대북 관련 APT 악성코드

malwares.com 코드분석팀 분석 자료

<부제 : 북한이 이걸 또.. >

1. 개요

malwares.com에서 한글 악성코드문서를 수집했다. 기존 매크로형태의 악성코드가 아닌, 한글프로그램의 취약점을 이용한 악성코드이므로 문서 파일을 실행해보는 것만으로도 동작한다. 악성코드가 실행될 경우, 추가적으로 악성코드를 내려받아서 실행시킨다. 현재는 추가적으로 다운로드되는 사이트가 닫혀있어 동작하지않지만 같은 취약점을 이용한 유사 악성코드가 유포되면 큰 파장이 예상된다. 한글 문서의 분석을 통해 악성코드의 동작을 살펴보자.

관련기사 : '최순실 국정농단' 악성코드 메일 유포... 경찰 수사

2. 악성코드 정보

• SHA-256 : 0D56C5F20B2DA3659F05D613D3FAEB41D9E82A45E9161C3B48805EBB7B2730B9
• 제목: 보위부는 탈북기자가 두려운가
• 파일 크기 : 20,992 bytes
• 최초 탐지 시점 : 2016-09-07 10:24:54

3. 분석

(1) 한글 악성코드

한글파일은 섹션별로 압축되어있어 압축을 풀어보면 아래와 같이 구조를 볼 수 있다.  

< Figure1. 한글 악성코드 구조 >

한글 구조를 살펴보면 BinData 영역이 존재하는데 쉘코드 영역임을 알 수 있다. 특정한 한글프로그램 버전에서

BinData 영역이 실행될것으로 보인다.

< Figure2. 쉘코드 XOR 암호화 >

• 암호화 : XOR
• 키: 0xD5

쉘코드를 0xD5 로 XOR하는 연산이 보인다. 0xD5로 XOR을 연산시킬경우 복호화된 쉘코드를 얻을 수 있다.

< Figure3. 추가 악성코드 다운로드 >

• 추가 악성코드 경로: http://crystalpowercleaning.com/wp-includes/images/wpindex.jpg
• 추가 악성코드 이름: wins.exe
  
• 추가 악성코드 경로: C:\Users\사용자명\AppData\Local\Temp\

쉘코드가 동작하게되면 URLDownloadToFileA함수를 통해 다운로드를 시도한다. 하지만 지금은 경로가 막혀있어 다운로드가 진행되지 않는다.

< Figure4. 추가 악성코드 실행 >

파일이 다운로드 되었다면 WinExec함수를 통해 "wins.exe" 파일을 실행시킨다. 해당 악성코드가 위험한 점은 실행파일이 아닌 문서파일임에도 이러한 동작이 가능하다는것이다.

(2) 유사 악성코드 정보

• SHA-256 : CFE2C79A879D40BA95B4B69D955536B6FC5795612F7A4EB889D5FA3B3B1E76A1
• 제목: 저는요 북조선 강원도 문천 사람이에요.
• 추가악성코드경로: http://acddesigns.com.au/clients/acprcm/kingstone.jpg
• 파일 크기 : 31,744 bytes
• 최초 탐지 시점 : 2016-11-17 13:24:06

• SHA-256 : 7875614ECD08474662A7AA2A1D8830B9EA7749A997B529C5501C35BE4DA9CCCD
• 제목: 엘리트층의 연쇄탈북
• 추가악성코드경로: http://www.portmultimedia.com/wp-includes/wpdict.jpg
• 파일 크기 : 19,456 bytes
• 최초 탐지 시점 : 2016-11-17 08:34:15

위 유사 악성코드는 포스팅한 악성코드와 동일한 동작을 하지만 추가 악성코드 다운로드 경로가 다르다. 그러나

모두 추가 악성코드가 삭제되어 있어 동작을 확인할 수 없다.

(3) 추가 악성코드 경로

< Figure5. 관리자 로그인 페이지 >

추가 악성코드를 다운로드 받는 도메인으로 접속해 페이지를 확인해본 결과 정상적인 웹서비스를 하고 있었다. 

< Figure6. 관리자 페이지 >

관리자 페이지에 접근하기위해 패스워드를 추측해본 결과 로그인이 가능했고, 웹 경로에 파일을 업로드 할 수 있는 기능이 있었다. 악성코드 유포자도 같은 방향으로 접근했을 가능성이 있어보인다. 웹 관리자입장에서 이런 문제점을 주의해야 할것같다.