분석 정보/악성코드 분석 정보

[악성코드 분석] HWP2018.exe 위장 악성파일 분석

TACHYON & ISARC 2017. 12. 28. 18:13

HWP2018 실행파일로 위장한 악성코드 유포 주의!


1. 개요 


최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다.


이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다.


또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다.


이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

HWP2018.exe

파일크기

1,495,040 byte

진단명

Trojan-Dropper/W32.Inject.1495040

악성동작

키보드 입력값 탈취 / C&C서버와의 통신 시도












2-2. 유포 경로

해당 악성코드는 불법 소프트웨어를 사용하려는 사용자를 노려 ‘HWP2018’ 파일로 위장하고 토렌트, P2P 사이트를 통해 유포되고 있는 것으로 확인됐다.


[그림 1] 토렌트에 유포되고 있는 악성파일[그림 1] 토렌트에 유포되고 있는 악성파일




2-3. 실행 과정

해당 악성 파일을 다운로드할 경우, [그림2]와 같이 다운로드 받는 파일 목록 내 최상위 폴더에서 실행파일로 위치하여 사용자들이 실행을 유도하고 있다. 


'HWP2018.exe' 로 위장한 악성파일을 실행하면 ‘C:\’ 하위 경로에 office 폴더를 생성하고 'office.exe' 라는 파일명을 가진 파일이 복사 후 실행된다. 실행 된 'office.exe'는 계속해서 C&C 서버와 통신을 시도하며 사용자의 키보드에서 발생하는 입력값을 특정 파일에 저장하여 탈취한다.


[그림 2] 다운로드 받는 파일 목록[그림 2] 다운로드 받는 파일 목록






3. 악성 동작


3-1. 자동 실행 등록

해당 악성코드는 자기 자신을 자동 실행 레지스트리에 등록한다. 이로써 PC를 재부팅 하더라도 사용자가 PC에 로그온하면 자동 실행되어 악성동작을 수행한다.


[그림 3] 자동시작을 위한 레지스트리 값 등록[그림 3] 자동시작을 위한 레지스트리 값 등록




3-2. C&C 서버와의 통신 시도

실행 된 'office.exe'는 특정 도메인을 DNS 서버에 질의하며 통신하는 것으로 확인됐다. 하지만 현재 분석시점에서는 원격지와 정상적으로 연결되지 않는 것으로 보인다.


[그림 4] 통신 시도[그림 4] 통신 시도



해당 악성코드가 접속을 시도하는 도메인을 분석한 결과, [그림 5]와 같이 C&C서버의 위치가 ‘KR’로 되어 있는 것으로 확인할 수 있다. 따라서 해당 특징과 앞서 악성 파일이 한글 문서 편집기 파일로 위장했던 점을 미루어 보아 국내 사용자를 겨냥한 악성코드로 보여진다.


[그림 5] 도메인 정보[그림 5] 도메인 정보




3-3. 키보드 입력 탈취

'HWP2018.exe' 악성코드는 사용자의 키보드 입력값을 탈취하기 위해 다음과 같이 ‘%AppData%\Roaming’ 하위 경로에 ‘office’ 폴더를 생성하고 ‘klg_[랜덤값].dat’ 파일을 만든다.


[그림 6] 키값 로그 파일 생성[그림 6] 키값 로그 파일 생성



해당 파일에는 감염된 사용자의 키보드 입력값 및 키보드 입력이 발생한 프로세스 정보가 base64로 인코딩되어 저장된다. 현재 분석시점에서는 C&C 서버와 정상적으로 연결이 되지 않지만, 만약 C&C 서버와 연결이 이루어질 경우 ‘klg_[랜덤값].dat’ 에 저장된 키보드 입력값을 탈취할 것으로 짐작하게 한다.


[그림 7] 저장된 키보드 입력값[그림 7] 저장된 키보드 입력값






4. 결론



이번 보고서에서 알아본 바와 같이 해당 악성코드는 국내 사용자가 자주 사용하는 소프트웨어로 위장했다는 점과 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 사용자가 프로그램을 실행할 수 있다는 점에서 문제가 되고 있다. 이렇게 불법으로 다운받은 소프트웨어가 개인 정보 유출로 이루어질 수 있기 때문에 사용자는 더욱 주의를 기울일 필요가 있다.


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 정품을 구입하여 사용하는 것을 권고한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면