원노트(OneNote)로 유포 중인 Qakbot 악성코드

안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다.

보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다.

[그림 1] 2022년 악성 원노트 유포 동향

지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다.

[그림 2] 아웃룩 메일에 첨부된 원노트 악성코드 (ComplaintCopy_44974(Feb01).one)

사용자가 첨부파일을 실행하면 전형적인 MS 오피스 매크로 악성코드와 유사하게 “Open” 버튼 클릭을 유도한다.실제 “Open” 버튼 위치 근처에는 HTA(HTML Application) 개체가 [그림 3]과 같이 숨어있다. 즉, 사용자는 “Open”을 클릭한 것처럼 보이지만, 실제로는 HTA 개체가 실행된다.

[그림 3] 원노트에 삽입된 악성 HTA 개체 (Open.hta)

사용자가 “Open” 버튼을 클릭하면 원노트에 첨부된 개체인 HTA 파일이 임시 경로에 생성되고, HTA 확장자 연결 프로그램인 mshta 프로세스에 의해 악성 HTA 파일이 최종 실행된다. HTA는 내부에 악성 VBS 코드를 포함하고 있으며 윈도우 정상 유틸리티인 curl 프로그램을 통해 Qakbot 악성코드를 다운로드한다. 최종적으로 rundll32.exe에 의해 Qakbot 악성코드가 실행된다.

  • OUTLOOK.EXE -> ONENOTE.EXE -> ONENOTEM.EXE ->mshta.exe -> curl.exe -> rundll32.exe
[그림 4] 안랩 EDR 분석 화면의 프로세스 트리 관계도

안랩 EDR(Endpoint Detection and Response) 제품에서는 원노트 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고있다. 따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 원노트 관련 위협이 있는지 확인할 수 있다.

  • 원노트 위협 기록 확인 방법 : 이벤트 -> EDR 행위 -> 기간 설정 -> EDR 위협 검색 (ONENOTE.EXE)
[그림 5] EDR 행위 이력 확인 (ONENOTE.EXE가 Open.hta 파일 생성)

탐지 대상에서 확인되는 Open.hta 파일이 실제 악성 스크립트이다.

[그림 6] Open.hta 파일 경로

다음은 안랩 EDR 분석 화면에서 확인할 수 있는 원노트 관련 위협 정보이다.

[MITRE ATT&CK 정보]

[그림 7] MITRE ATT&CK 정보 (스피어피싱 첨부파일을 통한 초기 유입 단계 탐지)

[파일, 레지스트리, 프로세스, 네트워크 관련 아티팩트 정보]

[그림 8] 아티팩트 정보

이번 원노트 악성코드 사례는 원노트 내부 개체인 HTA 파일이 실제 악성 행위를 수행한다. 따라서 EDR 운영 담당자는 [그림 6]과 같이 위협의 파일 관련 정보를 확인하여 HTA 파일이 생성된 위치를 알 수 있고, 해당 정보를 파일을 채증하는데 활용할 수 있다.

Qakbot 악성코드는 최초 침투 이후 내부 확산(Lateral Movement)을 거쳐 최종적으로 랜섬웨어를 조직 내 감염시키는 사례가 있어, 초기에 Qakbot 위협을 감지하면 피해 확산을 막기 위해 우선적으로 감염 PC에 대해 네트워크 격리 조치하는 것을 권장한다.

[EDR을 이용한 네트워크 격리 조치 방법]

[그림 9] EDR을 이용한 에이전트 대응

안랩 V3, EDR 제품에서는 원노트 위협에 대해 아래 탐지명으로 탐지하고 있다.

[파일진단]
Downloader/HTA.Generic.S2106 (2023.02.03.03)

[행위진단]
InitialAccess/EDR.OneNote.M10837
Execution/EDR.Curl.M10842

[IOC]
MSG : 8b46417297995d5a9a705b54303ace30
HTA : bc6e2129bbd64375c9254fbd17ab5f14
C&C : hxxp://139.99.117.17/31828.dat

원노트를 통해 유포되는 Qakbot 악성코드의 MITRE ATT&CK 매핑은 다음과 같다.

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:안랩 탐지

Tagged as:,

4.6 7 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments