안랩 ASEC은 국내 사용자를 대상으로 문서 확장자를 사용하는 XML파일을 스팸 메일을 통해 유포되고 있음을 확인하였다. 

XML(Extensible Markup Language)파일은 구조적인 데이터를 쓰기위해 만들어진 파일로 다양하게 사용되고 있다.

 

현재 국내에 유포되는 doc확장자의 XML파일은 아래 그림처럼 상단에 <?mso-application progid="Word.Document"?> 가 명시되어 있다. 이는 XML파일을 Word로 연결하여 실행하겠다는 의미이며, 이후 내용은 Word로 읽어 실행된다. progid값은 다른 값으로도 사용될 수 있으며 이는 <?mso-application progid="Excel.Sheet"?> 형태의 Excel 파일로 악용될 수 있음을 시사한다.


 

 

 

XML파일을 실행하면 Word 프로그램을 통해 실행되며 VBA (Visual Basic for Applications, Microsoft Office 응용프로그램의 확장을 위한 프로그래밍 언어) 매크로를 포함하고 있다. 아래 그림처럼 VBA 매크로를 실행하도록 유도하는 문구의 그림이 존재한다.

 

 

XML파일 내부에는 base64 로 인코딩 된 데이터가 존재한다. 이 중 "editdata.mso" 인 데이터를 디코딩하면 ActiveMime 헤더를 갖는 파일이 생성된다. ActiveMime은 Office 매크로 인코딩에 사용되는 문서화되지 않은(undocumented) Microsoft 파일 형식이다. 오프셋 0x32 위치부터 데이터를 풀면 OLE개체가 생성되며, 생성된 OLE 개체에 VBA 매크로가 존재한다.

 

 

 

VBA 매크로는 문서파일이 열릴 때 동작하며, XML 파일 가장 아래에 존재하는 난독화 된 데이터를 읽어 와 실행하는 행위를 한다. cmd로 실행되는 난독화된 데이터는 powershell을 실행하여 특정 주소의 파일을 사용자 PC의 %TEMP% 경로에 다운로드하여 실행 하는 행위를 한다.

 

 

 

안랩 ASEC에서 사용중인 자동분석 시스템(RAPIT)에서의 행위 정보를 통해 다운로드 시도하는 주소를 알 수 있다. 

 

 

powershell 을 통해 다운로드되는 파일은 Emotet 유형의 악성코드로 확인되었다.




서두에서 언급한 것과 같이 해당 악성 파일은 스팸 메일을 통해 유포되고 있으며, Word 문서 파일 내부의 이미지를 통해 사용자로 하여금 큰 의심 없이 매크로를 실행시키도록 유도하므로 출처를 알 수 없는 메일의 첨부 파일 실행을 삼가고 확인되지 않은 문서 파일 내부의 매크로를 실행하는데 있어서 주의가 필요하다.

 

V3 제품에서는 아래와 같이 진단하고 있다.

 

- XML/Dropper.S1

- XML/Downloader

- Trojan/Win32.Emotet


Posted by 분석팀