[HWP Malware] EPS Buffer Overflow를 이용한 악성한글문서 분석

최근(2016.10) 한글 문서형 악성코드를 우연히 입수하게되어서 간단히 정리만 함

(관련기사) http://www.focus.kr/view.php?key=2016111000114130651 - '최순실 사태' 틈타 북한 소행 추정 사이버테러…악성코드 조심

해당 악성코드는 예전에 분석했던 HWP ParaText 취약점을 이용한 악성코드가 아닌 Ghost Script를 이용하여 쉘코드를 실행시킨다.

아래는 간단한 파일정보 스샷

HwpScan2 툴로 파일 구조를 살펴보면 바이너리 데이터 영역에 EPS 확장자를 가진 데이터가 존재하며, 압축해제된 데이터에는 조금 생소한 EPS 스크립트가 들어있는 것을 볼 수 있다.

EPS 확장자는 Adobe사에서 개발한 Encapsulation Post Script 라는 것이며, 응용 프로그램 간에 벡터 아트웍을 이동하기 위한 파일 포맷으로 널리 사용되는 것으로 알려져있다.

스크립트 중간부분에 0x5B 값이 상당히 많이 들어가있고, 스크롤하여 데이터를 내려보면 역시나 쉘코드가 존재한다.

* 취약점 정보

EPS Viewer Buffer Overflow (CVE-2013-0808)   - (참고 링크 #1) http://www.vxsecurity.sg/2016/11/22/technical-teardown-exploit-malware-in-hwp-files/  - (참고 링크 #2) https://www.coresecurity.com/advisories/eps-viewer-buffer-overflow-vulnerability

쉘코드를 디버거에 물려서 분석 진행 (상세 분석과정은 정리하기 귀찮아서 걍 패스)

쉘코드 실행 시 내부적으로 3번 복호화 후 실제 악의적인 기능을 수행한다.

아래 스샷은 1차 복호화 코드 부분 및 복호화 결과를 나타낸 것이다.

다음은 2차 복호화 코드 부분 및 복호화 결과

2차 복호화 후 특정 경로에 파일이 존재하는지 확인하는 과정을 거친다. 파일이 없는 경우 3차 복호화 코드로 넘어가지만, 

파일이 존재하는 경우 파일을 읽어들인 후 계속 진행하게 된다.

조회 대상 파일 경로 (WinXP 기준) : "C:\Documents and Settings\All Users\XecureSSL\iconv.db"

이후 현재 프로세스 목록을 확인한 후 sort.exe 프로세스를 생성시킨다.

나중에 sort.exe 프로세스에 악의적인 기능을 수행하는 코드를 인젝션 시킬 것이다.

(코드인젝션 과정을 위한 API 함수 주소 구함)

인젝션된 코드 실행 시 3차 복호화 과정을 진행한다.

다음은 암호화된 URL 주소를 복호화하는 부분

URL 주소 복호화 후 파일 다운로드를 위한 API 함수의 주소를 구한다.

다운받을 파일의 확장자는 jpg 이지만 실제 파일 헤더는 PE 구조를 가질 것으로 예상된다.

결론은 추가 악성파일을 다운받아 실행하는 악성코드로 판별...

다른건 몰라도 EPS 관련 내용은 미리 알아놔야겠다... 요즘 유행하는듯...?