지속적으로 유포되는 파워포인트 유형의 악성 첨부파일

지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다.

4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다.

[그림 1] – 악성 PPT 매크로 파일이 포함된 피싱메일

VBA 코드를 포함하는 PPAM 파일의 매크로가 실행되면 mshta.exe를 통해 외부의 스크립트를 호출하며 해당 웹페이지는 악성 스크립트가 삽입되어있는 blogger 웹사이트(Final URL)로 확인된다. 삽입된 스크립트는 두 군데가 존재하는데, 하나는 주석처리가 되어있어 스크립트 실행 시 의미가 없으며 하단의 다른 스크립트를 통해 악성 행위가 실행된다. (주석처리 되어있는 삽입 스크립트 부분에 대해서는 본 포스팅의 후반부에서 추가적으로 소개한다.)

[그림 2] – 파워포인트 매크로 허용 시 mshta.exe 로 실행되는 악성스크립트
[그림 3] – 리다이렉트 되는 웹페이지 (악성스크립트가 삽입되어있음)
[그림 4] – 주석처리 되어있는 악성 스크립트
[그림 5] – 하단에 추가로 삽입되어있는 악성 스크립트 (실행 시 유의미한 부분)

[그림 5]에서 확인되는 삽입 스크립트를 복호화 시 아래 [그림 6]의 코드가 확인된다. [그림 6]의 line 45에서 알 수 있듯이 line 39의 외부 URL을 호출하여 실행하는 스크립트가 존재하는 것을 알 수 있다.

[그림 6] – 외부 웹사이트의 스크립트를 실행시키는 커맨드 (line 45)
[그림 7] – 최종 스크립트에서 확인되는 외부 URL (구글은 테스트 목적으로 추정됨)

현재 주석 처리가 되어있지 않은 해당 스크립트 부분에 대해서 구글 메인 페이지의 웹 소스를 내려받도록 되어있지만, 공격자가 해당 URL부분만 수정한다면 악성 웹페이지의 스크립트를 내려받도록 할 수 있다. 실제로도 악성코드 발현 과정에서 확인되는 요소들을 기반으로 내/외부 인프라에서 확인 시 동일 유형의 파일들이 유포된 것을 알 수 있었다.

첨부파일로 유포되는 PPT 유형의 파일명은 아래와 같이 PDF확장자를 위장한 것과 같은 유형을 띄고 있으며, 내부 인프라를 통해 파일이 수집 된 시기를 확인해보면 대략 7월 말부터 다량 유포된 것을 확인할 수 있었다.

  • 1,pdf.ppam
  • 7,pdf.ppam
  • 9,pdf.ppam
  • 19,pdf.ppam
  • ReservationId ,pdf.ppam
  • swift copy,pdf.ppam
  • Outstanding and Overdue Balances 31-07-21,pdf.ppam

주석처리되어 삽입된 악성 스크립트에 대해서도 간단하게 소개해보면 다음과 같다. 아래에서 추가적으로 확인되는 html 웹페이지도 모두 악성 스크립트가 삽입되어있는 웹페이지이며, 그림에서 음영 처리한 부분(line 69)은 “Wscript.Shell” 의 CLASSID 로써 WMI로 구동되는 커맨드를 나타낸다. 스크립트 하단에서 확인되는 ‘hxxps://92c49223-b37f-4157-904d-daf4679f14d5.usrfiles[.]com’ 웹페이지에서는 AgentTesla 악성코드가 바이너리 형태로 존재하며 만약 해당 스크립트가 실행될 경우 메모리 상에서 파일리스로 동작한다.

궁극적으로는 주석 처리된 악성스크립트를 통해, 글 초반부에 언급했던 지난 4월의 포스팅(Fileless로 동작하는 AgentTesla) 유형이 보다 더 복잡한 과정을 통해 현재까지도 지속적으로 유포되고 있음을 알 수 있다.

[그림 8] – 주석상태 스크립트 디코딩 시 확인되는 내용 (일부 발췌)
[그림 9] – 파일리스로 동작하는 AgentTesla 악성코드

ASEC 블로그를 통해 꾸준히 소개하는 내용이지만 스팸메일을 통해 유입되는 악성코드의 비중이 매우 높으므로 사용자들은 출처가 불분명한 메일의 첨부파일 실행을 자제해야한다.

또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 항상 최신으로 업데이트하여 사용할 것을 권장한다.

안랩 V3 제품군에서는 본문에서 소개한 악성파일들에 대해 아래와 같이 진단하고 있다.

[파일진단]
Trojan/PPT.Generic
Trojan/PPT.Agent
Infostealer/Win.AgentTesla.R420346

[IOC]
8338e340a6e070805616aee57601706d
5dc1292f5d2e3441e25c4ec6e41d3fa1 (PE)
hxxps://www.bitly[.]com/ddwddwwkfwdwoooi
hxxps://fckusecurityresearchermotherfkrs.blogspot[.]com
hxxps://sukmaduck.blogspot[.]com
hxxps://kukukajadoolunnd.blogspot[.]com
hxxps://machearkalonikahdi.blogspot[.]com
hxxps://bukbukbukak.blogspot[.]com
hxxps://35d42729-3b2d-44cd-88c7-59a76492301c.usrfiles[.]com
hxxps://92c49223-b37f-4157-904d-daf4679f14d5.usrfiles[.]com

V3 행위진단 옵션을 사용중일 경우 아래와 같이 의심스러운 mshta.exe 실행행위는 차단된다.

  • Execution/MDP.Mshta.M3815


연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments