지난 12월 안랩 ASEC은 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 악성 엑셀 문서 파일에 대해 정보를 공개하였다. 당시 접수된 유형은 CSV 형식 엑셀 파일에 cmd 커맨드를 포함한 수식 표현을 통해 악성 기능을 실행하였다. 또한 백신 제품의 진단을 우회하기 위해 반복된 개행이나 무의미한 랜덤 문자 등을 다수 삽입하였다.
(관련 글: 'Microsoft Office Excel – DDE 이용 악성 기능 실행')
최근에 접수된 악성 엑셀 파일 변종은 기존과 같이 DDE를 이용하였지만 cmd 응용 프로그램을 직접 호출하는 것이 아닌 MSEXCEL 엑셀 인스턴스를 통해 cmd 커맨드를 호출하도록 하였다. 그리고 CSV 형식인 파일 앞부분과 MSEXCEL 앞부분에 무의미한 수식을 좀 더 다양하게 삽입하여 기존 진단법을 우회하였다.
=[(Optional)수식]MSEXCEL|'……WindowsSystem32cmd.exe /c calc'!A0
+[(Optional)수식]MSEXCEL|'……WindowsSystem32cmd.exe /c calc'!A0
-[(Optional)수식]MSEXCEL|'……WindowsSystem32cmd.exe /c calc'!A0
@[수식]MSEXCEL|'……WindowsSystem32cmd.exe /c calc'!A0
![[그림 1]](/wp-content/uploads/tistory/1195_998f2e455c61281108.png)
기존 – cmd 호출 유형
![[그림 2]](/wp-content/uploads/tistory/1195_99341e455c61281216.png)
변종 – MSEXCEL 이용 cmd 호출 유형
DDE를 이용한 엑셀 파일은 주로 국외에서 유입된 스팸 메일을 통해 유포되는 것으로 보이며, 최종 다운로드 된 파일은 정보 유출계열 파일로 확인되었다. 사용자는 의심스러운 메일에 첨부된 엑셀 파일일 경우에는 파일을 다운로드 및 실행하지 말아야 하고, 실행하더라도 아래와 같은 원격 데이터 실행 창에서 “아니오”를 클릭하여 악성 프로세스가 실행되는 것을 방지하여야 한다.
안랩은 DDE를 이용하여 악성 기능을 수행하는 엑셀 파일에 대해 다음과 같은 진단명으로 진단하고 있다.
- XLS/Presenoker.Gen
- XLS/Downloader
Categories:악성코드 정보