[hwp] 한미우호협회 사칭 악성코드 분석

Information

---

• File Type : hwp

• hash : f2e936ff1977d123809d167a2a51cdeb

• hwp Property Set

• Process Tree

• Contents

Analysis

---

• hwp 내부에는 EPS가 삽입되어 있음

• EPS 내부함수의 xor 연산을 통해 쉘코드가 포함된 추가 루틴을 Decode함

• Decode 된 전문 내부에서 쉘코드를 확인할 수 있음

• 쉘코드를 분석하기 용이한 exe 형태로 변환

• 참고 URL : http://sandsprite.com/sc2exe/shellcode_2_exe.php

쉘코드 분석_1

• NOP slide로 시작하는 엔트리포인트 확인할 수 있음(변환전과 동일)

• XOR 연산을 통해 다음 실행될 루틴을 Decode함

• CreateProcessA를 통해서 iexplorer.exe 프로세스를 생성함

• 생성한 프로세스에 악성행위하는 내용 추가를 위해 아래의 API를 호출함

• WriteProcessMemory 루틴 분석

• 첫번째 인자인 HANDLE을 확인했을 때 84임을 확인할 수 있고, HANDLE 84의 값은 PID : 674

• 0x674 = 1,652 이므로, PID 1652 값임을 알 수 있음

• 두번째 인자인 값인 150000은 iexplorer.exe에 쓸 주소를 나타내고,

• 세번째 인자의 4014D3 주소의 값을 Write함

• CreateRemoteThread 루틴 분석

• lpStartAddress 와 lpParameter 인자로 0x150000(WrtieProcessMemory로 Write한 iexplorer.exe의 내부주소)로 설정되어 있음

• 해당 API를 통해 프로세스가 suspend 상태에서 resume될 것임을 알 수 있음

첫번째 쉘코드는 iexplrer.exe 를 생성하고 추가 쉘코드를 Write 함으로써 악성행위를 수행

쉘코드 분석_2

• LoadLibray API를 통해 wininet.dll 함수를 로드함

• 이후 인자로 아래 URL을 인자로 주고 GetProcAddreass를 통해 wininet.dll dll의 InternetOpenUrlA API를 리턴함

• "hxxp://itoassn[.]mireene[.]co.kr/shop/shop/mail/com/mun/down[.]php"

두번째 쉘코드는 지정된 URL에 접속시도하고, 추가 파일을 다운로드하여 추가 악성행위 실행

• 현재, C&C 서버는 닫혀있음

Uploaded by Notion2Tistory v1.1.0