#kimsuky 북한비핵화컨트롤타워구축(안).wsf

"북한비핵화 추진을 위한 정부 컨트롤타워 구축"으로 위장한 악성코드

IOC 

  - FileName : 북한비핵화컨트롤타워구축(안).wsf

  - Size : 442,864 Byte

  - MD5 : F0255DFCB932C3072C2489124B25B373

 

  - File : 정상 한글 문서

  - Size : 18,944 Byte

  - MD5 : 9341DAE9DB90AADDC9F547767B6CC011

 

  - File : 악성 DLL 파일

  - Size : 311,296 Byte

  - MD5 : 739D14336826D078C40C9580E3396D15

 

악성코드 분석

 - WSF파일 내에는 BASE64로 인코딩된 데이터가 존재한다.

  - 각 데이터를 BASE64 디코딩을 하게되면 아래와 같이 한글파일 형식과 MZ헤더를 확인할 수 있다.

  - 한글문서로 위장하기 위해 정상 한글문서를 실행하고 악성 DLL 파일을 실행한다.

  > 명령 : cmd.exe /c powershell.exe -windowstyle hidden regsvr32.exe /s {DLL경로}

 

  - 예전에는 한글 EPS 취약점을 이용한 공격방법이 많았지만, 요즘은 스크립트 형태로 정상 문서를 실행하고 악성코드를 실행하는 형태인것 같다. 아래는 악성코드 실행시 나타나는 정상 한글 문서이다.

 

● 악성 DLL 분석

  - 자동실행 메커니즘을 구현하기 위해 레지스트리에 등록한다. 

    > 데이터 :  regsvr32.exe /s "C:\ProgramData\Software\Microsoft\Windows\Defender\AutoUpdate.dll“

    > 이름 : WindowsDefenderAutoUpdate

 - 악성코드는 특정 경로에 폴더를 생성하고, 자신을 복사한다.

   > 생성 폴더 경로 : ① C:\ProgramData\Software\Microsoft\Windows\Defender

                             ② C:\ProgramData\temp

   > 복사 대상이 존재할 경우 충돌이 일어나므로, 해당 파일명을 미리 삭제

 

 - CreateProcess 함수를 이용하여 다시, 자기자신을 실행

 

 - 자기자신을 다시 실행하여 레지스트리 등록 여부를 확인하여 존재할 경우 아래와 같은 코드를 수행

 - 중복실행 방지를 위해 뮤텍스를 생성

   > 뮤텍스 명 : DropperRegsvr32-20210504113516

 

 - 디스크 볼륨 정보와 사용자 정보를 수집

 

 - 아래는 C&C 서버와 통신하는 로직이다. 해당 서버는 분석시 닫혀있어서 추가 분석 진행이 안되었지만, 아래 코드 이외에 InternetReadFile , 인젝션 함수등이 존재하여 추가 행위를 할 것으로 판단된다. C&C 서버와 통신을 해서 얻은 데이터나, 위에서 생성한 임시파일을 이용할듯???

 

  - C&C 서버 : hxxp://yes24-mart.pe.hu/bear/?m=a&p1={}-{}&p2={}-D_Regsvr32-v2.0.7