“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드
ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크)
Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을 통해 유포되어 로더를 거쳐서 실질적인 메인 모듈을 다운로드받아 악성행위를 수행한다.
이번에 확인된 Dridex 악성코드 유포방식은 다음과 같은 흐름과 특징을 갖는다.
- 불특정다수 일반 사용자를 대상으로 피싱메일이 유포됨
- 백신탐지 우회 목적으로 문서 암호화 설정, 문서 비밀번호는 메일 본문에 존재
- 문서매크로 허용 시 “Merry X-MAS!” “Merry Christmas!” 와 같은 메시지 창 발생
- Excel Cell Formula 방식을 활용하여 VBS 스크립트 생성 및 실행
- Dridex 악성코드 다운로드 및 실행
먼저 피싱메일의 본문은 ‘크리스마스를 맞이하여 전직원에게 보너스가 지급된다는 내용’부터 ‘계약이 해지되었다는 해고내용’까지 비교적 다양한 것을 알 수 있다.
그림1) 피싱메일로 유포되고 있는 Dridex 다운로더 Excel 파일
첨부된 엑셀파일을 내려받은 후 실행하면 본문의 내용과 동일하게 ‘크리스마스 보너스’ 관련내용이 존재하지만 일반적으로 엑셀 매크로 악성코드에 이용하는 시트 숨김과 Cell Formula 방식을 이용한 것을 알 수 있다.
또한, 해당 엑셀파일은 ‘계약 해고’ 내용을 담은 이메일의 첨부파일에 존재하는 파일이지만, 파일명이 TerminationList.xls 인 것과는 달리 내용에는 ‘크리스마스 보너스’ 내용이 담겨져있다. 이러한 특징으로 미뤄보았을 때 일관성 없이 다양한 내용으로 불특정 다수에게 유포되고 있을 것으로 추정된다.
그림 2) 엑셀 첨부파일 실행화면
그림 3) Auto_Open 매크로 (Macro1 : 숨김시트)
엑셀 파일의 이름 관리자 도구를 통해, Auto_Open 매크로는 숨겨진 ‘Macro1’ 시트와 ‘Sheet1’ 시트의 값을 기반으로 매크로 코드가 동작할 것을 추측할 수 있다. 해당 ‘Macro1’ 시트의 V열을 확인해보면, 아래의 그림4)와 같이 Cell Formula 를 활용하여 작성된 매크로 코드가 존재한다. 또한, ‘Sheet1’ 에는 10진수 데이터가 저장되어있는데, 해당 데이터들은 문자 형태로 변형되어 조합된다. 다음은 ‘Sheet1’ 시트의 BH열 163~4975행까지의 악성 데이터 조합에 이용할 것을 나타내는 수식이다.
=FOR.CELL("" & "" & "" & "" & CHAR(111) & "" & "" & "wj" & "" & "" & "" & CHAR(72) & "" & "" & "" & "KXZ" & "mV",Sheet1!BH163:BH4975, TRUE)
그림 4) 숨겨진 ‘Sheet1’ 에 나열된 10진수 데이터
그림 5) 숨겨진 Macro1 시트에서 확인되는 Cell Formula 매크로코드
=ALERT("" & "" & "Mer" & "ry" & "" & "" & "" & "" & "" & "" & "" & " C" & "" & "hri" & "st" & "" & CHAR(109) & "" & "" & "as" & "" & CHAR(33))
그림 6) ALERT 수식에 의해 발생하는 메시지 창
특정 셀에 존재하는 ALERT 수식으로 인해 ‘Merry Christmas!’ 메세지 팝업이 발생하며, 이어 C:\ProgramData\ 하위경로에 VBS 파일이 생성된다. 그림 6은 일부 수식에 대한 값을 나타낸다. wscript.exe 키워드가 확인되는데, 이는 VBS 파일을 실행할 때 사용되는 것을 알 수 있다. 그림 7,8에 나타낸 VBS 코드 내부에는 윈도우 정상 유틸리티 WMIC를 이용하여 로컬의 악성파일을 실행하는 것과 Dridex를 내려받을 수 있는 URL이 비교적 간단한 난독화를 통해 작성되어있다.
그림 7) 이름관리자 도구에서 확인가능한 ‘수식’과 ‘값’
그림 8) C:\ProgramData 하위경로에 생성된 VBS 파일
그림 9) VBS 파일에서 확인되는 Dridex 다운로드 URL
해당 파일에서 확보한 URL은 연결이 끊긴 관계로 현재는 악성코드를 내려받을 수 없으나, 연결이 유효한 상태의 유사 형태의 URL에서 확보한 dll 파일은 Dridex 악성코드로 확인되었다.
무분별하게 피싱메일이 유포되는 정황이 확인되고 있으므로, 사용자는 신뢰할만한 발신인으로부터 메일을 받았다고 하더라도 메일 내 첨부파일 실행을 자제해야 한다. 또한, 사용하고 있는 백신을 항상 최신버전으로 업데이트하여 사용할 수 있도록 주의가 필요하다.
AhnLab V3에서는 본문에서 소개한 악성코드에 대해 아래와 같이 진단하고 있다.
[파일 진단]
- Downloader/XLS.Generic
- Trojan/Win.Dridex
[Excel로 유포된 기존 Dridex 악성코드 블로그]
Excel 4.0 매크로를 통해 유포되는 Dridex – ASEC BLOG
최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0 매크로만 사용되고 있다. 이러한 변화는 백신 탐지를 우회하기 위한 것으로 추정되며 변화 주기가 짧아지고 있다. 최근 유포되고 있는 엑셀 문서의 실행…
더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포) – ASEC BLOG
엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(…
탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석 – ASEC BLOG
Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작…
Dridex 악성코드 다운로드 방식(WMIC 이용 XSL 실행) – ASEC BLOG
지난 6월 ASEC 분석팀은 금융 정보 탈취형 악성코드로 알려진 Dridex의 새로운 유포 방식을 확인하였다. 이번에 확인된 유포 방식([그림 1])은 악성 매크로가 담긴 문서 파일 실행을 시작으로 정상 윈도우 유틸리티(WMIC.exe)을 활용하여 악성 XSL(Extensible Stylesheet Language) 문서 스크립트 파일을 실행하는 방식이다. 결과적으로 감염 PC에는 실행된 XSL 포맷 파일에 의해 Dridex가 실행된다. ※ XSL 포맷은 XML 형식으로 javascript, vbscript 등의 스크립팅을 지원하는…
