본문 바로가기
악성코드 정보

Dridex 악성코드 다운로드 방식(WMIC 이용 XSL 실행)

by AhnLab ASEC 분석팀 2020. 7. 7.

지난 6월 ASEC 분석팀은 금융 정보 탈취형 악성코드로 알려진 Dridex의 새로운 유포 방식을 확인하였다. 이번에 확인된 유포 방식([그림 1])은 악성 매크로가 담긴 문서 파일 실행을 시작으로 정상 윈도우 유틸리티(WMIC.exe)을 활용하여 악성 XSL(Extensible Stylesheet Language) 문서 스크립트 파일을 실행하는 방식이다. 결과적으로 감염 PC에는 실행된 XSL 포맷 파일에 의해 Dridex가 실행된다.

 

※ XSL 포맷은 XML 형식으로 javascript, vbscript 등의 스크립팅을 지원하는 문서 포맷이다.

 

[그림 1] Dridex 유포 및 동작 과정

 

아래 [그림 2]는 악성 문서파일 실행 시 자사의 엔드포인트 위협 탐지 & 대응 솔루션인 EDR(Endpoint Detection & Response)을 통해 확인된 행위 다이어그램 구조이다. 다이어그램을 보면 NOTEPAD.EXE, WMIC.exe 등 정상 윈도우 유틸리티를 악용하여 Dridex 악성코드를 다운로드 및 실행하는 것을 확인할 수 있다.

 

최종적으로 다운로드되는 DLL 형태의 Dridex는 추가 악성 모듈을 다운로드하기 위해 C&C 주소에 접속한다.

 

[그림 2] EDR 악성 행위 다이어그램

 

Dridex 유포 과정은 크게 3단계([1]~[3])로 나눌 수 있다.

 

[1] XSL(Extensible Stylesheet Language) 포맷 파일 생성

악성 매크로는 notepad.exe 프로세스를 생성하여 %appdata% 경로에 .txt 파일을 생성한다.

- notepad.exe %appdata%\after_seeing_how.txt

 

이후 매크로는 notepad.exe 프로세스 대상으로 PostMessageA를 호출하여 after_seeing_how.txt 파일 내부에  XSL 데이터(악성 자바스크립트)를 저장한다.

 

[그림 3] XSL 파일 쓰기를 위한 PostMessageA 호출

 

 

[그림 4] 생성된 XSL 파일 내부

 

데이터 저장이 완료되면 매크로는 XSL 파일의 확장자를 .txt에서 .xsl로 변경한다.

 

[2] WMIC 프로세스를 활용하여 XLS 포맷 파일(자바스크립트) 실행

생성한 XLS 파일을 실행하기 위해 아래 명령어를 WMIC 프로세스에 PostMessageA API를 통해 전달한다.

- process list /format: "%appdata%\after_seeing_how.txt"

 

[그림 5] XSL 실행을 위한 PostMessageA 호출

 

MITRE ATT&CK T1220(XSL Script Processing)에도 해당하는 이 기법을 통해 공격자는 정상 윈도우 유틸리티(WMIC.exe)를 활용하여 로컬의 악성 스크립트 파일을 실행할 수 있다. 정상 윈도우 유틸리티를 활용하여 악성 행위를 수행한다는 것은 보안 제품을 우회하기 위한 목적인 것으로 추정된다.

 

XSL Script Processing, Technique T1220 - Enterprise | MITRE ATT&CK®

 

attack.mitre.org

 

[3] 실행된 스크립트에 의해 Dridex 다운로드 및 실행

XSL 파일 내부에는 악성 자바스크립트가 존재하며 실행 후 Dridex 악성코드 유포지 주소로부터 DLL을 다운받아 rundll32.exe로 해당 DLL을 실행한다.

- rundll32.exe c:\Windows\Temp\[랜럼 5자리].dll DllRegisterServer

 

 

 

현재 V3에서는 언급한 악성코드들에 대해 다음 진단명으로 탐지하고 있다.

 

[진단정보]

- W97M/Agent (2020.06.24.04)

- Trojan/Win32.Agent.R341628 (2020.06.25.04)

- Downloader/XSL.Agent (2020.07.07.00)

 

 

태그

,

댓글0