메일을 통해 유포되는 XLL 악성코드

그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다.

.xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다. 특이한 점은 실행은 MS Excel로 되어 문서의 외형을 할 것으로 오해할 수 있으나 이 XLL 파일은 DLL 실행파일 형태의 외형이다. 기존에 많이 소개된 VBA 매크로가 포함된 Excel파일(.xlam, .xlsm)의 경우 VBA로 제작되나, 이 경우에는 C언어 계열로 제작된다. 따라서 외형이 DLL인 것은 변함없으나 컴파일되는 케이스에 따라 상세한 내부 구성에는 차이를 보일 수 있다.

국내에서는 작년 7월부터 지금까지 지속적으로 유포되고 있는 정황이 확인된다. 이때 메일을 통해 유포되고 있으며 최종 실행되는 악성코드의 종류는 인포스틸러, 랜섬웨어 등 다양한 것으로 확인된다.

다만 최신 버전에서는 해당 형식의 파일이 첨부파일로 차단되어있어(그림1 참고) 차단 해제 처리한 환경에서 첨부파일을 확인 할 수 있고(그림2 참고), 그 이전 Outlook에서는 별도의 차단해제 없이 첨부파일 확인이 가능(그림3 참고)하다. 참고로 첨부파일 차단된 버전에서 차단해제를 위해서는 Outlook 기본 설정기능에서는 불가하며 직접 레지스트리 수정이 필요하다. Microsoft에서도 차단된 확장자 사용을 위해서는 다른 확장자로 변경하여 사용하도록 가이드하고 있다.

● Purchase Order 033.xll, Purchase Order 034.xll

위 그림1,2,3 메일에 첨부된 ‘Purchase Order 033.xll’과 ‘Purchase Order 034.xll’ 파일의 기능은 아래와 같다. 우선 앞서 설명한 것과 같이 그림5처럼 DLL의 외형을 확인 할 수 있으며 파일 실행 시(.xll 확장자로)에는 그림6처럼 Microsoft Excel로 열린다. ‘이 세션에서만 이 추가 기능을 사용합니다.’를 클릭하면 행위가 발현된다. ‘이 추가 기능을 사용하지 않습니다.’를 클릭할 경우 실행되지 않는다. 따라서 확인되지 않은 XLL파일을 무심코 실행했다면 이 단계에서 해당 버튼을 클릭하여 감염을 피할 수 있다.

확장자를 모를 경우 실행파일 중 DLL의 구조를 가지고 있어 외형만으로는 XLL파일인지 파악하기 어려울 수 있으나 XLL의 파일은 ‘xlAutoOpen’명의 Export함수를 가지고있다. 모든 XLL함수에서 구현되어야하는 필수 콜백함수이다. 이 함수 실행이 XLL구동에 필수적이다.

이 ‘Purchase Order 033.xll’과 ‘Purchase Order 034.xll’의 경우 ‘Excel-DNA’라는 오픈소스를 통해 컴파일된 XLL파일로 내부 데이터를 추출 시 핵심 기능을 수행하는 DLL을 확인 할 수 있으며 이는 .net으로 제작되어 있다.

이 Purchase Order 034.xll의 내부 HFR04.dll로 인해 발현된 행위는 그림9과 같이 네트워크 접속 시도를 수행하는 것을 볼 수 있는데 이 악성코드는 아래 주소로 추가 악성코드 다운로드를 시도한다. 현재는 해당 주소에서 별다른 데이터를 받아오지 못해 추가 기능을 확인 하기는 어려우나 작년 7월부터 유포된 XLL 악성코드들을 살펴 본 결과 랜섬웨어, 인포스틸러 류를 받아올 것으로 추정된다. 그 예시에 해당하는 샘플 일부에 대해 아래 추가 설명한다.

– hxxps://www.mcroller[.]com/express.exe

● 이력서.xll

‘이력서.xll’로 유포된 해당 파일역시 Excel-DNA로 컴파일되었으며 위와 동일하게 내부의 추출된 DLL은 .net파일로 위 케이스와 동일하다. 이 파일의 기능은 네트워크 접속 후 추가 악성코드를 다운로드 받는데 자사 내부 이력에 아래 주소에서 랜섬웨어가 다운로드 된 정황이 확인되었다.

– hxxp://104.161.34[.]171/library.exe

● MV SEAMELODY.xll

‘MV SEAMELODY.xll’이라는 파일명으로 유포된 해당 XLL악성코드 역시 다운로더의 기능을 한다. 이 파일 역시 내부의 핵심 DLL이 주요 기능을 수행하며 아래와 같은 코드가 확인된다.

– hxxp://103.89.30[.]10/intelpro/goa.exe

위 네트워크에 접속시도하여 추가 악성코드를 다운로드하는데 이력상 해당 주소로 부터 다운로드 된 파일은 Lokibot 악성코드로 확인되었다.

이렇듯 최근 악성코드 유포의 많은 부분을 차지하는 인포스틸러, 그리고 랜섬웨어의 유포방식이 또 한가지 늘어난 셈이다. 사용자들은 신뢰되지 않는 메일에 첨부된 내용 열람에 주의를 필수적으로 기울여야한다. 또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트하여 관리하는 주의가 필요하다.

AhnLab V3에서는 해당 악성코드들에 대해 아래와 같이 진단하고 있다.

[파일 진단]

• Downloader/Win.MalXll.R490565
• Downloader/Win.MalXll.R466354
• Trojan/Win.Agent.C5025449
• Ransomware/Win.Carlos.C5025252

[IOC 정보]

• c181e7eaacbcfe010375a857460a76c6
• 128ab502ed4f070abea44fd42b24f9d3
• 1f24e9fa558c3394935c9b41ffad2034
• 4685703aa9868c5f71da11422ccf30e8
• d599aecaa32e0b0b41f4a688f85388c6
• hxxps://www.mcroller[.]com/express.exe
• hxxp://104.161.34[.]171/library.exe
• hxxp://103.89.30[.]10/intelpro/goa.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.