파일 명 | 구조 | Hash (SHA1) |
남북정책토론회 | ffe39eb91e0247fb13bd8fd8152f61a3 |
*IOC : 침해사고 대응 현황 및 침해 지표
분석할 pdf 파일을 열어보면, 이전 문서들과 같이 외부적으로는 별 다른 점이 없으며 일반 파일과 동일한 형태를 띄고 있는 것을 알 수 있다.
대상 파일이 어떤 구조를 가지고 있는지 확인하기 위해 pdfid 명령어를 사용했다. pdfid 명령어로 해당 파일을 확인해보았을 때, 정상적인 파일과 달리 내부에 Javascript가 2개 저장 되어있고 악의적인 수행을 할 것이라고 예측할 수 있다.
해당 pdf 파일을 PDFStreamDumper 도구를 사용해서 분석해보았다. 400개 가까이 되는 오브젝트 파일 중에 악의적인 동작을 할 것으로 예상되는 JS 파일을 발견하였고, 코드를 분석해보았다.
pst 변수에 base64로 인코딩 한 값이 저장된 것 같아 우선 해당 문자열 데이터를 디코딩해주었다
디코딩해주었더니 새로운 JS 코드가 나왔다. 어떤 동작을 하는 지 코드 분석을 진행한 후 실행해보았다.
다양한 함수들이 사용되어 있었지만 가장 핵심적인 함수는 다음과 같다. Uint32Array(), fromCharCode() 이 2가지 함수를 사용하여 악성행위를 하는 C&C서버의 주소를 알아낼 수 있다.
먼저, Uint32Array() 함수를 사용하여 16진수 정수 배열을 생성하여 변수 s에 값을 저장한다. 저장한 값을 여러가지 로직(조건, 반복 등)을 거쳐 문자열로 변환하면 사이트 주소를 얻어낼 수 있다.
http://dktkglrkshqhfn.atwebpages.com/ccom2/download.php?filename=ccom2
또, 어떤 취약점을 사용했는지 분석해보았다. [그림 6] 마지막 코드는 PDF 파일을 열 때 사용하는 Adobe Acrobat 프로그램(유료)에서 JS 객체를 처리할 때 발생하는 CVE-2020-9715 취약점이다. 다만 이 함수는 유료 버전에서만 작동하고, 가장 많이 사용되고 있는 Adobe Reader 에서는 작동하지 않는다. 따라서 해당 pdf 파일은 Adobe Acrobat를 겨냥하여 제작한 악성코드인 것을 알 수 있다.
현재 해당 주소(C&C서버)가 막혀 있어서 더 이상의 분석이 불가능했다.
'Security > Malware' 카테고리의 다른 글
[문서형 악성코드] 악성 .doc 파일 분석 (0) | 2022.11.28 |
---|---|
[문서형 악성코드] .hwp 파일 분석 (0) | 2022.11.28 |