP.Hermit로 다음의 문서 파일을 통해 PEACHPIT 악성코드를 유포했다. 

  • 세무조사준비서류.hwp 
  • 법인(개인)협의거래보고내역.hwp
  • 납세담보변경요구서.hwp
  • 환전_해외송금_한도_및_제출서류.hwp
  • 2017년5월까지감지된유사수신행위와법률적조치.hwp
  • 국내가상화폐의유형별현황및향후전망.hwp
이러한 악성 문서 파일들은 최근 유행하는 한글 파일내에 EPS (Encapsulated PostScript) 를 삽입해 동작시키는 형태이다. EPS는 Adobe 측에서 공개한 언어로 인터프리터인 GhostScript를 이용해 문서나 이미지를 화면에 출력한다. 그럼 PostScript 또는 GhostScript를 이용한 악성 한글 문서 내부를 살펴보자. 



2. 분석 정보 

(1) 국내가상화폐의유형별현황및향후전망.hwp

< 그림 1. 문서 파일내 삽입되어 있는 EPS 파일 >


  • 경로 : BinData ▶ BIN0012.ps
최근 탐지되는 악성 문서 파일의 경우 [그림1]과 같이 EPS를 이용해 악성 동작을 수행한다. 
위의 악성 파일 또한 BinData 내에 EPS 파일이 삽입되어 있으며 해당 데이터를 추출해 압축을 해제하면 다음과 같은 EPS 코드를 확인할 수 있다. 

< 그림 2. EPS 파일 압축 해제 >


압축해제된 EPS 파일내에는 암호화된 데이터와 암호화된 데이터를 복호화하는 코드가 함께 들어 있으며 해당 샘플의 경우 다음과 같은 정보를 갖고 있다. 

  • 복호화 방식 : XOR
  • 복호화 키 : 0xB4 0x5C 0xD1 0x6C

따라서 암호화된 데이터를 추출해 확인된 복호화 방식과 키를 이용해 복호화를 수행하면 암호화된 데이터는 PE 파일임을 확인할 수 있다. 

< 그림 3. 복호화된 데이터 추출 >


따라서 해당 악성 파일은 다음의 순서로 실행된다. 



(2) 납세담보변경요구서.hwp

< 그림 4. 문서 파일내에 삽입되어 있는 EPS 파일 >


  • 경로 : BinData ▶ BIN0001.ps
위와 같이 BinData 내에 첨부되어 있으며 추출된 데이터는 압축되어 있으므로 압축을 해제하면 다음과 같은 데이터를 얻을 수 있다. 

< 그림 5. 압축해제한 EPS 파일 >


압축해제한 EPS 파일의 경우 실행파일이 삽입되어 있으며 다음의 경로에 파일을 생성하도록 되어 있다. 

  • 생성 파일명 : //..//..//Roaming//Microsoft//Windows//Start Menu//Programs//Startup//SMHost.exe
  • 실행 방법 : 시작 메뉴 등록 

따라서 해당 악성 파일은 다음의 순서로 실행된다. 



3. IoC

< 그림 6. 연관 파일간의 관계도 >




이 글을 공유하기

댓글(0)