-
kimsuky_악성 HWP 한글DFIR/malware review 2019. 10. 24. 23:53반응형
악성 한글 문서 내용
- 한반도 대북 정책 관련 한미/한중 외교에 관한 질문 내용
공격 대상
- 국내 주요 공공기관 및 기업
은 정확히 확인하지 못하였으나, 관련 전문가 또는 참가자를 대상으로 했을 것이라 한다.
공격자
- CVE-2017-8291 고스트스크립트 취약점을 이용한 학성 EPS 이미지 포맷 파일을 문서에 삽입하여 악성 기능을 실행함.
파일정보
- 파일 타입: 한글 워드프로세서 문서
- 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp
- MD5: ~
- SHA256: ~
주요행위
- 프로세스에 악성코드 인젝션
악성 한글 문서는 인젝션을 두 번 수행한다. 인젝션 결과 프로세스 트리는 위와 같이 그려진다. 이 과정은 최근 확인되고 있는 kimsuky 유형 hwp 악성코드의 특징이다.
1. gswin32c.exe 프로세스가 한글 프로그램 실행 시 실행되는 HimTrayIcon.exe 프로세스에 쉘코드 인젝션 - RtlCreateUserThread 이용
2. HimTrayIcon.exe 프로세스가 정상 userinit.exe 프로세스를 자식 프로세스로 실행 한 뒤 메모리에 악성 PE를 재구성하여 인젝션 - Context Thread 이용
C&C 접속 및 공격 대상 정보 유출
userinit.exe 프로세스에 인젝션 된 PE파일은 공격 대상 정보 수집 및 유출 기능이 있음.
시스템에 생성한 'a_<랜덤>.bat' 파일을 이용하여 커맨드 명령어를 수행한다.
정리
한글문서파일이 실행될 경우 gswin32c.exe 또는 gbb.exe 프로세스도 같이 실행되고, 정상적으로 생성되는 HimTrayIcon.exe 프로세스에 쉘코드 인젝션을 수행하여 장악(?) 후 HimTrayIcon.exe 프로세스에서 userinit.exe 프로세스를 자식 프로세스로 생성하여 메모리에 악성 PE를 재구성하여 인젝션 함
URL
https://asec.ahnlab.com/1253?fbclid=IwAR15PR5nAOXHi8lqOFJSMNK-q0jvjq_GAvEqOE6aaYAYS9cKpL5cBGD-pus
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27856
반응형