다양한 이미지를 포함하여 유포되는 Excel 4.0 매크로

ASEC 분석팀은 Excel 4.0 매크로(수식 매크로)를 이용한 악성 엑셀 파일이 지속적으로 유포 중임을 확인하였다. 해당 악성코드는 지난 5월 불특정 다수에게 메일을 통해 유포된 적이 있으며, 현재까지 다수 확인되고 있어 사용자의 주의가 필요하다.

악성 엑셀 파일 내부에는 매크로 실행을 유도하는 이미지가 포함되어 있으며, 아래는 현재 유포중인 파일에서 사용된 이미지이다.

[그림 1] 내부 이미지1
[그림2] 내부 이미지2
[그림3] 내부 이미지3
[그림4] 내부 이미지4

해당 악성코드는 이름 관리자에 Auto_Open으로 특정 셀을 설정하여 매크로 실행 시 해당 셀에 있는 수식이 자동으로 실행되어 악성 행위를 수행한다. 수식은 주로 숨겨진 시트에 존재하거나 수식이 존재하는 셀의 열을 숨김 처리하여 해당 셀이 존재하지 않는 것처럼 보이도록 하였다.

[그림5] 숨겨진 시트와 이름 관리자
[그림6] 시트 내부 숨겨진 열

최근 확인된 파일에서는 시트 숨김 뿐만 아니라 이름 관리자에 설정된 이름이 노출되지 않도록 하였다. 엑셀 내부의 xl\workbook.xml 파일에 [그림7]과 같이 설정한 이름에 hidden 속성을 부여하여 사용자가 이름 관리자를 확인하였을 때 설정된 이름이 존재하지 않는 것처럼 보이도록 한다.

[그림7] xl\workbook.xml 내부
[그림8] 좌 : 숨김 속성이 설정된 파일 / 우 : 숨김 속성이 변경된 파일

악성 파일 내부에는 기존과 동일하게 수식 매크로가 여러 시트에 분산이 되어 있거나 하얀색 글씨로 쓰여져 있어 사용자가 이를 알아차리기 어렵게 구성되어있다.

[그림9] 여러 시트에 분산 은닉 되어 있는 수식 매크로
[그림10] 분산 은닉 되어 있는 수식 매크로

매크로 실행 시 이전과 동일하게 URLDownloadToFileA 함수를 이용하여 추가 악성 파일들 다운로드 한다. 추가 파일 다운로드 URL은 hxxp://[IP]/[특정 숫자 or 문자].dat 또는 .png, .dat 등으로 구성되어 있다. 다운로드된 악성 파일은 regsvr32.exe를 통해 실행되며 자사 자동 분석 시스템인 RAPIT에서 확인되는 행위는 아래와 같다.

[그림11] 프로세스 트리

현재 다운로드가 이루어지지 않아 다운받아진 악성 파일의 유형을 명확하게 알 수 없으나, 주로 TrickBot 등 정보 유출 유형의 악성코드를 다운받는 것으로 확인된다.

악성 매크로 시트가 포함된 엑셀 파일은 주로 스팸 메일을 통해 유포되고 있어 알 수 없는 사용자로부터 발신된 메일에 대해 사용자들의 각별한 주의가 필요하다. 출처가 불분명한 메일에 첨부된 문서 파일의 매크로 실행을 자제해야한다.

안랩 V3 제품군에서는 본문에서 소개한 유형의 악성 엑셀 파일에 대해 아래와 같이 진단하고 있다.

[파일 진단]

  • Downloader/MSOffice.Generic
  • Downloader/XML.XlmMacro

[IOC 정보]

  • a40f40480e508854fd9f01682b0d64c2
  • ec642e8c5e02eb1e706b68dbfa87b22e
  • 5371c466a1f4c0083d4f9b7d6a2248e6

[기존 Excel 4.0 매크로 관련 블로그]

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments