올해 중순에 ASEC 분석팀에서는 이메일을 통해 XLL 파일(확장자: .xll) 형식의 악성코드가 유포됨을 공유한 바 있다. XLL 파일은 실행파일인 PE(Portable Executable) 파일의 DLL 외형을 가졌으나, Microsoft Excel(엑셀)을 통해 실행된다. 그동안 이 유형의 악성코드 유포가 활발하지 않았으나, 오랜만에 ‘이력서.xll‘의 파일명으로 유포된 정황을 확인하였다.
- 2022년 5월 20일 게시글 : 메일을 통해 유포되는 XLL 악성코드
- 2022년 11월 21일 게시글 : LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중
이전 블로그에서도 언급한 바와 같이, XLL 파일은 엑셀의 Add-in(추가 기능) 파일로 MS Excel을 통해 파일을 실행 할 수 있다. ‘이력서.xll’ 파일 실행 시 아래와 같이 엑셀을 통해 실행되는 것을 확인 할 수 있으며, 추가 기능의 사용여부를 선택할 수 있는 보안 알림 창이 열린다. 사용 버튼을 클릭 할 경우 파일이 의도한 악의적 기능이 동작하게 된다.
그림1- 이력서.xll 실행화면
엑셀을 통해 실행되나 DLL의 구조 형식을 가졌으며, Export 함수에 xlAutoOpen을 포함한다. xlAutoOpen함수는 모든 XLL파일에서 구현되어야하는 필수 콜백함수로 기본적으로 해당 함수를 포함하고 있다. ‘이력서.xll’은 알려진 ‘Excel-DNA’라는 오픈소스를 통해 컴파일된 형태로 Resource 영역에 압축된 형태로 실제적인 악성 기능을 하는 .net 형태의 악성 DLL을 가지고 있다.
그림2 – 이력서.xll 파일 구조
그림3 – 이력서.xll의 Resource 영역
‘이력서.xll’에서 추출한 악성 .net 파일명은 ‘ZFD06.dll’으로, 그림3의 Resource 영역에 명시된 이름과 동일하다. 또한 이 파일명은 ‘Excel-DNA’ Unpack시 확인되는 ‘__MAIN__.dna’ XML 파일에서도 확인된다.
그림4 – 이력서.xll Unpack
그림5 – ‘__MAIN__.dna’ XML파일 내용
추출된 ZFD06.dll 파일이 ‘이력서.xll’ 구동 시 실제 제작자가 의도한 악의적인 동작 기능을 담은 악성 파일이다. 이 악성의 .net DLL을 ‘Excel-DNA’ 프레임워크를 이용하여 XLL형태로 제작하여 유포한 것으로 보인다.
그림6 – 추출된 ZFD06.dll .net파일 코드
해당 DLL의 기능은 powershell을 통해 추가 악성코드를 다운로드하는 것이다. 현재는 다운로드되지 않으나 LockBit 2.0 랜섬웨어가 다운로드 되었던 이력이 확인된다.
그림7 – 추가파일 다운로드 (Powershell 이용)
- (LockBit 2.0 다운로드 주소) hxxps://transfer[.]sh/get/671Cix/123.exe
- (LockBit 2.0 저장 경로) C:\Users\Public\yggi.exe
다운로드 되었던 것으로 확인되는 해쉬의 LockBit 2.0 랜섬웨어는 단독으로도 유포되는 정황 또한 확인되는데, 이 때 사용한 파일명은 ‘$이력서_221122(경력사항도 같이 기재하였습니다 잘 부탁드립니다).exe‘이다. 본 게시글 상위에 언급된 블로그 링크와 같이 ‘이력서’ 관련한 파일명으로 LockBit 2.0 및 3.0이 유포 중임을 공개한 바 있는데, 상위의 다운로더 역할을 하는 XLL파일과 단독으로 유포되는 실행파일 모두 ‘이력서’를 위장하여 다양한 방식으로 활발히 유포되는 것으로 보인다.
최근 악성코드들은 탐지를 우회할 목적 등으로 다양한 형태의 악성코드로 제작되어 유포되고 있다. 사용자들은 알 수 없는 발신자의 메일이나 메신저를 통해 수신되는 첨부 파일들의 열람을 지양해야하며, 반드시 V3를 실시간으로 업데이트해야한다. 위와 같은 악성코드를 V3에서는 아래와 같이 진단하고 있다.
[파일 진단]
- Downloader/Win.Agent.C5313333 (2022.11.25.00)
- Ransomware/Win.LockBit.C5312148 (2022.11.23.02)
[IOC 정보]
- 9011870a33ddb12f8934f9061de6f42c
- fe5101b50e92a923d74cc6f0f4225539
- hxxps://transfer[.]sh/get/671Cix/123.exe
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보