ASEC 분석팀은 PDF의 첨부파일(Attachment)기능을 이용하여 인포스틸러 유형의 악성코드가 유포되는 것을 확인하였다. 이전에도 확인된 공격방법이었지만, 최근 이러한 유형의 악성코드가 다시 활발하게 유포되는 정황이 확인되어 사용자들에게 알리려 한다. 사용자를 속이기 위해 공격자가 첨부파일의 이름을 활용하여 간단한 트릭을 사용한 점이 주목할만하다.
Acrobat Reader에서는 PDF파일 자체에 첨부파일을 추가할 수 있는 기능이 존재하는데, 디폴트 블랙리스트로 지정된 .bin/.exe/.bat/.chm 등의 확장자를 갖는 파일은 위험요소로 인식하여 첨부할 수 없다. 디폴트 블랙리스트/화이트리스트에 존재하지 않는 그 외의 파일들에 대해 사용자의 판단을 확인하는 메세지박스가 발생하는데, 공격자는 이러한 점을 악용하였다.
이메일에 첨부된 PDF 파일을 실행하면, 의도적으로 블러 처리한 본문 이미지가 확인되며 Adobe Reader의 기본설정으로 동작하는 ‘파일열기’ 보안경고창이 발생한다. 이는 PDF에 첨부된 첨부파일 실행여부에 대한 경고창으로, 파일명이 메세지박스에 그대로 표시된다. 아래의 그림2) 와 같이 한국어 환경의 PC에서는 약간 어색해보이는 문장이지만, 그림 3) 과 같이 영어 환경의 PC에서 PDF 파일을 실행하게 되면 공격자가 의도한 방식이 어떤 것인지 쉽게 파악할 수 있다.
PDF에 첨부된 파일은 ‘has been verified. However PDF, Jpeg, docx, .xlsx’ 의 파일명을 갖는 Excel 파일인데, 메세지박스 내용 중 The file 뒤에 오는 ‘(apostrophe)를 무시하면 메세지박스의 내용은 아래와 같이 자연스러운 문장이 된다. 내용을 주의깊게 보지 않을 경우 사용자는 이러한 메세지박스를 일반적인 보안문구 정도로 인지할 가능성이 높다.
파일명이 has been verified. However PDF, Jpeg, docx, .xlsx 일 경우
The file ‘has been verified. However PDF, Jpeg, docx, .xlsx’ may contain programs, macros, or viruses that could potentially harm your computer. Open the file only if you are sure it is safe. Would you like to:
– Open this file
– Always allow opening files of this type
– Never allow opening files of this type
→ (사용자가 실행한) 파일은 검증된 (정상)파일이지만, PDF, Jpeg, docx, xlsx 형식의 파일은 유해한 프로그램/매크로/바이러스와 같은 악성요소를 포함할 수 있다.
이는, 동일한 첨부파일을 사용했다고 하더라도 악성코드에 빈번하게 사용되는 파일명(ex. Quotation.xlsx)일 경우, 메세지박스의 내용이 아래와 같이 완전히 달라지게 되어 사용자가 악성코드로 인지하여 Acrobat Reader의 파일오픈 설정을 허용하지않을 수도 있는 가능성을 고려한 것으로 판단된다.
파일명이 Quotation.xlsx 일 경우
The file ‘Quotation.xlsx’ may contain programs, macros, or viruses that could potentially harm your computer. Open the file only if you are sure it is safe. Would you like to:
– Open this file
– Always allow opening files of this type
– Never allow opening files of this type
→ ‘Quotation.xlsx’ 파일은 컴퓨터에 해를 끼칠 수 있는 프로그램, 매크로 또는 바이러스가 포함되어 있을 수 있다.
이러한 유형의 PDF 내 첨부파일의 파일명은 사용자를 속이기 위해 제작된 것이며, 첨부한 파일로는 XLSX 파일 뿐만 아니라 DOCX 파일도 확인되었고 각각의 파일은 기존 Excel/Word 유형에서 자주 사용되는 악성요소를 활용하였다.
- has been verified. However PDF, Jpeg, docx, .xlsx
- has been verified. However PDF, Jpeg, xlsx, .docx
- is scanned and Verified. However PDF, docx, .xlsx
- is verified. However PDF, Jpeg, Docx, .xlsx
해당 Excel 파일이 실행되면 수식편집기(EQNEDT32.EXE) 취약점으로 인해 외부 네트워크에 연결하여 악성코드를 다운로드 받게 되는데, 5월 보름동안 확인된 악성코드는 대부분 FormBook, Lokibot 과 같은 인포스틸러 유형의 악성코드로 확인되었다. FormBook, Lokibot 악성코드는 ASEC 주간통계에서 매번 순위권을 차지하는 악성코드인데, 이와 같이 보다 더 정교하게 의도된 방법으로 유포되고 있는 것을 알 수 있다.
PDF 내에 첨부된 ‘has been verified. However PDF, Jpeg, docx, .xlsx‘ 파일의 동작과정을 명확히 확인하기 위해, Excel 첨부파일 자체를 별도로 저장하여 실행 시 위와 같은 프로세스 트리를 확인할 수 있었다. 먼저, Excel 파일의 수식편집기(EQNEDT32.EXE) 취약점을 통해 외부URL에서 NSIS(Nullsoft Scriptable Install System) 형태의 악성코드(vbc.exe)가 다운로드 받아지고, 이어 최종 악성코드인 bokvb.exe가 드랍되어 실행되는데 최종적으로 동작하게 되는 이 파일은 Lokibot 악성코드로 확인되었다.
수식편집기 취약점을 악용한 Excel 파일을 활용하는 것 외에도, Word 파일을 이용한 경우도 확인되었다. (파일명 : has been verified. However PDF, Jpeg, xlsx, .docx)
워드파일 내부 document.xml.rels 파일에 존재하는 단축URL은, 추가 악성코드를 다운로드 받을 수 있는 최종 URL로 리다이렉트 된다. 최종 URL에서는 RTF 파일을 내려받게 되는데, RTF 파일에서도 수식편집기 취약점이 사용되어 NSIS 형태의 악성코드가 다운로드 되는 동작방식이 동일하다.
(has been verified. However PDF, Jpeg, xlsx, .docx)
- 단축 URL : hxxps://shorted[.]pro/stumwd
- 최종 URL : hxxp://172.245.163[.]188/document_shipping/document_g010.doc (RTF 다운로드)
설령 공격자 의도와는 달리 최초 PDF 파일의 동작환경이 영어 환경의 PC가 아니라고 하더라도, 사용자가 PDF 파일 실행 시 생성되는 메세지박스에 대해 큰 의미를 두지 않고 무심코 확인버튼(이 파일 열기(O))을 누를 가능성도 다분하다. 메세지박스의 세번째 라디오버튼인 ‘이 유형의 파일 열기 허용 안 함(N)’의 옵션을 선택하게되면 첨부파일의 즉시실행을 차단할 수 있으며, 이후 왼쪽 탭의 클립모양 탭에서 첨부파일의 정보를 한번 더 확인해볼 수 있다. (편집-기본설정의 ‘신뢰 관리자’ 메뉴에서 기존설정 복원이 가능하다.)
다만 국내 사용자를 대상으로 유포된 EML이 확인된 관계로, 궁극적으로는 수신한 메일 내 첨부파일을 실행하는 것에 있어 사용자들의 각별한 주의가 요구된다.
안랩 제품에서는 본문에서 언급한 악성코드들에 대해 다음과 같이 진단하고 있다.
[파일 진단]
OLE/Cve-2017-0199.Gen
OLE/Cve-2018-0798.Gen
RTF/Malform-A.Gen
Exploit/Pdf.Generic
XML/Dloader
Trojan/Win.NSISInject.R491618
Trojan/Win.NSISInject.R487995
Trojan/Win.FormBook.R492664
Trojan/Win.Generic.R481309
[IOC]
2d418caa178a376491815af16535ee08 (PDF)
374b79c1e46034ad1e3625c99195c113 (has been verified. However PDF, Jpeg, docx, .xlsx)
hxxp://23.94.159[.]221/800/vbc.exe
4f2b5d6712ca51ba7619581acc9e6c06 (vbc.exe, NSIS)
016471d2742c31adedd647c6ee2022c1 (bokvb.exe / Lokibot)
hxxp://hyatqfuh9olahvxf[.]ga/Legend/fre.php (Lokibot C2)
947ad46aa4cfc0eaf59fd7781aadc039 (PDF)
c790888adcb84f9add8288d3634103da (has been verified. However PDF, Jpeg, xlsx, .docx)
hxxp://172.245.163[.]188/document_shipping/document_g010.doc
53edca969843ae183610def08b00f022 (RTF)
hxxp://172.245.163[.]188/crypted%20exes/ge010.exe
1bc2e6b3bcfc05766b833d0ee1bd9638 (ge010.exe, NSIS)
a8cd72078de5d385315aa7b699e69ef9 (yphxlgsy.exe / Lokibot)
hxxp://sempersim[.]su/ge10/fre.php (Lokibot C2)
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보