하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 방송국 사례비 지급을 사칭한 피싱 메일 주의
등록일 :
2023.12.29
○ 개요
방송국 사례비 지급으로 위장한 바로가기(.lnk) 파일이 유포되고 있어, 이에 대한 각별한 주의와 철저한 보안 조치가 요구된다. 이러한 파일은 대부분 메일의 첨부파일 유포되고 있으며, 메일 수신자의 개인 정보나 금융 정보 등을 탈취하여 피해를 입히기 때문에, 이메일 출처를 확인하고, 의심스러운 첨부 파일이나 링크를 클릭하지 않는 등의 예방 조치를 취해야 한다.

[그림 1] 사례비 지급 서식으로 위장한 문서 바로가기 파일
○ 상세 분석
  1. 실행 시 DropBox API를 이용하기 위해 Token 인증을 시도
    ※ Token 인증 주소 : hxxps://api.dropboxapi.com/oauth2/token

    [그림 2] Token 인증 코드
  2. Token 인증 후 공격자의 Dropbox에서 "/step3/ps.bin" 경로에 암호화된 PowerShell 코드를 읽어와 AES로 복호화 후 실행

    [그림 3] 암호화된 PowerShell 코드 다운로드 후 실행
  3. 복호화된 ps.bin 파일은 동일한 방법으로 DropBox에서 "/step3/r_enc.bin" 경로에 암호화된 악성코드를 읽어옴.

    [그림 4] r_enc.bin 다운로드
  4. r_enc.bin 파일은 GZip 방식으로 압축 해제 후 Invoke 함수를 통해 메모리 내에서 makeProbe1 함수 실행

    [그림 5] r_enc.bin 파일 압축 해제 후 makeProbe1 함수 실행
  5. 복호화된 r_enc.bin의 makeProbe1 함수는 version103.vbs 파일을 생성 후 실행

    [그림 6] makeProbe1 코드
  6. 생성 경로 MD5
    %Appdata%MicrosoftWindowsTemplatesversion103.vbs 66498FFE232DA5691E0FB23D2B00C933
    [표 1] version103.vbs 파일 정보
  7. 실행된 version103.vbs 파일은 Dropbox에서 "/step3/info_sc.txt" 파일을 읽어와 실행

    [그림 7] info_sc.txt 파일 다운로드
  8. info_sc.txt 파일은 정상 파일로 위장하기 위해 문서를 다운로드 받아와 실행
    ※ 문서 다운로드 주소 : hxxp://dddon.kr/doc/nase/docx/123.docx

    [그림 8] 문서 다운로드 후 실행

  9. [그림 9] 문서 내용
  10. v{랜덤} 파일을 생성 후 10분마다 실행하는 작업 스케줄러 등록

    [그림 10] 작업 스케줄러에 등록된 악성 스크립트
  11. 생성 경로 MD5
    %Appdata%MicrosoftWindowsThemesv{랜덤} 사용자마다 다름
    [표 2] 생성된 악성 스크립트 정보
  12. 실행된 v{랜덤} 파일은는 추가로 PowerShell 파일(w{랜덤}.ps1)을 생성 후 실행

    [그림 11] w{랜덤}.ps1 파일 생성 코드
  13. 생성 경로 MD5
    %Appdata%MicrosoftWindowsw{랜덤}.ps1 7649972A60A64258C3D484CCA7D6464D
    [표 3] 생성된 PowerShell 파일 정보
  14. 실행된 w{랜덤}.ps1 파일은 공격자의 DropBox에서 "/step3/m_ps.bin" 파일을 가져와 복호화 후 실행

    [그림 12] w{랜덤}.ps1 파일 코드
  15. 복호화된 m_ps.bin 파일은 감염 PC의 IP 정보를 수집 후 공격자의 Dropbox에 접속하여 "/Log" 폴더에 IP 주소 이름의 폴더를 생성

    [그림 13] IP 정보 수집 후 Dropbox에 폴더 생성
  16. 이후 공격자의 Dropbox에서 "/step3/ad_ps.bin"을 가져와 복호화 후 실행

    [그림 14] ad_ps.bin 복호화 후 실행
  17. 복호화된 ad_ps.bin 파일은 중복 실행을 방지하기 위해 Mutex 생성
    ※ Mutex 이름 : GlobalAlreadyRunning191122

    [그림 15] Mutex 생성
  18. 이후 감염 PC에서 키 입력 및 클립보드를 감시하며 파일로 저장
    ※ 키로깅 저장 경로 : %Appdata%MicrosoftWindowsThemesversion.xml

    [그림 16] 키로깅 코드 일부
  19. 기록된 키로깅 파일(version.xml)은 10분마다 C&C 서버로 전송
    ※ C&C 서버 : hxxp://gbi????.com/inc/basl/up1/show.php

    [그림 17] version.xml 전송
○ 바이로봇 업데이트 내역
  1. LNK.S.Downloader
○ IOC
  1. DCE864EABFBD6445682A4671A2FEE1A9
  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)
목록

Top