Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서

본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다.

ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고, 파일을 실제 실행했을 때의 화면을 기반으로 제작 정도의 정교함에 따라 나누었다. 즉, ‘1) 간단한 블록 이미지로 악성 개체를 은닉한 유형’ ‘2) 보다 더 정교하게 제작한 악성 OneNote 유형’ 으로 분류하였는데, 예시 샘플에 대한 이미지는 다음과 같다.

1) 간단한 블록 이미지로 악성 개체를 은닉한 유형

2) 보다 더 정교하게 제작한 악성 OneNote 유형

이어서, 실제 악성 행위를 수행하는 내부 개체를 파일 포맷 별로 분류하여 분석하였다. 내부개체는 크게 스크립트파일/문서파일/실행파일 로 분류하였으며, 스크립트파일은 확장자 별로 분류하여 분석하였다. 이 과정에서 공격자가 사용자를 속이기 위해 의도한 방식과 AntiVirus 제품 혹은 IDS/IPS 솔루션의 탐지 회피를 목적으로 한 내용도 기술하였다.

내부 개체를 은닉하는 다양한 유형과, 기존에는 PE파일에서 흔히 확인되던 RTLO 기법을 Non-PE 유형의 파일명에 사용했다는 점, PoshC2 프레임워크와 같은 침투테스트 스크립트를 사용하는 여러 단계를 거쳐서 악성 행위가 일어나도록 한다는 점을 통해 앞으로도 보다 더 다양한 유형으로 정교한 악성코드가 제작될 것으로 보인다.

상세 분석 보고서는 아래의 다운로드 링크를 통해 확인 가능하다.

____

____

목차
1. 개요
2. OneNote 악성코드 유포 과정
…. 2.1) 악성 OneNote 유포 동향
…. 2.2) 악성 OneNote 및 내부 첨부개체의 파일명
…. 2.3) OneNote 첨부개체 파일명 분석 (RTLO 기법)
…. 2.4) 악성 OneNote 샘플에 따른 실행화면
…….. 2.4.1) 간단한 블록 이미지로 악성 개체를 은닉한 유형
…….. 2.4.2) 보다 더 정교하게 제작한 악성 OneNote 유형
3. 악성 OneNote의 내부 개체 유형 분류 및 분석
…. 3.1) 스크립트 파일
…….. 3.1.1) HTA
…….. 3.1.2) VBS
…….. 3.1.3) BAT
…….. 3.1.4) WSF
…. 3.2) 문서파일
…. 3.3) 실행파일(PE)
4. 안랩 대응 현황
5. 결론
6. IOC (Indicators Of Compromise)
…. 6.1) 파일 Hashes (MD5)
…. 6.2) 관련 도메인, URL 및 IP 주소

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments