AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동을 요구된다. [그림 1]은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2]의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다. 해당 팝업 창을 [확인], [종료] 버튼을 입력하여야만 매크로 코드의 다음 단계로 진행된다.
[그림 1] convert.dot 실행시 발생하는 팝업 창
[그림 2] 첫번째 팝업 창을 발생시키는 매크로 코드
[그림 3]은 [그림 1]의 팝업창의 버튼을 클릭하여 다음 단계로 이어진 화면이다. [그림 3]과 같이 사용자 입력을 요구하는 폼 입력창(2단계)이 발생한다. 폼을 종료하기 위한 입력값전송(btnSend_Click), 취소(btnClose_Click), 종료(UserForm_QueryClose) 총 3가지 입력이 있을 수 있지만, [그림 4]의 매크로 코드를 보면, 위 3가지 입력 중 어떤 입력을 하더라도 악성 행위(feedbackAction)가 발현되는 코드로 이어진다.
[그림 3] 첫번째 팝업창 종료시 발생하는 폼 입력창
[그림 4] 폼 입력창을 발생시키는 매크로 코드
[그림 5]는 위에 설명한 2단계의 anti-sandbox 트릭을 지나고 나서 비로소 발생하는 악성 행위를 수행하는 코드이다. 해당 코드는 C2로부터 추가 명령을 받아 실행하는 백도어의 기능이 수행된다.
[그림 5] 폼 입력창 입력 후 발생하는 C2 접속 행위
MDS 제품은 악성 행위 발현을 위한 Anti-SandBox 우회 기능이 있다. APT 탐지 솔루션인 MDS 제품은 이러한 파일이 유입될 경우 MDS Agent에 의해 먼저 샌드박스 환경에서 실행하여 해당 파일이 악성인지 확인한다. [그림 6]은 MDS 제품은 이러한 팝업 창 입력과 관련한 Anti-SandBox 회피 기능으로 인해 최종 악성 행위(파일 다운로드 등의 원격 명령)를 발현 시켜 해당 파일이 악성임을 알려준다.
[그림 6] Anti-SandBox 우회 기능을 통해 탐지된 화면 (안랩 MDS)
안랩은 현재 Anti-SandBox 기법이 사용된 IcedID 악성 워드 문서에 대해 아래와 같이 진단하고 있다. [파일 진단]
- Trojan/DOC.Agent (2021.08.19.00)
[IOC 정보]
MD5 – bef1a9a49e201095da0bb26642f65a78 : convert.dot
C&C 주소 – hxxps[:]//fusuri-solt-down[.]com/ecm/ibm/1629235716/feedback
샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 AhnLab MDS에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지