2019-03-09 / 블랙햇 보이스? mp3파일을 이용한 해킹공격

이스트 시큐리티에서 최근 'mp3'에 악성코드를 첨부하여 사용자의 데이터를 수집하는 해킹공격이 이뤄지고 있다고 발표했습니다.

공격 방식은 이렇습니다.

출처 : Estsecurity(ESRC) https://blog.alyac.co.kr/2182

E-Mail로 상대방 에게 '회의자료' 라는 이름으로 전송을 해 궁금증을 유발시켜 파일을 열어보도록 유도하는 메일입니다.(사회공학 기법)

이와 비슷한 수법으로 2018년 9월 27일에 "자녀분의 녹음자료" 라는 제목으로 공격활동을 했다고 합니다.

사용된 악송 코드의 문자열 디코딩 방법은 동일하다고 합니다.  즉, 같은 해커가 동일한 수법으로 공격했다는 뜻!!

출처 : Estsecurity(ESRC) https://blog.alyac.co.kr/2182

메일에 첨부된 Zip파일을 압축해제 하면 ".exe"로된 파일이 나오고 실행파일 속엔 mp3와 wave 리소스가 있다고 합니다.

즉, .exe파일을 실행하면 녹음이된 mp3가 실행되는걸 사용자는 확인할 수 있지만, 백그라운드로 실행되는 악성코드의 존재는

사용자가 확인할 수 없도록 해놓은 것입니다.

ESRC에선 .exe.파일을 Hex Editor(헥사 에디터)를 통해 분석한 사진이 위 사진입니다.

악성코드는 wave 리소프 파일에 들어 있으며 wave 파일로 위장하고 있다고 합니다.

wave파일에 보면 143, 144가 있는데, 143은 32비트용, 144는 64비트용 악성코드 이며 

악성코드는 svc.dll 이름이라는 파일로 존재한다고 합니다.

(svc는 svchost.exe라는 윈도우 프로세스가 있는데, 이것에 기능은 윈도우 운영체제의 서비스를 관할하기 위한 프로세스 입니다.

보통 익스플로잇이 실행되면 대부분의 프로세스는 svchost.exe라는 이름으로 둔갑하여 실행되는 경우가 많습니다.

즉, svc.dll은 시스템 파일처럼 위장한 파일로 사용자의 의심을 피하기 위함임을 알 수 있습니다.)

svc.dll 파일은 추후 시스템 폴더 경로에 'Adsvr.dll' 파일명으로 생성되어 작동한다고 합니다.

출처 : Estsecurity(ESRC) https://blog.alyac.co.kr/2182

위 사진은 ESRC에서 리소스 파일을 리버싱해 직접 코드로 구현한 사진 같습니다. (굉장히 오래 걸리는 작업일텐데......)

사진을 보면 인코딩된 문자열 중 비트코인, 은행, 암호, 문서파일 등의 다양한 데이터 수집시도를 합니다.

수집된 정보를 FTP서버와 통신을 하게 되는데 이때 사용되는 URL주소 입니다.

- ftp.drivehq.com

- blackhat.1apps.com

이 서버와 통신을 하게되면 악성코드는 서버로 부터 새로운 악성코드를 다운받게 된다고 합니다.

새로운 악성코드가 다운로드 되면 브러우저(크롬, 익스플로러, 오페라 등...)에서 사용되는 계정 정보를

수집하는 기능을 갖고 있다고 합니다.

이 해커조직을 ESRC에선 '작전명 블랙햇 보이스' 라고 명명했다고 합니다.

그 이유는 블랙햇 이라는 계정을 사용해 서버를 구축하고 보이스 파일을 사용해 해킹을 시도한다는 점에서 지었다고 합니다.

이 공격은 공공기관이 주 타겟이며 배후에는 특정 정부가 있을거라고 판단하고 있다고 합니다.

요즘 이러한 악성코드의 공격방법을 보면 대부분 E-Mail을 통한 공격이 많은 것으로 보입니다.

때문에 정말 E-Mail의 첨부파일을 함부로 열어봐선 안되고, 각별한 주의를 해야할 것입니다.