Posted By muhan , 2023년 2월 8일

원노트(OneNote)로 유포 중인 Qakbot 악성코드

안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다.

Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서 – ASEC BLOG

본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고, 파일을 실제 실행했을 때의 화면을 기반으로 제작 정도의 정교함에 따라 나누었다. 즉, ‘1) 간단한 블록 이미지로 악성 개체를 은닉한 유형’ 과 ‘2) 보다 더 정교하게 제작한 악성 OneNote 유형’ 으로 분류하였는데, 예시 샘플에 대한 이미지는 다음과 같다. 1) 간단한 블록 이미지로 악성 개체를 은닉한 유형 2) 보…

보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다.

지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다.

[그림 2] 아웃룩 메일에 첨부된 원노트 악성코드 (ComplaintCopy_44974(Feb01).one)

사용자가 첨부파일을 실행하면 전형적인 MS 오피스 매크로 악성코드와 유사하게 “Open” 버튼 클릭을 유도한다.실제 “Open” 버튼 위치 근처에는 HTA(HTML Application) 개체가 [그림 3]과 같이 숨어있다. 즉, 사용자는 “Open”을 클릭한 것처럼 보이지만, 실제로는 HTA 개체가 실행된다.

사용자가 “Open” 버튼을 클릭하면 원노트에 첨부된 개체인 HTA 파일이 임시 경로에 생성되고, HTA 확장자 연결 프로그램인 mshta 프로세스에 의해 악성 HTA 파일이 최종 실행된다. HTA는 내부에 악성 VBS 코드를 포함하고 있으며 윈도우 정상 유틸리티인 curl 프로그램을 통해 Qakbot 악성코드를 다운로드한다. 최종적으로 rundll32.exe에 의해 Qakbot 악성코드가 실행된다.

OUTLOOK.EXE -> ONENOTE.EXE -> ONENOTEM.EXE ->mshta.exe -> curl.exe -> rundll32.exe

안랩 EDR(Endpoint Detection and Response) 제품에서는 원노트 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고있다. 따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 원노트 관련 위협이 있는지 확인할 수 있다.

원노트 위협 기록 확인 방법 : 이벤트 -> EDR 행위 -> 기간 설정 -> EDR 위협 검색 (ONENOTE.EXE)

[그림 5] EDR 행위 이력 확인 (ONENOTE.EXE가 Open.hta 파일 생성)

탐지 대상에서 확인되는 Open.hta 파일이 실제 악성 스크립트이다.

다음은 안랩 EDR 분석 화면에서 확인할 수 있는 원노트 관련 위협 정보이다.

[MITRE ATT&CK 정보]

[파일, 레지스트리, 프로세스, 네트워크 관련 아티팩트 정보]

이번 원노트 악성코드 사례는 원노트 내부 개체인 HTA 파일이 실제 악성 행위를 수행한다. 따라서 EDR 운영 담당자는 [그림 6]과 같이 위협의 파일 관련 정보를 확인하여 HTA 파일이 생성된 위치를 알 수 있고, 해당 정보를 파일을 채증하는데 활용할 수 있다.

Qakbot 악성코드는 최초 침투 이후 내부 확산(Lateral Movement)을 거쳐 최종적으로 랜섬웨어를 조직 내 감염시키는 사례가 있어, 초기에 Qakbot 위협을 감지하면 피해 확산을 막기 위해 우선적으로 감염 PC에 대해 네트워크 격리 조치하는 것을 권장한다.

[EDR을 이용한 네트워크 격리 조치 방법]