新たな方式で不正なマクロコードを隠した Excel ファイルが発見された。今回のファイルは Excel4.0(XLM) マクロシートを利用しているが、従来の不正なマクロシートを単純に隠していた方式から、一般的なユーザーインターフェースでは隠し属性を解除できないように変更された。VBA マクロコード方式を利用しているわけでもなく、XLM マクロシートを直接確認することもできないため、文書内のどこにマルウェアの存在有無を即座に確認することが困難である。
- ファイル名 -invoice_805274.xls
- 生成日 -2020-03-09 15:30:32
- MD5 -a7b074da0251f0f8952090967846737e
Excel4.0 マクロシートを利用した不正なファイルは、2019年初めに活発に出回った。当時出回ったファイルは、マクロシートを非表示(Hide)することでユーザーにコードが見えない状態にし、不正な機能のみ動作するようにしていた。再表示(Unhide)をすると、シートを確認できた。しかし、今回拡散しているファイルは再表示自体が無効となっているため、マクロシートの存在有無を疑ったり、確認したりすることができない。ファイル内に存在するマクロコードを直接抽出したときに、その結果や不正な機能が実行されること自体に変わりはない。
※ Excel 4.0 (XLM) マクロシート参考 – https://asec.ahnlab.com/1232
再表示(Unhide)が無効となっているのは、マクロシートが「very hidden」属性で作成されているためである。非表示にされたシートは hidden 属性を持つが、それに対して very hidden は非表示にされた事実自体を隠す。Excel が提供する一般的なユーザー機能ではマクロシートに付与できない属性である。不正なファイルのマクロシートを構成するバイナリを見ると、「01」(Excel 4.0 macro sheet)が「02」(very hidden)の値になっていることが確認できる。
very hidden にされたマクロシートを表示するためには、直接ファイルを Hex エディタで開いて、その属性の部分を「00」または「01」に修正するか、若干の VBA コードを利用してシートを探し、すべてのシートの属性を表示できるように変更することができる。ツールを利用してマクロシートの Cell Formula の存在を確認し、シートを通してFormula の呼び出し構造を確認する。非表示にされたマクロシート名は「sygfdfdfdesie」であり、各 Cell を構成する難読化された形式の Formula が確認された。不正なファイルは hxxp://gembeap.com/myknt7lx250y8u3/okbdy.exe のアドレスにアクセスし、銀行情報奪取目的の不正な EXE ファイルをダウンロードする機能を実行する。
Excel マクロシートを very hidden 属性によって「さらに」隠すことで、攻撃者は従来の診断方式を回避する、またはマルウェアが露出することを最大限防止できる。これまでのところ多くの Excel ファイルで確認された方式ではなく、今後の変化を注視する必要がある。
現在 AhnLab V3 では、このようなマルウェアを次のような診断名で診断している。
– Downloader/Xls.Generic (2020.03.10.04)
Categories:マルウェアの情報